Datatilsynet har svart på en høring om ny kredittopplysningslov. Tilsynet er enig i hovedtrekkene i forslaget, men ser smutthull som kan få uante konsekvenser i fremtiden. Vi mener at loven må ta høyde for personvernrisikoen i en tid hvor kunstig intelligens er på fremmarsj.
Det er foreslått å lage en egen lov for kredittopplysningsvirksomhet. Loven skal sikre at den enkeltes personvern ivaretas, samtidig som samfunnet kan dra nytte av gode kredittopplysninger. En slik lovregulering er svært positivt, men da er det viktig at tiltakene for personvernet er gode nok.
Datatilsynet blir stadig kontaktet av folk som synes det er vanskelig og tidkrevende å sperre seg for kredittvurdering, for eksempel når det er snakk om ID-tyveri. I dag må man kontakte hvert enkelt kredittopplysningsforetak særskilt. Datatilsynet har i dag en oversikt over hvilke kredittvurderingsforetak som finnes, noe vi ikke vil ha i fremtiden. Da kan det bli enda vanskeligere å sette sperre hos alle foretakene. Dette kan gjøre det svært vanskelig å sikre seg mot konsekvensene av ID-tyveri.
Datatilsynet foreslår derfor at det etableres et felles sperreregister, for eksempel i Brønnøysundregistrene. Dette vil være mye enklere for både den enkelte og for kredittopplysningsforetakene. Siden ID-tyveri kan ha svært store konsekvenser for både enkeltpersoner og samfunnet som helhet, er det viktig å kunne iverksette effektive tiltak for de som er utsatte for denne typen kriminalitet.
I lovforslaget står det ikke klart hvilke opplysningstyper man kan bruke i kredittopplysningsvirksomhet. Det er en vesentlig svekkelse i forhold til dagens regler, og konsekvensene av dette er ikke utredet.
Datatilsynet mener det er nødvendig å presisere hvilke opplysninger som kan benyttes. I dag kan dataprogrammer finne sammenhenger mellom mange typer opplysninger og kredittverdighet. Det kan imidlertid være vanskelig å vite om sammenhengene skyldes kausalitet eller om de er tilfeldige. Dataprogrammene kan for eksempel komme frem til at visse befolkningsgrupper eller beboere i visse områder ikke bør få handle på kreditt. Dette kan innebære usaklig forskjellsbehandling eller forsterke sosiale stereotypier. En kredittopplysningslov bør ta høyde for personvernrisikoen i en tid hvor kunstig intelligens er på fremmarsj. Dette forslaget gjør ikke det.
Kredittvurdering innebærer at enkeltpersoner får en kredittscore regnet ut av et dataprogram. Scoren vil ha innvirkning på om man kan handle på kreditt eller ikke. Det er derfor viktig å sikre at kredittopplysningsforetakene har kontroll over algoritmen som regner ut scoren. For kundene er det viktig å kunne få en forklaring av hvorfor man har blitt tildelt en bestemt score. Lovforslaget inneholder ingen rett til slik forklaring, noe Datatilsynet mener er dypt problematisk.
Datatilsynet mener at det ikke skal være fritt frem å kredittvurdere i alle situasjoner. Lovforslaget må være tydelig på at kredittvurdering bare kan foretas når det foreligger en viss forretnings- eller kredittrisiko. Kredittopplysninger er beskyttelsesverdige og bør ikke deles med flere enn nødvendig. Dessuten kan en kredittscore i noen tilfeller slå urimelig ut og være misvisende.
Enkeltpersoner kredittvurderes ofte når de ønsker nødvendighetsgoder som strøm, telefon og husvære. Dersom en kredittscore slår urimelig ut, vil vedkommende urettmessig utestenges fra for eksempel boligmarkedet. Uansett er dette tjenester som alle i samfunnet er avhengige av. Dette må lovgiver ta høyde for.
Kredittopplysningsloven må være i tråd med den nye personvernforordningen som snart vil gjelde som norsk lov. Datatilsynet har derfor pekt på noen områder der forslaget må rettes opp eller kan forbedres. For eksempel kan departementet foreta en vurdering av personvernkonsekvensene av loven før den vedtas. Dette kan spare kredittopplysningsforetak for mye arbeid.