De toekomst van profiling in de Algemene Verordening Gegevensbescherming

Zoals minister Kamp schetst in zijn brief naar de Tweede Kamer op 20 juli jl. blijkt er nog veel onduidelijkheid te bestaan voor bedrijven over wat ze juridisch gezien wel en niet mogen bij het verwerken van grote hoeveelheden persoonsgegevens (big data).

Eén van de onderwerpen die hierbij vaak ter sprake komt is het concept van profiling: het opstellen van een profiel van iemand op basis van de gegevens die hij, bijvoorbeeld op internet, achterlaat. 

Jacob Kohnstamm, voorzitter van het College Bescherming Persoonsgegevens, gaf vorig jaar oktober in zijn speech bij de Nationale Denktank aan dat een van zijn zorgen is dat profiling indruist tegen een van de fundamentele waarden van de democratische samenleving. Immers, aldus Kohnstam, “volledige individuele ontplooiing en ontwikkeling is een illusie op het moment dat op basis van mijn profiel veel keuzes al voor mij gemaakt worden in plaats van door mij.”

Hier maakt hij een terecht punt: een profiel van iemand is slechts een bepaalde afspiegeling van deze persoon en hoeft niet per se te kloppen. Stel, je surft op internet en zoekt via Google veel naar de woorden ‘moord beramen’, ‘baksteen’, ‘verbergen lijk’: ben je dan bij voorbaat al een moordenaar? Of ben je één van de schrijvers van Flikken Maastricht en zoek je inspiratie voor een nieuwe aflevering?

Dit is één van de redenen dat het gebruik van profiling met waarborgen moet worden omkleed. In de Algemene Verordening Gegevensbescherming (AVG) is de stelregel dat geen besluitvorming op basis van profiling mag worden toegepast, indien deze besluitvorming rechtsgevolgen behelst voor de betrokkene of een aanmerkelijk effect op hem heeft.

Hierop zijn enkele uitzonderingen: profiling is toegestaan indien dit is vastgelegd in een nationale wet (bijvoorbeeld om fraude op te sporen), het noodzakelijk is voor het aangaan of uitvoeren van een overeenkomst met de betrokkene of uitdrukkelijke toestemming is gegeven door de betrokkene. Indien profiling wordt toegepast gelden wel bepaalde waarborgen. Zo moet onder meer de betrokkene hierover worden ingelicht, heeft hij een recht op menselijke interventie en recht om zijn eigen standpunt toe te lichten. Ook heeft betrokkene recht op een uitleg hoe tot een bepaalde beslissing is gekomen en mag hij een dergelijke beslissing aanvechten.

Inmiddels is de trialoog tussen de Europese Commissie, het Europees Parlement en de Europese Raad van Ministers gestart en zal naar verwachting eind van dit jaar de definitieve versie van de AVG worden gepresenteerd. Maar dan begint het puzzelen pas echt: want hoe zorg je ervoor als bedrijf dat je bovengenoemde waarborgen kan naleven?

Als je business model gebaseerd is op profiling doe je er als bedrijf goed aan hier nu alvast over te gaan nadenken. Een implementatietermijn van 2 jaar is zo voorbij en het niet voldoen aan de eisen zoals gesteld in de AVG zou zo maar eens tot fikse boetes van de toezichthouder kunnen gaan leiden tot wel 1 miljoen euro of 2% van de jaaromzet.