Tidligere i mai mistet Norkart masse personinformasjon, inkludert fødselsnummer, om over halve Norges befolkning.
Norkart gikk selv ut og anbefalte alle som var berørt å sperre seg for kredittsjekk. Det er mange problemer med denne anbefalingen, men den største er at måten kredittsjekk fungerer på, er utdatert, og det virker ikke som noen har planer om å gjøre noe med det.
Hva er en kredittsjekk?
En kredittsjekk foretas ved at et kredittopplysningsselskap gjør en analyse av ulike sider av økonomien din. Inntekt, gjeld, betalingsanmerkninger osv. spiller inn, og til slutt gir dette selskapet deg en form for vurdering. Denne er ment å hjelpe den som skal gi deg kreditt med å forstå hvor høy risiko det vil være ved å ha deg som kunde.
Det er ikke fritt frem å gjennomføre en kredittsjekk av noen, det må foreligge en saklig grunn. Når et selskap mener å ha saklig grunn, må de identifisere deg til kredittopplysningsselskapet, og dette gjøres som oftest med fødselsnummer for å sikre at man har en unik identifikator på den man ønsker kredittsjekket.
Når du blir kredittsjekket, har du krav på et gjenpartsbrev. Dette er et brev som forteller deg hvem som har kredittsjekket deg og hvilke økonomiske opplysninger som ligger til grunn for kredittvurderingen som er gjort. Dette brevet er ment å gi deg et varsel om at en kredittsjekk har skjedd, samt gi deg innsyn i hvilke opplysninger som har blitt utlevert.
Hva er galt med kredittsjekk sånn det fungerer i dag?
Konsulenthus mente kontrakt ble gitt til feil leverandør – får millionerstatning
Den største utfordringen er at systemet virker som det er laget for en tid der kommunikasjon mellom ulike parter gikk tregt. Enhver som påstår å ha saklig grunn, får utlevert dine opplysninger, uten at du selv kan gi samtykke til dette fra gang til gang.
I dagens moderne samfunn virker det helt bakvendt at man først i etterkant av kredittsjekken skal få tilsendt et varsel om at den har skjedd. Det ville vært en smal sak å ha et system der man godkjente hver kredittsjekk med BankID. Det ville ha fjernet utfordringen med at enkelte aktører tillater kjøp på kreditt bare på bakgrunn av adresse og fødselsnummer.
Når systemet da dessverre er så gammeldags som i dag, er det enda mer hårreisende hvor vanskelig det er å sperre seg for kredittsjekk. Da Norkart anbefalte nordmenn å sperre seg for kredittsjekk, brukte jeg det som en anledning til å teste ut hvordan det fungerte.
Du må først finne ut at det er fire selskaper som kredittsjekker privatpersoner. Så må du finne tjenestene deres for å sperre deg for kredittsjekk. Her hjelper det ikke at Bisnode har valgt å legge sin nettside for privatpersoner på www.soliditet.no. (Og prøver du å gå til bisnode.no blir du sendt til dnb.com, ikke akkurat enkelt å forholde seg til.)
Experian var på sin side nede i tre dager etter Norkart-saken, og da de kom opp igjen, viste det seg at de tilbød den absolutt dårligste brukeropplevelsen. Her må du registrere en konto og oppgi både e-post og telefonnummer før du kan sperre deg for kredittsjekk. Du må altså øke risikoen din for lekkasje av persondata enda mer. Og hvis du ikke passer deg, takker du ja til å få alle gjenpartsbrev sendt til Experians egen portal – du vet, den som var nede i tre dager da det virkelig var viktig å kunne sjekke om man fikk noen gjenpartsbrev.
Alt i alt en katastrofe av en brukeropplevelse. Og verre skal det bli.
Når den nye kredittopplysningsloven som Stortinget vedtok i 2019 trer i kraft, blir det ikke lenger slik at Datatilsynet har oversikt over hvem som driver kredittopplysningsvirksomhet. Da kan det hende du må sperre deg for kredittsjekk hos et selskap du ikke vet at finnes. Datatilsynet har påpekt dette i høringsutkastet sitt og bedt om at det opprettes et felles sperreregister. Vi må alle håpe at det skjer, hvis ikke vil det i praksis ikke være mulig å sperre seg for kredittsjekk i fremtiden.
Hva burde gjøres?
Dette virker som en av de sakene der løsningene er åpenbare:
- Kredittsjekk må utføres basert på eksplisitt samtykke. Dersom jeg forsøker å handle på kreditt, eller søke lån, burde kredittopplysningsselskapet pålegges å innhente mitt samtykke til kredittsjekken. Det burde ha samme krav til sikkerhet som en betaling i nettbanken, som tross alt krever BankID for at jeg skal kunne betale en regning på 50 kroner.
- Det må opprettes et felles sperreregister. Selv med punkt 1 gjennomført vil det for noen være behov for å kunne sperre seg helt for kredittsjekk. Et felles register i Brønnøysundregistrene på lik linje med registeret for reservasjon mot reklame burde fungere helt fint.
- Gjenpartsbrev burde ikke kunne låses inn på systemet til kredittopplysningsselskapene selv, men burde sendes deg på lik linje med annen viktig post, enten i digital postkasse eller i fysisk post.
Om ikke annet har Norkart-saken gjort det tydelig at det er store mangler i måten vi gjennomfører kredittsjekk i Norge – og at det er på høy tid å modernisere denne prosessen.
Dette leserinnlegget er tidligere publisert på blogg.bekk.no.
IT-konsulenten gjorde helomvending: Hjelper folk ut av utbrenthet