Download dit artikel als PDF 14 september 2017

Nieuwe wet Algemene Verordening Gegevensbescherming. Waar moet u op letten? Deel 1: profilering

De Algemene Verordening Gegevensbescherming (AVG) zal op 28 mei 2018 in werking treden. Om ervoor te zorgen dat u goed voorbereid bent, zal met enige regelmaat een blog gepost worden waarin wij dieper ingaan op een onderwerp uit de AVG. Dit keer zal aandacht geschonken worden aan profilering. In welke opzichten wijkt de AVG af in de regulering van profilering van de privacywetgeving die op het moment geldt?

Profilering is volgens de AVG elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij bepaalde persoonlijke aspecten van natuurlijke personen worden geëvalueerd. Het gaat met name om het analyseren of voorspellen van de beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsing van de betrokkene.

Profilering in de huidige privacywetgeving
In de Nederlandse privacywetgeving, de Wet bescherming persoonsgegevens, is het verboden om besluiten over een persoon te nemen die die persoon treffen indien er sprake is van:

  1. een besluit dat wordt genomen op basis van een geautomatiseerde verwerking van persoonsgegevens en
  2. die geautomatiseerde verwerking bestemd is om een beeld te krijgen van bepaalde aspecten van de persoonlijkheid van de betrokkene.
     

Dit verbod is niet van toepassing indien het besluit wordt genomen in het kader van het sluiten of uitvoeren van een overeenkomst waarbij de betrokkene wordt geïnformeerd over de logica die ten grondslag ligt aan de geautomatiseerde verwerking en:

  1. het besluit aan het verzoek van betrokkene voldoet of
  2. indien passende maatregelen zijn genomen ter bescherming van de gerechtvaardigde belangen van de betrokkene.
     

Aan de tweede uitzondering is vrij snel voldaan. Voldoende is dat de betrokkene in de gelegenheid is gesteld om zijn zienswijze over het besluit naar voren te brengen.

Het verbod is overigens ook niet van toepassing indien het besluit wordt genomen op grond van een wet en die wet de gerechtvaardigde belangen van de betrokkene in voldoende mate beschermt.

Profilering in de AVG
Het uitgangspunt in de AVG is dat profilering verboden is. Dit verbod geldt indien:

  1. een besluit genomen wordt, zoals het innemen van een houding of opinie, het beïnvloeden van een persoon of het toe- of afwijzen van een verzoek
  2. op grond van uitsluitend geautomatiseerde verwerking, dus zonder enige menselijke tussenkomst en
  3. dat resulteert in rechtsgevolgen of aanmerkelijke gevolgen voor de betrokkene, ook indien het gaat op positieve gevolgen.

Het verbod is niet absoluut, tenzij het om kinderen gaat.

Wanneer mag profilering wel?
Profilering mag in de volgende gevallen:

  • indien het dient ter bescherming van het publiek domein;
  • het noodzakelijk is voor het sluiten van een overeenkomst met de betrokkene;
  • het toegestaan is door een wettelijk voorschrift;
  • indien er expliciete toestemming is verleend door de betrokkene.

Indien als grond voor profilering wordt aangevoerd dat het noodzakelijk is voor een overeenkomst, moet de verantwoordelijke de noodzaak aantonen. Indien expliciete toestemming als grond wordt gehanteerd, is vereist dat de betrokkene uitgelegd wordt hoe de geautomatiseerde besluitvorming werkt, welke gegevens verwerkt worden en wat de gevolgen zijn.

Plichten en rechten bij toepassen profilering
Indien profilering toegepast wordt, heeft de verantwoordelijke een reeks plichten en de betrokkene een reeks rechten. De verantwoordelijke moet passende maatregelen nemen om de rechten, vrijheden en gerechtvaardigde belangen van betrokkene te beschermen. Onder passende maatregelen vallen tevens maatregelen om de rechten van betrokkene te beschermen.

De betrokkene heeft recht op menselijke tussenkomst, recht om zijn standpunt kenbaar te maken en recht om het besluit aan te vechten. De betrokkene heeft tevens recht op informatie. Zo moet de verantwoordelijke de betrokkene actief informeren over het bestaan van profilering en de logica die ten grondslag ligt aan de besluitvorming, bijvoorbeeld via de privacy verklaring. Betrokkene mag tevens het verzoek doen om inzage te krijgen in de logica van de profilering. Veelal zal de inzage beperkt zijn tot inzage in de rol van de criteria in de totstandkoming van het automatisch besluit, om te voorkomen dat voor het bedrijf gevoelige of beschermde informatie vrij wordt gegeven. Verder heeft de betrokkene recht op inzage in nuttige informatie omtrent het belang en de verwachte gevolgen van de verwerking. Op grond van de AVG dient ook alle informatie beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk is in duidelijke en eenvoudige taal.

Bijzondere persoonsgevens
Profilering door middel van bijzondere persoonsgegevens is aan een nog zwaarder regime onderworpen en slechts toegestaan op twee gronden.

  1. De betrokkene moet expliciet toestemming gegeven hebben, of
  2. de verantwoordelijke moet een zwaarwegend algemeen belang hebben met een wettelijke basis die de profilering noodzakelijk maakt. Deze moet tevens evenredig zijn met het nagestreefde doel en de passende en specifieke maatregelen die worden getroffen om de betrokkene te beschermen.

Geconcludeerd kan worden dat de AVG betrokkenen in beginsel beter tegen profilering beschermt dan de huidige privacywetgeving. Bedrijven die gebruik maken van profilering dienen hier rekening mee te houden en ervoor te zorgen dat de profilering per 28 mei 2018 in overeenstemming met de AVG geschiedt.

 

Indien u meer wilt weten over dit onderwerp kunt u contact opnemen met Dewi Harkink of met één van onze advocaten uit de sectie Intellectueel Eigendom & IT.

Deze blog bevat algemene informatie en is met veel aandacht en zorgvuldigheid geschreven. Juridisch advies is echter altijd maatwerk. Wint u dus in een voorkomend geval altijd deskundig juridisch advies in. (Lees onze disclaimer)