Iedereen weet inmiddels wel dat partijen als Facebook en Amazon profielen van hun gebruikers samenstellen. Deze profielen worden onder meer samengesteld op basis van vriendenkringen, ‘likes’ en aangeschafte producten. Op basis van deze profielen kan vervolgens gerichter geadverteerd worden en kunnen suggesties aan gebruikers worden gedaan.
Maar mag dit eigenlijk? Wat nou als uw profiel niet klopt? En hoe zit het als een partij op basis van dit profiel gaat bepalen of u wel of niet kredietwaardig bent?
Op deze vragen zal in dit deel van de AVG-serie worden ingegaan. Daarbij zal worden ingezoomd op de bepalingen rondom profilering en de geautomatiseerde besluitvorming in de Algemene Verordening Gegevensbescherming (‘AVG’).
Profilering
Profilering is elke vorm van geautomatiseerde verwerking van persoonsgegevens, waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd. Profilering geschiedt met name met de bedoeling om iemands beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen. Profilering wil dus zeggen dat iemand aan de hand van een (risico)profiel wordt beoordeeld.
Profilering an sich is toegestaan onder de AVG. Dat kan echter veranderen wanneer er besluiten worden genomen op grond van deze profielen.
Geautomatiseerde besluitvorming
Uitgangspunt in de AVG is dat er geen geautomatiseerde besluitvorming op basis van profilering mag plaatsvinden, als daaraan rechtsgevolgen voor de betrokkene (degene wiens persoonsgegevens het betreft) zijn verbonden of het besluit hem in aanmerkelijke mate treft. Daarbij kan gedacht worden aan het hiervoor vermelde voorbeeld betreffende de kredietwaardigheid van een persoon. Een ander voorbeeld is het verwerken van sollicitaties via internet zonder menselijke tussenkomst.
Maar het recht zou het recht niet zijn, als er geen uitzonderingen zouden gelden. Zo is geautomatiseerde besluitvorming wel toegestaan als dit:
- noodzakelijk is voor het aangaan of uitvoeren van een overeenkomst met de betrokkene;
- op grond van de Nederlands wet is toegestaan (bijv. opsporing van belastingfraude); of
- berust op uitdrukkelijke toestemming van de betrokkene.
Wanneer geautomatiseerde besluitvorming op grond van één van bovenstaande gronden plaatsvindt, dienen er echter wel voldoende passende waarborgen worden geboden. Dit houdt concreet in dat dat de betrokkene hierover specifiek moet worden ingelicht, hij recht heeft op menselijke tussenkomst, zijn standpunt moet kunnen toelichten en het besluit moet kunnen aanvechten. Ook heeft hij recht op uitleg over de totstandkoming van het besluit.
Overigens dienen organisaties in het achterhoofd te houden dat geautomatiseerde besluitvorming nooit betrekking mag hebben op kinderen en dat specifieke voorwaarden gelden als er bijzondere categorieën van persoonsgegevens ten grondslag liggen aan de besluitvorming.
Wat verandert er ten opzichte van de huidige wetgeving?
Op dit moment is de term profilering nog niet als zodanig in de Wet bescherming persoonsgegevens (‘Wbp’) opgenomen. Het verbod op geautomatiseerde besluitvorming en de uitzonderingen daarop zijn wel in de Wbp opgenomen. Onder de huidige Nederlandse wetgeving is geautomatiseerde besluitvorming op grond van profilering, dus ook alleen maar toegestaan als er voldoende waarborgen zijn getroffen. In die zin verandert er in Nederland dus niet zo veel met de komst van de AVG.
Wel nieuw is de expliciete vermelding in de AVG dat de betrokkene recht heeft om bezwaar te maken tegen profilering. De betreffende organisatie mag dit bezwaar enkel van de hand wijzen als zij dwingende gerechtvaardigde gronden voor de profilering aanvoert, die zwaarder wegen dan de belangen van de betrokkene.
Dat geldt echter niet in geval van profilering met betrekking tot direct marketing. Wanneer de betrokkene hiertegen bezwaar aanvoert, mogen zijn persoonsgegevens hoe dan ook niet meer voor zulke doeleinden gebruikt worden. Dit recht dient bovendien uitdrukkelijk, op duidelijke wijze en gescheiden van overige informatie onder de aandacht van betrokkene te worden gebracht.
Wat betekent dit voor uw organisatie?
Als uw businessmodel (grotendeels) is gebaseerd op profilering dan wel geautomatiseerde besluitvorming, is de komst van de AVG een goede reden om uw bedrijfsvoering nog eens onder te loep te nemen. Zo dient u te onderzoeken of de wiskundige/statistische procedures op grond waarvan profielen worden samengesteld nog up-to-date zijn. Ook is van belang dat uw organisatie voldoende technische en organisatorische maatregelen heeft getroffen om ervoor te zorgen dat onjuistheden tijdig worden gecorrigeerd en het risico op fouten tot een minimum wordt beperkt. Tot slot zult u zich af moeten vragen of uw organisatie aan haar informatieplicht jegens betrokkenen voldoet.