In deze serie blogs geven wij aan wat de tien belangrijkste veranderingen zijn die de nieuwe Europese privacywet, de "Algemene Verordening Gegevensbescherming (AVG)" met zich meebrengt.
In dit blog: wat zijn de regels voor profilering, of "profiling" en "uitsluitend geautomatiseerde beslissingen"?
Wat zijn de regels voor profilering?
Eerst: wat zijn “uitsluitend geautomatiseerde individuele beslissingen”?
Van “uitsluitend geautomatiseerde individuele beslissingen” is sprake als een computer of algoritme op basis van input van bepaalde data een bepaalde beslissing neemt over een persoon, zonder dat daar een mens aan te pas komt. Als een mens dus op basis van de informatie een uiteindelijke beslissing neemt, valt het niet onder dit begrip. Maar, het moet dan wel gaan om een echte beslissing, niet alleen een formaliteit waarbij de persoon alle geautomatiseerde beslissingen handmatig bevestigt.
Voorbeelden hiervan zijn automatische credit checks of e-recruiting zonder tussenkomst van een persoon.
Wat is profilering of “profiling”?
Profiling is het geautomatiseerd opbouwen van profielen van mensen aan de hand van hun gegevens, met het doel om inzicht te krijgen in bepaalde persoonlijke kenmerken van de persoon (ook wel: deze te evalueren). Het gaat dan in feite om het automatisch indelen van de personen in groepen en/of het doen van voorspellingen of beoordelingen over de persoon, op basis van bepaalde persoonlijke kenmerken.
Bij “persoonlijke kenmerken” kunt u denken aan: iemands werkprestaties, gezondheid, economische positie, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie.
Een voorbeeld van profiling is “behavioral advisertising” op het internet aan de hand van interesses die zijn verzameld door het surfgedrag van personen te volgen via tracking cookies.
Een ander voorbeeld is het verzamelen en/of opkopen van informatie over mensen en het op basis daarvan indelen van die mensen in groepen, om vervolgens die informatie door te verkopen.
Profiling kán worden gebruikt om uitsluitend geautomatiseerde individuele beslissingen over de persoon te nemen.
Voorbeeld: Het tonen van de advertenties op basis van persoonlijke kenmerken, kán er toe leiden dat er geautomatiseerde beslissingen worden genomen over de persoon. Bijvoorbeeld doordat de persoon alleen bepaalde advertenties te zien krijgt en daardoor in feite wordt ‘uitgesloten’ van het kunnen kopen van bepaalde producten of het kunnen gebruiken van bepaalde diensten.
In dat geval gelden de hieronder aangegeven regels over uitsluitend geautomatiseerde individuele beslissingen. Als het er níet onder valt, bijvoorbeeld omdat de profiling niet helemaal geautomatiseerd plaatsvindt, of omdat er geen beslissingen over de persoon worden genomen, kijk dan bij “Tot slot geldt, specifiek voor profiling”.
Waarom is dit relevant?
Dit is relevant omdat het nemen van uitsluitend geautomatiseerde individuele beslissingen, waaronder profiling daarvoor, in bepaalde gevallen niet is toegestaan. De privacy toezichthouders hebben in concept richtlijnen aangegeven dat het gaat om een verbod.
De betrokkene moet de mogelijkheid krijgen tegen de beslissing bezwaar te maken.
Wanneer is het dan niet toegestaan?
Van belang is om te weten dat het nemen van uitsluitend geautomatiseerde individuele beslissingen, waaronder profiling daarvoor maar ook profiling op zich, wél is toegestaan.
Wat niet is toegestaan is het nemen van uitsluitend geautomatiseerde individuele beslissingen, waaronder profiling daarvoor, als dit:
- rechtsgevolgen (ook wel: “juridische effecten”) heeft voor de persoon, of
- als het op een andere manier een “aanzienlijke impact” op de persoon heeft (in de AVG staat: “in aanzienlijke mate treft”).
Maar let op: In sommige specifieke situaties is het nemen van dit soort beslissingen weer wél toegestaan. Die situaties benoemen we bij “Wanneer mag het dan wel?”
Wat zijn “rechtsgevolgen”?
Dat is niet altijd makkelijk te zeggen. Een rechtsgevolg ontstaat als een bepaald feit of een bepaalde omstandigheid van invloed is op de rechten of verplichtingen die een persoon heeft. Je kunt ook wel zeggen dat er sprake moet zijn van bepaalde juridische effecten.
Een voorbeeld: bij automatische credit checks kunnen personen die op een website een product willen kopen, worden geweigerd bij een negatieve uitkomst van de check. Omdat de persoon wordt geweigerd, kan deze geen aankoop doen. Dit is een juridisch effect omdat de persoon daardoor geen koopovereenkomst aan kan gaan.
En wanneer heeft het een “aanzienlijke impact”?
Van een aanzienlijke impact zal sprake zijn als de persoon op een ingrijpende manier de negatieve invloeden ondervindt van de uitsluitend geautomatiseerde individuele beslissingen, waaronder profilering.
Dit zal van geval tot geval verschillen. U zult moeten onderzoeken of de uitsluitend geautomatiseerde individuele beslissingen een dergelijke impact op de betreffende persoon hebben.
Een voorbeeld: Een laptop computer wordt gebruikt door verschillende personen in hetzelfde huis. Er worden tracking cookies op de computer geplaatst die het surfgedrag van de gebruikers bijhouden. Eén van de gebruikers, een tiener, bezoekt regelmatig seksueel getinte websites. Aan de hand van deze informatie worden advertenties getoond voor vergelijkbare websites. De andere gebruikers van de computer, waaronder de ouders van de tiener, zien de advertenties regelmatig voorbijkomen en spreken de tiener aan op het bezoek van de websites. De behavorial advertising op basis van het bezoek van de betreffende websites kan dan een aanzienlijke impact op de gebruiker hebben.
Wanneer mag het dan wel?
Soms mag uitsluitend geautomatiseerde individuele besluitvorming, waaronder profiling daarvoor, weer wel, zélfs als het rechtsgevolgen heeft of een andere aanzienlijke impact.
Namelijk in de volgende gevallen:
- Uw organisatie gebruikt de profiling en/of geautomatiseerde individuele beslissingen omdat dit noodzakelijk is om te beoordelen of uw organisatie een overeenkomst met de persoon aan wil gaan of om een overeenkomst met de persoon uit te voeren. Let op: uw organisatie moet kunnen aantonen dat het echt noodzakelijk is, en er geen minder ingrijpende maatregel kan worden gebruikt;
- De persoon heeft er geldige toestemming voor gegeven; of
- Het is toegestaan op grond van een wettelijke bepaling.
In het voorbeeld van “e-recruiting”: als een persoon via een website solliciteert en automatisch wordt afgewezen op basis van bepaalde persoonlijke kenmerken, dan heeft die afwijzing “rechtsgevolg”. De persoon wordt daardoor namelijk uitgesloten van de sollicitatieprocedure en loopt, door de beslissing van een computer, de kans mis om een baan te krijgen. Dit is een rechtsgevolg.
Maar, de organisatie beroept zich op de uitzondering dat de uitsluitend geautomatiseerde procedure noodzakelijk is om te beoordelen of zij een arbeidsovereenkomst aan wil gaan met de persoon. Het is noodzakelijk omdat zich zoveel sollicitanten aanmelden bij de organisatie, dat de kosten voor een handmatige selectieprocedure verhoudingsgewijs heel hoog zouden zijn.
Let op: Toestemming is hier niet geldig omdat de sollicitant zich onder druk gezet zal voelen om toestemming te geven, de toestemming is dan niet “vrij” gegeven en niet geldig.
Dus in die gevallen mag het wel gewoon?
Nee, ook niet altijd.
Als de uitsluitend geautomatiseerde individuele beslissingen, waaronder profiling namelijk worden genomen met zogenaamde “bijzondere” persoonsgegevens” dan mag dat alleen maar met geldige toestemming van de persoon (voor de overheid gelden nog een paar andere uitzonderingen). (Bij sollicitanten of werknemers kan dus niet gebruik gemaakt worden van bijzondere persoonsgegevens voor geautomatiseerde individuele beslissingen, waaronder profilering, want in die context is toestemming niet geldig.)
Bijzondere persoonsgegevens zijn gegevens over (iemands):
- gezondheid
- seksuele leven
- geloof of levensovertuiging
- politieke opinie
- lidmaatschap van een vakbond
- ras of etnische achtergrond
- genetische kenmerken
- biometrische kenmerken gebruikt om iemand te identificeren
- en strafrechtelijke gegevens
Hoe zit het met kinderen?
Verder staat in de privacywet dat kinderen (personen onder de 16 jaar) als uitgangspunt niet onderworpen moeten worden aan uitsluitend geautomatiseerde individuele beslissingen, waaronder profiling daarvoor, die rechtsgevolgen hebben of een andere aanzienlijke impact.
Alleen als het écht noodzakelijk is (wat uw organisatie moet aan kunnen tonen), dan kan worden gekeken of het mogelijk is om een beroep te doen op één van de uitzonderingen.
Let op: als u toestemming zou vragen in een online context, dan moet u verifiëren of de ouder(s) of voogd(en) er toestemming voor geven. Kijk voor meer informatie hierover in ons Factsheet Gegevens Kinderen.
Als het wel mag, zijn er dan nog extra regels?
Ja.
Als uw organisatie geautomatiseerde individuele beslissingen, waaronder profiling gebruikt omdat dit noodzakelijk is om te beoordelen of uw organisatie een overeenkomst met de persoon aan wilt gaan óf op basis van geldige toestemming van de persoon, dan gelden de volgende regels:
1. Uw organisatie moet maatregelen nemen om rekening te houden met de privacybelangen van de persoon. De persoon moet in ieder geval de mogelijkheid krijgen om zijn of haar mening te geven over de beslissing en deze tegen te spreken en het moet mogelijk zijn voor de betrokken persoon om te eisen dat een medewerker uit uw organisatie bij de beslissing wordt betrokken.
2. Verder moeten (technische) maatregelen worden genomen om te voorkomen dat er fouten worden gemaakt bij de beslissingen en om te voorkomen dat de betrokkenen personen worden gediscrimineerd op basis van bijzondere persoonsgegevens.
3. Uw organisatie moet in de privacyverklaring en op verzoek van de betrokken persoon uitleggen dát de uitsluitend geautomatiseerde individuele beslissingen worden genomen en of er profiling wordt gebruikt voor de beslissingen, wat de belangen en de gevolgen daarvan zijn voor de persoon en in eenvoudige taal: wat de logica is achter de beslissingen. De toezichthouders vinden het “good practice” om ook informatie te geven over uitsluitend geautomatiseerde individuele beslissingen en profiling, als die niet rechtsgevolgen hebben of een andere aanzienlijke impact. Maar het is niet wettelijk verplicht.
4. Als geautomatiseerde individuele beslissingen, waaronder profilering , worden gebruikt in het kader van direct marketing en de persoon maakt daar bezwaar tegen dan moet dat gebruik direct worden gestaakt.
5. Als het gaat om uitgebreide en systematische beoordeling van persoonlijke kenmerken van personen op basis van (dan dan niet uitsluitend) geautomatiseerde individuele beslissingen, waaronder profilering, met rechtsgevolgen of een andere impact voor de persoon, is het verplicht om een Privacy Impact Assessment (“PIA”) uit te voeren.
Voorbeeld van maatregelen om rekening te houden met de belangen van de personen: er is een database met gegevens van mensen die telefoonabonnementen die hun rekening niet hebben betaald. Wanneer een nieuwe abonnee een aanvraag doet voor een abonnement, doet de telefoonmaatschappij een uitvraag bij de database om na te gaan of de aanvrager eerder rekeningen niet heeft betaald. Daaruit komt een “negatieve” melding. De telefoonmaatschappij laat de persoon dit weten maar geeft de persoon wel de mogelijkheid om te onderbouwen waarom de rekening niet is betaald – als de persoon kan aantonen dat er bijvoorbeeld een dispuut was over de rekening, dan is het niet terecht om het abonnement te weigeren.
Tot slot geldt, specifiek voor profilering:
dat als dat wordt gedaan op basis van het “gerechtvaardigd belang” van uw organisatie, de betrokken persoon daar bezwaar tegen kan maken vanwege met zijn of haar specifieke situatie verband houdende redenen, dit tenzij uw organisatie kan aantonen dat er zwaardere redenen zijn om het wel te doen (maar dat zal niet snel het geval zijn).
Waar moet ik nog meer aan denken?
Zowel het nemen van uitsluitend geautomatiseerde individuele beslissingen aan de hand van persoonsgegevens, als profiling, vallen onder de AVG. Uw organisatie moet dus ook de andere privacyregels uit de AVG volgen.
Actiepunt: nagaan of uw organisatie aan uitsluitend geautomatiseerde individuele besluitvorming, waaronder profilering daarvoor doet, en zo ja, regels toepassen.