Inkassoföretag hanterar extra skyddsvärda personuppgifter (skulder) i stora mängder och måste följa respektive lands regelverk för branschen. Om dataskyddet brister riskeras sanktionsavgifter och i värsta fall att bli av med tillstånd att bedriva inkassoverksamhet och därmed sina intäkter.
– Det absolut viktigaste för ett inkassobolag är att inte bli av med sitt inkassotillstånd, säger Johan Stevenberg, dataskyddsombud på PostNord Strålfors.
Hantera och lagra personuppgifter säkert
Om gäldenärernas information inte hanteras rätt finns en risk att inkassobolaget inte bara bryter mot tillämplig dataskyddslagstiftning och inkassolagstiftning, utan även begår avtalsbrott mot sina uppdragsgivare och kan krävas på ersättning från de som lidit skada av den felaktiga behandlingen. För att minska den risken är det angeläget att inkassobolaget säkerställer och tar sitt ansvar för dataskyddet även om det anlitar en partner som sköter utskicken.
– Därför är det viktigt att inkassobolaget säkerställer att leverantören efterlever de instruktioner den mottagit så att gäldenärers information hanteras och skickas på ett korrekt sätt, säger Johan Stevenberg, som arbetade fyra år som Group Data Protection Officer på Intrum.
– Utan god informationssäkerhet kan man aldrig ha fullgott skydd för personuppgifter och annan information, säger Johan. Informationen ska behandlas säkert vilket också innefattar inom rätt jurisdiktion.
Förstå vilka länders lagar som gäller
Om personuppgifter förs ut utanför EU/EES kan det dataskydd som individen garanteras inom den jurisdiktionen urholkas. Inte alla länders lagstiftning säkerställer att individen ges samma rättigheter och möjligheter som inom EU/EES vilket kan leda till att hanteringen blir olaglig.
– Det kan vara ekonomiskt och teknologiskt jättebra för bolaget att anlita till exempel ett datacenter eller en supporttjänst i ett land utanför EU/EES, men dåligt för dataskyddet, alltså för individerna som fråntas sina rättigheter och möjligheter. Därför är det otroligt viktigt att förstå vilka lagar som gäller där informationen behandlas och hur dessa lagar påverkar dataskyddet.
Leverantör med koll på lagar och kanaler
Många kredithanterings- och inkassobolag är koncerner med verksamheter i flera länder. Varje enskilt bolag har tillstånd eller licensen att bedriva inkassoverksamhet enligt respektive lands regelverk och får inte dela med sig av information hur som helst om gäldenärer till andra bolag i samma koncern.
– En kommunikationsleverantör som erbjuder sina tjänster till koncerner verksamma i flera länder bör kunna hantera olika bolag inom samma koncern och efterleva olika regler i olika länder för samma leverans, säger Johan. Det är viktigt att leverantören förstår den utmaningen och kan hantera informationen separat per bolag beroende på bolagets system och lagar det verkar under.
För alla inkassobolag gäller det att kommunicera med sina gäldenärer på ett lagenligt, snabbt, säkert och kostnadseffektivt sätt.
– Då gäller det att kommunikationsleverantören inte bara har koll på teknologin utan även vad som gäller i respektive land så att inkassokrav kan skickas i lämpligast kanal, avslutar Johan.
Johans tre tips för att minimera riskerna i dataskyddet
- Vänta aldrig med dataskyddsfrågor utan jobba med från första början i allt som verksamheten gör - från ax till limpa.
- Skapa en intern kultur och förståelse kring dataskydd. Arbeta kontinuerligt med utbildning och förbättringar. Dataskydd ska vara en del i allt som verksamheten gör.
- Anlita en kommunikationsleverantör som förstår verksamhetens utmaningar och ser allvaret i dataskydd. Bygg ett långsiktigt samarbete baserat på förtroende och iterativa processer.
Vill du veta mer om hur ni kan stärka dataskyddet med rätt kommunikationslösningar? Kontakta oss.
+46 (0)76 881 20 51
Jeanette.Wittgren@Stralfors.se