Blog

AVG-serie: profileren en geautomatiseerde besluitvorming

Iedereen weet inmiddels wel dat partijen als Facebook en Amazon profielen van hun gebruikers samenstellen. Deze profielen worden onder meer samengesteld op basis van vriendenkringen, ‘likes’ en aangeschafte producten. Op basis van deze profielen kan vervolgens gerichter geadverteerd worden en kunnen suggesties aan gebruikers worden gedaan. Maar mag dit eigenlijk? Wat nou als uw profiel […]

Iedereen weet inmiddels wel dat partijen als Facebook en Amazon profielen van hun gebruikers samenstellen. Deze profielen worden onder meer samengesteld op basis van vriendenkringen, ‘likes’ en aangeschafte producten. Op basis van deze profielen kan vervolgens gerichter geadverteerd worden en kunnen suggesties aan gebruikers worden gedaan.

Maar mag dit eigenlijk? Wat nou als uw profiel niet klopt? En hoe zit het als een partij op basis van dit profiel gaat bepalen of u wel of niet kredietwaardig bent?

Op deze vragen zal in dit deel van de AVG-serie worden ingegaan. Daarbij zal worden ingezoomd op de bepalingen rondom profilering en de geautomatiseerde besluitvorming in de Algemene Verordening Gegevensbescherming (‘AVG’).

Profilering

Profilering is elke vorm van geautomatiseerde verwerking van persoonsgegevens, waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd. Profilering geschiedt met name met de bedoeling om iemands beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen. Profilering wil dus zeggen dat iemand aan de hand van een (risico)profiel wordt beoordeeld.

Profilering an sich is toegestaan onder de AVG. Dat kan echter veranderen wanneer er besluiten worden genomen op grond van deze profielen.

Geautomatiseerde besluitvorming

Uitgangspunt in de AVG is dat er geen geautomatiseerde besluitvorming op basis van profilering mag plaatsvinden, als daaraan rechtsgevolgen voor de betrokkene (degene wiens persoonsgegevens het betreft) zijn verbonden of het besluit hem in aanmerkelijke mate treft. Daarbij kan gedacht worden aan het hiervoor vermelde voorbeeld betreffende de kredietwaardigheid van een persoon. Een ander voorbeeld is het verwerken van sollicitaties via internet zonder menselijke tussenkomst.

Maar het recht zou het recht niet zijn, als er geen uitzonderingen zouden gelden. Zo is geautomatiseerde besluitvorming wel toegestaan als dit:

  • noodzakelijk is voor het aangaan of uitvoeren van een overeenkomst met de betrokkene;
  • op grond van de Nederlands wet is toegestaan (bijv. opsporing van belastingfraude); of
  • berust op uitdrukkelijke toestemming van de betrokkene.

Wanneer geautomatiseerde besluitvorming op grond van één van bovenstaande gronden plaatsvindt, dienen er echter wel voldoende passende waarborgen worden geboden. Dit houdt concreet in dat dat de betrokkene hierover specifiek moet worden ingelicht, hij recht heeft op menselijke tussenkomst, zijn standpunt moet kunnen toelichten en het besluit moet kunnen aanvechten. Ook heeft hij recht op uitleg over de totstandkoming van het besluit.

Overigens dienen organisaties in het achterhoofd te houden dat geautomatiseerde besluitvorming nooit betrekking mag hebben op kinderen en dat specifieke voorwaarden gelden als er bijzondere categorieën van persoonsgegevens ten grondslag liggen aan de besluitvorming.

Wat verandert er ten opzichte van de huidige wetgeving?

Op dit moment is de term profilering nog niet als zodanig in de Wet bescherming persoonsgegevens (‘Wbp’) opgenomen. Het verbod op geautomatiseerde besluitvorming en de uitzonderingen daarop zijn wel in de Wbp opgenomen. Onder de huidige Nederlandse wetgeving is geautomatiseerde besluitvorming op grond van profilering, dus ook alleen maar toegestaan als er voldoende waarborgen zijn getroffen. In die zin verandert er in Nederland dus niet zo veel met de komst van de AVG.

Wel nieuw is de expliciete vermelding in de AVG dat de betrokkene recht heeft om bezwaar te maken tegen profilering. De betreffende organisatie mag dit bezwaar enkel van de hand wijzen als zij dwingende gerechtvaardigde gronden voor de profilering aanvoert, die zwaarder wegen dan de belangen van de betrokkene.

Dat geldt echter niet in geval van profilering met betrekking tot direct marketing. Wanneer de betrokkene hiertegen bezwaar aanvoert, mogen zijn persoonsgegevens hoe dan ook niet meer voor zulke doeleinden gebruikt worden. Dit recht dient bovendien uitdrukkelijk, op duidelijke wijze en gescheiden van overige informatie onder de aandacht van betrokkene te worden gebracht.

Wat betekent dit voor uw organisatie?

Als uw businessmodel (grotendeels) is gebaseerd op profilering dan wel geautomatiseerde besluitvorming, is de komst van de AVG een goede reden om uw bedrijfsvoering nog eens onder te loep te nemen. Zo dient u te onderzoeken of de wiskundige/statistische procedures op grond waarvan profielen worden samengesteld nog up-to-date zijn. Ook is van belang dat uw organisatie voldoende technische en organisatorische maatregelen heeft getroffen om ervoor te zorgen dat onjuistheden tijdig worden gecorrigeerd en het risico op fouten tot een minimum wordt beperkt. Tot slot zult u zich af moeten vragen of uw organisatie aan haar informatieplicht jegens betrokkenen voldoet.

Auteur

Expertises

Deel dit artikel

Meer blogs

Familienaam als handelsnaam: geen probleem (?)

Veel bedrijven kiezen ervoor om een familienaam als handelsnaam te voeren. Een familienaam voelt immers al snel vertrouwd (ons kantoor heeft die keuze ook gemaakt). Maar pas op: oudere handelsnamen of merken kunnen aan het gebruik van een familienaam in de weg staan.  Even ter inleiding. Een handelsnaam is de naam waaronder een onderneming wordt […]

/LEES MEER

Familienaam als handelsnaam: geen probleem (?)

Veel bedrijven kiezen ervoor om een familienaam als handelsnaam te voeren. Een familienaam voelt immers al snel vertrouwd (ons kantoor heeft die keuze ook gemaakt). Maar pas op: oudere handelsnamen of merken kunnen aan het gebruik van een familienaam in de weg staan.  Even ter inleiding. Een handelsnaam is de naam waaronder een onderneming wordt […]

Het recht op immateriële schadevergoeding op grond van de AVG

Immateriële schadevergoeding bij datalek: bijzondere of gevoelige persoonsgegevens 

In 2023 oordeelde het Hof van Justitie dat een inbreuk op de AVG niet automatisch recht geeft op een schadevergoeding. In deze blog behandelen wij de Nederlandse rechtspraak omtrent het recht op immateriële schadevergoeding vanwege het lekken van bijzondere of gevoelige persoonsgegevens.

/LEES MEER

Het recht op immateriële schadevergoeding op grond van de AVG

Immateriële schadevergoeding bij datalek: bijzondere of gevoelige persoonsgegevens 

In 2023 oordeelde het Hof van Justitie dat een inbreuk op de AVG niet automatisch recht geeft op een schadevergoeding. In deze blog behandelen wij de Nederlandse rechtspraak omtrent het recht op immateriële schadevergoeding vanwege het lekken van bijzondere of gevoelige persoonsgegevens.

Het recht op immateriële schadevergoeding op grond van de AVG

Immateriële schadevergoeding bij datalek: angst en stress

In 2023 oordeelde het Hof van Justitie dat een inbreuk op de AVG niet automatisch recht geeft op een schadevergoeding. In deze blog behandelen wij de Nederlandse rechtspraak omtrent het recht op immateriële schadevergoeding vanwege angst en stress door een AVG-inbreuk.

/LEES MEER

Het recht op immateriële schadevergoeding op grond van de AVG

Immateriële schadevergoeding bij datalek: angst en stress

In 2023 oordeelde het Hof van Justitie dat een inbreuk op de AVG niet automatisch recht geeft op een schadevergoeding. In deze blog behandelen wij de Nederlandse rechtspraak omtrent het recht op immateriële schadevergoeding vanwege angst en stress door een AVG-inbreuk.

Het recht op immateriële schadevergoeding op grond van de AVG

Immateriële schadevergoeding bij datalek: onveilig gevoel

In 2023 oordeelde het Hof van Justitie dat een inbreuk op de AVG niet automatisch recht geeft op een schadevergoeding. In deze blog behandelen wij de Nederlandse rechtspraak omtrent het recht op immateriële schadevergoeding vanwege een onveilig gevoel door een AVG-inbreuk.

/LEES MEER

Het recht op immateriële schadevergoeding op grond van de AVG

Immateriële schadevergoeding bij datalek: onveilig gevoel

In 2023 oordeelde het Hof van Justitie dat een inbreuk op de AVG niet automatisch recht geeft op een schadevergoeding. In deze blog behandelen wij de Nederlandse rechtspraak omtrent het recht op immateriële schadevergoeding vanwege een onveilig gevoel door een AVG-inbreuk.