Blog

AVG-serie: profileren en geautomatiseerde besluitvorming

Iedereen weet inmiddels wel dat partijen als Facebook en Amazon profielen van hun gebruikers samenstellen. Deze profielen worden onder meer samengesteld op basis van vriendenkringen, ‘likes’ en aangeschafte producten. Op basis van deze profielen kan vervolgens gerichter geadverteerd worden en kunnen suggesties aan gebruikers worden gedaan. Maar mag dit eigenlijk? Wat nou als uw profiel […]

Iedereen weet inmiddels wel dat partijen als Facebook en Amazon profielen van hun gebruikers samenstellen. Deze profielen worden onder meer samengesteld op basis van vriendenkringen, ‘likes’ en aangeschafte producten. Op basis van deze profielen kan vervolgens gerichter geadverteerd worden en kunnen suggesties aan gebruikers worden gedaan.

Maar mag dit eigenlijk? Wat nou als uw profiel niet klopt? En hoe zit het als een partij op basis van dit profiel gaat bepalen of u wel of niet kredietwaardig bent?

Op deze vragen zal in dit deel van de AVG-serie worden ingegaan. Daarbij zal worden ingezoomd op de bepalingen rondom profilering en de geautomatiseerde besluitvorming in de Algemene Verordening Gegevensbescherming (‘AVG’).

Profilering

Profilering is elke vorm van geautomatiseerde verwerking van persoonsgegevens, waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd. Profilering geschiedt met name met de bedoeling om iemands beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen. Profilering wil dus zeggen dat iemand aan de hand van een (risico)profiel wordt beoordeeld.

Profilering an sich is toegestaan onder de AVG. Dat kan echter veranderen wanneer er besluiten worden genomen op grond van deze profielen.

Geautomatiseerde besluitvorming

Uitgangspunt in de AVG is dat er geen geautomatiseerde besluitvorming op basis van profilering mag plaatsvinden, als daaraan rechtsgevolgen voor de betrokkene (degene wiens persoonsgegevens het betreft) zijn verbonden of het besluit hem in aanmerkelijke mate treft. Daarbij kan gedacht worden aan het hiervoor vermelde voorbeeld betreffende de kredietwaardigheid van een persoon. Een ander voorbeeld is het verwerken van sollicitaties via internet zonder menselijke tussenkomst.

Maar het recht zou het recht niet zijn, als er geen uitzonderingen zouden gelden. Zo is geautomatiseerde besluitvorming wel toegestaan als dit:

  • noodzakelijk is voor het aangaan of uitvoeren van een overeenkomst met de betrokkene;
  • op grond van de Nederlands wet is toegestaan (bijv. opsporing van belastingfraude); of
  • berust op uitdrukkelijke toestemming van de betrokkene.

Wanneer geautomatiseerde besluitvorming op grond van één van bovenstaande gronden plaatsvindt, dienen er echter wel voldoende passende waarborgen worden geboden. Dit houdt concreet in dat dat de betrokkene hierover specifiek moet worden ingelicht, hij recht heeft op menselijke tussenkomst, zijn standpunt moet kunnen toelichten en het besluit moet kunnen aanvechten. Ook heeft hij recht op uitleg over de totstandkoming van het besluit.

Overigens dienen organisaties in het achterhoofd te houden dat geautomatiseerde besluitvorming nooit betrekking mag hebben op kinderen en dat specifieke voorwaarden gelden als er bijzondere categorieën van persoonsgegevens ten grondslag liggen aan de besluitvorming.

Wat verandert er ten opzichte van de huidige wetgeving?

Op dit moment is de term profilering nog niet als zodanig in de Wet bescherming persoonsgegevens (‘Wbp’) opgenomen. Het verbod op geautomatiseerde besluitvorming en de uitzonderingen daarop zijn wel in de Wbp opgenomen. Onder de huidige Nederlandse wetgeving is geautomatiseerde besluitvorming op grond van profilering, dus ook alleen maar toegestaan als er voldoende waarborgen zijn getroffen. In die zin verandert er in Nederland dus niet zo veel met de komst van de AVG.

Wel nieuw is de expliciete vermelding in de AVG dat de betrokkene recht heeft om bezwaar te maken tegen profilering. De betreffende organisatie mag dit bezwaar enkel van de hand wijzen als zij dwingende gerechtvaardigde gronden voor de profilering aanvoert, die zwaarder wegen dan de belangen van de betrokkene.

Dat geldt echter niet in geval van profilering met betrekking tot direct marketing. Wanneer de betrokkene hiertegen bezwaar aanvoert, mogen zijn persoonsgegevens hoe dan ook niet meer voor zulke doeleinden gebruikt worden. Dit recht dient bovendien uitdrukkelijk, op duidelijke wijze en gescheiden van overige informatie onder de aandacht van betrokkene te worden gebracht.

Wat betekent dit voor uw organisatie?

Als uw businessmodel (grotendeels) is gebaseerd op profilering dan wel geautomatiseerde besluitvorming, is de komst van de AVG een goede reden om uw bedrijfsvoering nog eens onder te loep te nemen. Zo dient u te onderzoeken of de wiskundige/statistische procedures op grond waarvan profielen worden samengesteld nog up-to-date zijn. Ook is van belang dat uw organisatie voldoende technische en organisatorische maatregelen heeft getroffen om ervoor te zorgen dat onjuistheden tijdig worden gecorrigeerd en het risico op fouten tot een minimum wordt beperkt. Tot slot zult u zich af moeten vragen of uw organisatie aan haar informatieplicht jegens betrokkenen voldoet.

Auteur

Expertises

Deel dit artikel

Meer blogs

Webinar commerciële/IE-contracten 2024

Op 6 november 2024 presenteerden Ernst-Jan Louwers en Nathalie van der Zande een live webinar over commerciële/IE-contracten voor de Academie voor de Rechtspraktijk. In dit webinar, dat bestaat uit twee blokken van een uur, deelden zij praktische inzichten en bespraken zij actuele kwesties binnen dit vakgebied. Het webinar is on demand terug te kijken.

/LEES MEER

Webinar commerciële/IE-contracten 2024

Op 6 november 2024 presenteerden Ernst-Jan Louwers en Nathalie van der Zande een live webinar over commerciële/IE-contracten voor de Academie voor de Rechtspraktijk. In dit webinar, dat bestaat uit twee blokken van een uur, deelden zij praktische inzichten en bespraken zij actuele kwesties binnen dit vakgebied. Het webinar is on demand terug te kijken.

AVG, gerechtvaardigd belang

AVG en gerechtvaardigd belang: wat de KNLTB-zaak betekent voor uw organisatie

Recent verduidelijkte het Hof dat commerciële belangen onder voorwaarden kunnen gelden als gerechtvaardigd belang voor gegevensverwerking onder de AVG. In deze blog bespreken we de uitspraak en geven we een 5-stappenplan voor het verwerken van persoonsgegevens op grond van gerechtvaardigde belangen.

/LEES MEER

AVG, gerechtvaardigd belang

AVG en gerechtvaardigd belang: wat de KNLTB-zaak betekent voor uw organisatie

Recent verduidelijkte het Hof dat commerciële belangen onder voorwaarden kunnen gelden als gerechtvaardigd belang voor gegevensverwerking onder de AVG. In deze blog bespreken we de uitspraak en geven we een 5-stappenplan voor het verwerken van persoonsgegevens op grond van gerechtvaardigde belangen.

Kyara van Roessel versterkt Louwers IP&Tech Advocaten

Per 1 augustus 2024 heeft Kyara van Roessel zich aangesloten bij Louwers IP&Tech Advocaten. Kyara zal de groeiende merken- en modellenregistratiepraktijk binnen Louwers IP&Tech Advocaten ondersteunen.

/LEES MEER

Kyara van Roessel versterkt Louwers IP&Tech Advocaten

Per 1 augustus 2024 heeft Kyara van Roessel zich aangesloten bij Louwers IP&Tech Advocaten. Kyara zal de groeiende merken- en modellenregistratiepraktijk binnen Louwers IP&Tech Advocaten ondersteunen.