Geautomatiseerde besluitvorming en profilering. Wat zijn de rechten van betrokkenen onder de AVG?
In een reeks blogs vertel ik u meer over de rechten van betrokkenen onder de AVG. In dit blog vertel ik u meer over geautomatiseerde besluitvorming en profilering. Wat houdt het in? Welke rechten hebben betrokkenen? En waar moet u op letten?
Geautomatiseerde besluitvorming en profilering
In sommige branches is het al een tijdje gemeengoed om met behulp van big data en kunstmatige intelligentie gebruikers te profileren. Zo is het algemeen bekend dat social media-bedrijven en online winkels uitgebreide profielen van hun gebruikers samenstellen. Die profielen worden onder meer gebaseerd op de aangeschafte producten, interesses, bezochte internetpagina’s, likes en vriendengroepen. Op basis van die profielen kunnen deze bedrijven suggesties aan hun gebruikers doen en heel gericht adverteren.
Minder bekend is dat in andere branches ook profielen worden samengesteld. En dat computers of algoritmes op basis van die profielen besluiten nemen. Automatisch, zonder dat daar een menselijke blik aan te pas komt. Dit gebeurt bijvoorbeeld al bij sommige banken, waar online ingediende kredietaanvragen automatisch worden beoordeeld, maar ook bij verzekeringsmaatschappijen en in tal van andere branches. Zo worden bij sommige bedrijven sollicitaties via internet automatisch verwerkt, zonder dat er een mens aan te pas komt.
Geautomatiseerde besluitvorming en profilering: rechten onder de AVG
In de AVG is onderkend dat geautomatiseerde besluitvorming risico’s met zich meebrengt. Zo weten betrokken bijvoorbeeld vaak niet dat ze geprofileerd worden, of dat het besluit automatisch wordt genomen. En als de gegevens die gebruikt wordt onvolledig of onjuist zijn, lopen zij het risico dat hun aanvraag of verzoek onterecht wordt geweigerd. Daarbij lopen betrokkenen ook het risico in een verkeerd ‘hokje’ geplaatst te worden, of zelfs te worden gediscrimineerd.
Daarom is in artikel 22 van de AVG het recht van betrokkenen opgenomen om niet te worden onderworpen aan geautomatiseerde besluitvorming als die is gebaseerd op geautomatiseerde verwerking van persoonsgegevens of profilering. Het gaat hierbij om individuele besluiten die rechtsgevolgen of een aanzienlijke impact hebben voor de betrokkene. Dit recht wordt ook wel het ‘recht op een menselijke blik bij automatische besluiten’ genoemd.
Geautomatiseerde besluitvorming en profilering: wat mag nog wel?
In artikel 4 van de AVG is beschreven wat onder profilering wordt verstaan:
“Elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen.”
Onder de AVG is het in principe niet verboden om te profileren. Maar moet u een besluit nemen dat rechtsgevolgen of een aanzienlijke impact op de betrokkene heeft? Dan mag u dat besluit niet geautomatiseerd nemen als het wordt gebaseerd op een profiel of een andere geautomatiseerde verwerking. Op deze hoofdregel bestaat een aantal uitzonderingen. Geautomatiseerde besluitvorming is nog wel toegestaan als:
a. Het noodzakelijk is voor de totstandkoming of de uitvoering van de overeenkomst.
b. Het op grond van Nederlandse of Europese wetgeving is toegestaan.
c. De betrokkene uitdrukkelijk toestemming heeft gegeven.
Is er sprake van een geval onder a. of c.? Dan moet u passende maatregelen nemen om de rechten, vrijheden en gerechtvaardigde belangen van de betrokkene te beschermen. Dit houdt onder meer in dat de betrokkene het recht moet krijgen om zijn standpunt kenbaar te maken, om menselijke tussenkomst te vragen en het geautomatiseerde besluit aan te vechten.
Geautomatiseerde besluitvorming en profilering: wat mag echt niet?
Op grond van lid 3 van artikel 22 van de AVG mag u nooit geautomatiseerde besluitvorming toepassen op kinderen onder de 16 jaar.
En worden er bijzondere persoonsgegevens betrokken in de besluitvorming? Dan mag dat alleen als u aan specifieke voorwaarden voldoet.
Geautomatiseerde besluitvorming en profilering: welke verplichtingen heeft u nog meer?
Zoals u in mijn eerdere blogs heeft kunnen lezen, moet u betrokkenen actief informeren over hun rechten onder de AVG. Bovendien moet u betrokkenen daadwerkelijk in staat stellen om die rechten ook uit te oefenen. Zo moet het voor betrokkenen onder meer mogelijk zijn contact met u op te nemen over de inzage in en het verwijderen, wijzigen of overdragen van hun persoonsgegevens. Ook moet een betrokkene bezwaar kunnen maken, bijvoorbeeld tegen profilering voor direct marketingdoeleinden.
Daarnaast moet u, als u profileert en/of geautomatiseerd besluiten neemt regelmatig controleren of uw systemen nog voldoen. Het risico op fouten moet daarbij tot een minimum worden beperkt en eventuele onjuistheden of onvolledigheden moeten tijdig worden opgespoord, gecorrigeerd of aangevuld.
Vragen?
Heeft u vragen over dit onderwerp? Of wilt u laten controleren of uw organisaties aan de AVG voldoet? Neem dan gerust contact op met een van onze advocaten privacyrecht.
Dit blog is onderdeel van een reeks:
Hoe ver gaat het recht op inzage onder de AVG?
AVG: hoe ver gaat het recht om vergeten te worden?
AVG: het recht op rectificatie
AVG: het recht op dataportabiliteit
AVG en het recht van bezwaar
AVG: wat is het recht op beperking van de verwerking?