Steeds meer organisaties gebruiken profileringstechnieken en maken op geautomatiseerde wijze besluiten (over personen). Deze technieken kunnen grote gevolgen hebben voor de privacy van betrokkenen. In de aankomende Algemene Verordening Gegevensbescherming (AVG) stelt de Europese wetgever derhalve extra eisen aan geautomatiseerde besluitvorming. Voor organisaties is het goed om op de hoogte te zijn van deze eisen en hier tijdig op in te spelen. In deze blog gaan zetten wij de vereisten voor u op een rijtje.
Organisaties mogen mensen niet onderwerpen aan geautomatiseerde besluiten die rechtsgevolgen voor hen hebben of hen ‘anderszins in aanmerkelijke mate treffen’ (art. 22 AVG). Voorbeelden zijn de geautomatiseerde toe- of afwijzing van online kredietaanvragen of sollicitaties, zonder menselijke tussenkomst. Voor het overige is op dit moment nog onzeker wat de wetgever precies bedoelt met ‘anderszins in aanmerkelijke mate’. ‘Simpele’ profilering met betrekking tot direct marketing, zoals het aanbieden van voetbalschoenen nadat iemand heeft gegoogeld, lijkt buiten de reikwijdte van dit artikel te vallen.
De vraag is in hoeverre dat geldt voor zwaardere (profilerings)middelen voor direct marketing, zoals bijvoorbeeld de inzet van een Data Management Platform. Bedrijven kunnen daarmee personen cross device volgen en niet alleen gegevens uit de onlinewereld verzamelen, maar tevens gegevens uit de fysieke wereld, zoals winkelaankopen, locatiegegevens en zelfs gesprekken met de klantenservice. Vervolgens kan een bedrijf realtime nog gerichter adverteren. Mogelijk valt deze vorm van profilering onder het verbod. De profielen zijn immers dusdanig uitgebreid dat het bedrijf mogelijk aanbiedingen kan doen die een consument niet kan weigeren.
Betekent dit dat organisaties geen gebruik mogen maken van geautomatiseerde besluitvorming? Nee. De verordening geeft drie uitzonderingsgronden en koppelt tevens een aantal eisen aan geautomatiseerde besluitvorming. De wetgever staat toe dat organisaties hun besluitvormingsproces automatiseren indien het besluit:
Belangrijk om te beseffen is dat uitdrukkelijke toestemming zwaarder is dan de ‘normale’ ondubbelzinnige toestemming. Bij uitdrukkelijke toestemming moet de toestemmingshandeling van de betrokkene specifiek zien op toestemming voor geautomatiseerde besluitvorming. De informatie hierover kan niet worden verstopt in een privacy statement.
Tot slot, gelden nog andere eisen. De verantwoordelijke moet specifieke informatie geven over de totstandkoming van het besluit en dient de betrokkene te informeren over de geautomatiseerde besluitvorming, de onderliggende logica, het belang en de verwachte gevolgen ervan.
Daarnaast heeft de betrokkene een drietal rechten, namelijk:
Geautomatiseerde besluitvorming is niet geheel verboden, maar kan op basis van een van de drie uitzonderingsgronden worden ingezet. De verantwoordelijke dient dan wel te voldoen aan de extra eisen met betrekking tot de informatieplicht en de extra rechten voor betrokkenen.
Vraagt u zich af of uw organisatie onder de AVG op rechtmatige wijze profileert? Neem dan contact met ons op!