Incassobureaus overtreden de privacywet bij de massale verkoop van gegevens over Nederlandse burgers. Databedrijven van de sector hebben de afgelopen jaren profielen aangelegd van vrijwel alle 8 miljoen Nederlandse huishoudens zonder dat die daarover zijn geïnformeerd. Door de verkoop van de profielen kunnen consumenten worden geweerd uit verzekeringen of bij energiemaatschappijen en soms zelfs bij de toewijzing van een sociale huurwoning.

Dat blijkt uit onderzoek van Platform voor onderzoeksjournalistiek Investico voor de Groene Amsterdammer dat woensdag wordt gepubliceerd. Privacy waakhond Autoriteit Persoonsgegevens is nalatig bij het toezicht op de databedrijven van de incassosector, zegt hoogleraar informatierecht aan de Universiteit van Amsterdam Jan Kabel: ‘Ze zitten nergens achteraan en doen helemaal niks aan dit soort databedrijven’.

Databedrijf EDR, dochter van rechtsbijstandsverzekeraar DAS, heeft gegevens over 7,5 miljoen Nederlanders. Incassobedrijf Lindorff beschikt over de financiële gegevens van 10,3 miljoen consumenten en het bedrijf Focum is kampioen met data over 10,5 miljoen burgers, ofwel vrijwel elke volwassene met een eigen portemonnee. De data worden verwerkt tot profielen en verkocht aan commerciële partijen.

Incassobedrijf Direct Pay zegt informatie te hebben opgeslagen over de ‘betaalervaring’ van 5 miljoen consumenten. Die data worden gemengd met andere informatie waaronder ‘atypisch gedrag, zoals gemaakte fouten bij het invoeren van gegevens tijdens een online bestelling’ – wat iets kan zeggen over iemands opleiding of het Nederlands als moedertaal.

Volgens de privacywet zijn de bedrijven verplicht om het burgers te melden wanneer ze hun gegevens overdragen aan een ander bedrijf. ‘Je hebt er recht op om te weten op basis van welke gegevens je behandeld wordt. Ook als het incassobedrijf en databedrijf onder één dak zitten’, zegt hoogleraar Kabel. Arnold Roosendaal, mededirecteur van Privacy Company en gepromoveerd op profilering en privacy: ‘Als een betrokkene niet geïnformeerd wordt over de verkoop van zijn of haar kredietscore, is dat een schending van de informatieplicht.’

De Autoriteit Persoonsgegevens heeft de afgelopen veertien jaar geen onderzoek gedaan naar de sector. De privacy waakhond vindt de branche zelf verantwoordelijk voor het opstellen van een nieuwe gedragscode, zegt het in een reactie. ‘Maar we kunnen ons voorstellen dat de sector daar pas mee komt als de nieuwe privacywetgeving is uitgekristalliseerd.’

Databedrijf Experian gaat niet in op vragen over hun schending van de privacywet. Volgens Focum en EDR wordt de informatieplicht aan burgers in haar contracten verschoven naar de koper van de data. Bekende gebruikers van de financiële profielen, zoals Nuon, E.ON en Vodafone, zijn daar laconiek over. ‘Klanten kunnen zelf vragen wie de toets uitvoert’, zegt de woordvoerder van Nuon.

Maar zelfs klanten die actief vragen naar informatie die de bedrijven over hen hebben verzameld, worden onvolledig geïnformeerd, blijkt uit het onderzoek. Tien consumenten vroegen databedrijven EDR, Focum en Experian wat zij over hen hadden opgeslagen. Ze kregen karige of weinigzeggende antwoorden.

Toen Investico zich voordeed als betalende klant en dezelfde profielen opvroeg, kwam meer en andere informatie naar boven. Ook dat is in strijd met de wet.

Foute of verouderde profielen bezorgen consumenten vaak forse schade, blijkt uit het onderzoek. Nieuwe gebruikers van adressen waarop ooit iemand met schulden heeft gewoond, worden geweigerd door een energiemaatschappij. Anderen zijn na een succesvol traject in de schuldsanering bijvoorbeeld geweigerd voor een autoverzekering.