Inkassoselskaper håndterer personopplysninger som krever ekstra beskyttelse (gjeld), i store mengder og må følge de enkelte landenes regelverk for bransjen. Ved brudd på personopplysningssikkerheten risikerer man straffegebyrer og i verste fall å miste tillatelsen til å drive inkassovirksomhet, og dermed også inntektene.

– Det absolutt viktigste for et inkassoselskap er å ikke miste tillatelsen til å drive inkassovirksomhet, sier Johan Stevenberg, personvernombud i PostNord Strålfors.

Håndtere og lagre personopplysninger på en sikker måte

Johan Stevenberg, personvernombud i PostNord Strålfors

Dersom skyldneres informasjon ikke håndteres på riktig måte, er det en risiko for at inkassoselskapet ikke bare bryter gjeldende personvern- og inkassolovgivning, men også begår avtalebrudd mot sine oppdragsgivere og kan bli erstatningspliktig overfor de som har lidd skade på grunn av den feilaktige behandlingen. For å redusere denne risikoen må inkassoselskapet sikre og ta ansvar for vernet av personopplysninger, også dersom det benytter seg av en partner som tar seg av utsendelsene.

– Det er derfor viktig at inkassoselskapet sikrer at leverandøren følger instruksene som er gitt, slik at skyldnernes informasjon håndteres og sendes på riktig måte, sier Johan Stevenberg, som har arbeidet i fire år som Group Data Protection Officer i Intrum.

– Uten god informasjonssikkerhet får man aldri et fullgodt vern av personopplysninger og annen informasjon, sier Johan. Informasjonen skal behandles på en sikker måte. Det innebærer også at den skal behandles i riktig jurisdiksjon.

Forstå hvilke lands lover som gjelder

Dersom personopplysninger overføres til land utenfor EU/EØS-området, kan det svekke det vernet av personopplysninger som garanteres i EU/EØS-området. Ikke alle lands lovgivning sikrer at enkeltpersoner gis de samme rettighetene og mulighetene som i EU/EØS-området, og det kan føre til at håndteringen blir ulovlig.

– Det kan for eksempel være en økonomisk og teknologisk god løsning for selskapet å bruke et datasenter eller en supporttjeneste i et land utenfor EU/EØS, men en dårlig løsning for personvernet, altså for enkeltpersoner som fratas sine rettigheter og muligheter. Det er derfor utrolig viktig å forstå hvilke lover som gjelder der opplysningene behandles, og hvordan disse lovene påvirker personvernet.

Leverandør med kontroll på lover og kanaler

Mange kreditthåndterings- og inkassoselskaper er konserner med virksomhet i flere land. Hvert enkelt selskap har tillatelse eller lisens til å drive inkassovirksomhet i henhold til det enkelte lands regelverk, og kan ikke uten videre dele informasjon om skyldnere med andre selskaper i samme konsern.

– En kommunikasjonsleverandør som tilbyr tjenester til konserner med virksomhet i flere land, bør kunne håndtere forskjellige selskaper i samme konsern og følge forskjellige regler i forskjellige land for samme leveranse, sier Johan. Det er viktig at leverandøren forstår denne utfordringen og kan håndtere informasjonen separat per selskap alt etter selskapets system og lovene det er underlagt.

For alle inkassoselskaper gjelder det å kommunisere med skyldnerne på en lovlig, rask, sikker og kostnadseffektiv måte.

– Da er det viktig at kommunikasjonsleverandøren ikke bare har kontroll på teknologien, men også på hva som gjelder i det enkelte landet, slik at inkassokrav kan sendes i den kanalen som egner seg best, avslutter Johan.

Johans tre tips for å minimere personvernrisikoene:

• Vent aldri med spørsmål knyttet til personvern, men jobb med dem fra starten av i alt virksomheten gjør – fra begynnelse til slutt.
• Skap en intern kultur og forståelse rundt personvern. Arbeid løpende med opplæring og forbedringer. Personvern skal være en del av alt virksomheten gjør.
• Bruk en kommunikasjonsleverandør som forstår virksomhetens utfordringer og ser alvoret i personvern. Bygg et langsiktig samarbeid basert på tillit og iterative prosesser.