Geautomatiseerde besluitvorming & profilering: wat zijn de eisen?

In de Algemene verordening gegevensbescherming (AVG) is de definitie van profilering/profiling (in het kader van gegevensbescherming) als volgt beschreven: “Elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen.”

We spreken dus van profilering als een organisatie op basis van verkregen persoonsgegevens automatisch een profiel van de consument opstelt via de verzameling, analyse en koppeling van persoonsgegevens. Hierbij worden de gegevens gecombineerd om de consument zo in te kunnen delen in een bepaalde categorie of groep, zodat hij op deze manier benaderd of beoordeeld kan worden. Deze categorieën/individuele profielen worden bijvoorbeeld gebruikt voor direct marketing en om gericht advertenties aan de consument te laten zien. Ook kan op grond van deze profielen een risicoanalyse plaatsvinden, bijvoorbeeld over de kredietwaardigheid van de consument.

In de AVG wordt profilering omschreven als geautomatiseerde verwerking van persoonsgegevens voor het evalueren van persoonlijke aspecten, met name om zaken over personen te analyseren of te voorspellen.

Wat is AVG? | AVG uitgelegd | AnyStory made by Cooler Media

Uitsluitend geautomatiseerde besluitvorming

Het verbod op geautomatiseerde besluitvorming is alleen van toepassing als er helemaal geen sprake is van menselijke tussenkomst. Als een geheel geautomatiseerd proces een aanbeveling levert met betrekking tot een betrokkene, maar een medewerker beoordeelt eerst nog andere factoren bij het maken van de definitieve beslissing, is het besluit niet uitsluitend gebaseerd op een geautomatiseerde verwerking.

Let wel op dat je als organisatie (verwerkingsverantwoordelijke) het verbod niet kan omzeilen door menselijke tussenkomst te fabriceren. Als iemand bijvoorbeeld automatisch gegeneerde profielen toepast op betrokkenen zonder enige daadwerkelijke invloed op het resultaat, is dit nog steeds een besluit die uitsluitend op geautomatiseerde verwerking is gebaseerd.

Om als menselijke tussenkomst te kwalificeren, moet de verwerkingsverantwoordelijke ervoor zorgen dat elk toezicht op het besluit zinvol is, in plaats van alleen maar een gebaar. Het moet worden uitgevoerd door iemand die bevoegd is om de beslissing te wijzigen. Als onderdeel van de analyse moeten ze alle beschikbare invoer- en uitvoergegevens in beschouwing nemen.

Rechtsgevolg of in aanmerkelijke mate treffen

Het verbod op uitsluitend geautomatiseerde besluitvorming is alleen van toepassing als het besluit rechtsgevolg heeft, denk aan de weigering of toekenning van huur- of kinderbijslag of de automatische blokkade van je mobiele telefoon omdat de rekening niet is betaald, of de betrokkene op andere wijze aanmerkelijk treft.

Bij het laatste noemt de AVG in de overweging slechts twee voorbeelden: de automatische weigering van een online ingediende kredietaanvraag of van verwerking van sollicitaties via internet zonder menselijke tussenkomst. Maar op basis hiervan vaststellen of een besluit een betrokkene “in aanmerkelijke mate treft” is nog niet zo makkelijk. Als het gaat om kredietaanvragen zou het namelijk ook betekenen dat niet alleen een automatische kredietcheck bij een hypotheekaanvraag hieronder valt, maar ook als het gaat om het huren van een fiets in het buitenland of het kopen van een televisie op afbetaling.

Met name in de online advertising is geautomatiseerde besluitvorming van belang. Daarover zegt de Europese toezichthouder dat in geval van targeted advertising in beginsel geen sprake is van een aanmerkelijke impact. Denk bijvoorbeeld aan een advertentie voor een online modewebshop gebaseerd op een simpel demografisch profiel: ‘vrouwen in Amsterdam’. Maar er zijn echter ook situaties denkbaar waarin een gerichte advertentie een betrokkene aanmerkelijk treft. Dit is afhankelijk van de omvang van het profiel, de verwachtingen van de personen, de manier waarop de advertentie wordt afgeleverd en de specifieke kwetsbaarheden van de persoon.

Verwerkingen die over het algemeen weinig effect hebben op individuen kan in de praktijk een aanmerkelijke impact hebben op bepaalde groepen van de samenleving, zoals minderheidsgroepenof kwetsbare volwassenen. Iemand die in financiële moeilijkheden verkeert en regelmatig advertenties voor online gokken te zien krijgt, kan zich bijvoorbeeld aanmelden voor deze aanbiedingen en mogelijk verdere schulden oplopen.

Waar moet je als webshop aan voldoen?

Onder de AVG is elke vorm van geautomatiseerde verwerking van persoonsgegevens (waaronder profilering) niet toegestaan als daar voor de consument rechtsgevolgen (gevolgen die door het recht aan een bepaald feit worden verbonden) aan zijn verbonden of het besluit hem in aanmerkelijke mate treft. Wat hiermee wordt bedoeld, is nog niet geheel duidelijk. De Artikel 29-werkgroep (WG29) van de gezamenlijke Europese privacytoezichthouders is momenteel nog bezig met de uitwerking van de precieze betekenis.

Op dit verbod zijn al wel enkele uitzonderingen opgenomen in de verordening. Het automatisch verwerken van persoonsgegevens mag wel als dit:

noodzakelijk is voor de totstandkoming of uitvoering van een overeenkomst tussen een consument en een verwerkingsverantwoordelijke (zoals een webshop);

is toegestaan bij een Unierechtelijke of lidstaatrechtelijke bepaling die voorziet in passende maatregelen ter bescherming van de rechten, vrijheden en gerechtvaardigde belangen van de consument; of

berust op de uitdrukkelijke toestemming van de consument.

Kinderen mogen overigens sowieso niet worden geprofileerd.

Wanneer je als webshop profilering toepast, moet je bepaalde zekerheden voor de consument inbouwen. Je moet de consument van specifieke informatie voorzien, zoals waarom bepaalde beslissingen op basis van zijn profiel worden genomen. Denk daarbij aan het uitleggen waarom de consument bepaalde advertenties te zien krijgt of waarom een besluit ten aanzien van zijn kredietwaardigheid wordt genomen. Daarnaast heeft de consument bij geautomatiseerd genomen beslissingen altijd het recht op menselijke tussenkomst om:

zijn standpunt kenbaar te kunnen maken;

uitleg te krijgen over het genomen besluit;

dit besluit aan te kunnen vechten.

Wanneer je als webshop aan profilering doet, is het aan te raden een contactpersoon binnen je organisatie aan te stellen. Consumenten moeten hem of haar dan kunnen bereiken als ze vragen hebben of bezwaar willen maken tegen een beslissing.

FAQ

Wat is niet toegestaan bij profilering?

Onder de AVG is het in principe niet verboden om te profileren. Maar moet de organisatie een besluit nemen dat rechtsgevolgen of een aanzienlijke impact op de betrokkene heeft? Dan mag zij dat besluit niet geautomatiseerd nemen als het wordt gebaseerd op een profiel of een andere geautomatiseerde verwerking.

Wat is profiling AVG?

Algemene verordening gegevensbescherming (AVG / GDPR)

Er is sprake van profiling wanneer bepaalde persoonlijke aspecten van een natuurlijke persoon geautomatiseerd worden geëvalueerd.

Wat is geautomatiseerde verwerking van persoonsgegevens?

Profilering is het geautomatiseerd opbouwen van profielen van mensen aan de hand van hun gegevens, met als doel om inzicht te krijgen in bepaalde persoonlijke kenmerken van die persoon. Op een zakelijk level houdt dit in dat ze een besluit over iemand nemen op basis van het profiel van die persoon.

Welke gegevens vallen onder het recht van dataportabiliteit?

U heeft het recht om de persoonsgegevens te ontvangen die een organisatie van u heeft. Dit heet het recht op dataportabiliteit, ook wel het ‘recht om gegevens over te dragen’ genoemd. Zo kunt u uw gegevens bijvoorbeeld makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst.