Blogs

Geautomatiseerde besluitvorming en profilering. Wat zijn de rechten van betrokkenen onder de AVG?

20/01/20 Bekijk reacties Verwachte leestijd: 6 minuten

In een reeks blogs vertel ik u meer over de rechten van betrokkenen onder de AVG. In dit blog ga ik in op geautomatiseerde besluitvorming en profilering. Wat houdt het in? Welke rechten hebben betrokkenen? En waar moeten organisaties op letten?

Geautomatiseerde besluitvorming en profilering

In sommige branches is het al een tijdje gemeengoed om met behulp van big data-analyses en kunstmatige intelligentie gebruikers te profileren. Zo is het algemeen bekend dat social media-bedrijven en online winkels uitgebreide profielen van hun gebruikers samenstellen. Die profielen worden onder meer gebaseerd op de aangeschafte producten, interesses, bezochte internetpagina’s, likes en vriendengroepen. Op basis van die profielen kunnen deze bedrijven suggesties aan hun gebruikers doen en heel gericht adverteren (“targeted advertising”).

Minder bekend is dat in andere branches ook profielen worden samengesteld. En dat computers of algoritmes op basis van die profielen besluiten nemen. Automatisch, zonder dat daar nog een menselijke blik aan te pas komt. Dit gebeurt bijvoorbeeld al bij sommige banken, waar online ingediende kredietaanvragen automatisch worden beoordeeld, maar ook bij verzekeringsmaatschappijen en in tal van andere branches. Zo worden bij sommige bedrijven sollicitaties via internet automatisch door een computer/algoritme verwerkt.

Geautomatiseerde besluitvorming en profilering: rechten onder de AVG

In de AVG is onderkend dat dergelijke geautomatiseerde besluitvorming risico’s met zich meebrengt. Zo weten betrokkenen bijvoorbeeld vaak niet dat ze geprofileerd worden, of dat het besluit automatisch wordt genomen. En als de gegevens die gebruikt worden onvolledig of onjuist zijn, lopen zij het risico dat hun aanvraag of verzoek onterecht wordt geweigerd. Daarbij lopen betrokkenen ook het risico in een verkeerd ‘hokje’ geplaatst te worden, of zelfs te worden gediscrimineerd.

Daarom is in artikel 22 van de AVG het recht van betrokkenen opgenomen om niet te worden onderworpen aan geautomatiseerde besluitvorming als die is gebaseerd op geautomatiseerde verwerking van persoonsgegevens of profilering. Het gaat hierbij om individuele besluiten die rechtsgevolgen of een aanzienlijke impact hebben voor de betrokkene. Dit recht wordt ook wel het ‘recht op een menselijke blik bij automatische besluiten’ genoemd.

Geautomatiseerde besluitvorming en profilering: wat mag nog wel?

In artikel 4 van de AVG is beschreven wat onder profilering wordt verstaan:

“Elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen.”

Onder de AVG is het in principe niet verboden om te profileren. Maar moet de organisatie een besluit nemen dat rechtsgevolgen of een aanzienlijke impact op de betrokkene heeft? Dan mag zij dat besluit niet geautomatiseerd nemen als het wordt gebaseerd op een profiel of een andere geautomatiseerde verwerking. Met andere woorden: De computer mag niet de mens vervangen. De betrokkene moet altijd de mogelijkheid hebben om een mens te betrekken bij de uitkomst van de (geautomatiseerde) besluitvorming. Op deze hoofdregel bestaat een aantal uitzonderingen. Geautomatiseerde besluitvorming is nog wel toegestaan als:

  1. Het noodzakelijk is voor de totstandkoming of de uitvoering van de overeenkomst.
  2. Het op grond van Nederlandse of Europese wetgeving is toegestaan.
  3. De betrokkene uitdrukkelijk toestemming heeft gegeven.

Is er sprake van een geval onder 1. of 3.? Dan moet de organisatie passende maatregelen nemen om de rechten, vrijheden en gerechtvaardigde belangen van de betrokkene te beschermen. Dit houdt onder meer in dat de betrokkene het recht moet krijgen om zijn standpunt kenbaar te maken, om menselijke tussenkomst te vragen en het geautomatiseerde besluit aan te vechten.

Geautomatiseerde besluitvorming en profilering: wat mag echt niet?

Uit de overwegingen bij de AVG blijkt dat kinderen nimmer mogen worden onderworpen aan geautomatiseerde besluitvorming.

Worden er bijzondere persoonsgegevens als bedoeld in artikel 9 van de AVG betrokken in de besluitvorming? Dan mag dat alleen als er aan specifieke voorwaarden is voldaan.

Geautomatiseerde besluitvorming en profilering: welke verplichtingen hebben organisaties nog meer?

Zoals u in mijn eerdere blogs heeft kunnen lezen, moet iedere organisatie betrokkenen informeren over hun rechten onder de AVG. Bovendien moet de organisatie betrokkenen daadwerkelijk in staat stellen om die rechten ook uit te oefenen. Zo moet het voor betrokkenen onder meer mogelijk zijn contact op te nemen over de inzage in en het verwijderen, wijzigen of overdragen van hun persoonsgegevens. Ook moet een betrokkene bezwaar kunnen maken, bijvoorbeeld tegen profilering voor direct marketingdoeleinden.

Daarnaast moeten organisaties die profileren en/of gebruik maken van geautomatiseerde besluitvorming regelmatig controleren of hun systemen nog voldoen. Het risico op fouten moet daarbij tot een minimum worden beperkt en eventuele onjuistheden of onvolledigheden moeten tijdig worden opgespoord, gecorrigeerd of aangevuld.

Vragen?

Heeft u vragen over dit onderwerp? Neemt u dan gerust contact op met een van onze advocaten privacyrecht.

Lees ook:

Plaats zelf een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Terug naar alle blogs