Onder de Algemene verordening gegevensbescherming (“AVG”) wordt specifiek aandacht besteed aan profileringen geautomatiseerde besluitvorming, al dan niet door middel van profilering. In steeds meer sectoren worden profilering en geautomatiseerde besluitvorming toegepast. Denk aan banken, gezondheidszorg, verzekeringsmaatschappijen, marketing en advertenties. Dankzij de technologische ontwikkelingen en de mogelijkheden van big data-analyse en kunstmatige intelligentie is het nog makkelijker geworden om profielen te maken en geautomatiseerde beslissingen te nemen.
Profilering en geautomatiseerde besluitvorming kunnen nuttig zijn voor betrokkenen (degenen op wie persoonsgegevens betrekking hebben) en organisaties. Organisaties zijn immers beter in staat om hun markt en doelgroepen te segmenteren en kunnen zodoende hun producten en diensten beter afstemmen op individuele behoeften, waar individuen uiteindelijk baat bij hebben.
Profilering en geautomatiseerde besluitvorming kunnen echter ook risico’s meebrengen voor de privacy van betrokkenen. Zo weten veel mensen vaak niet dat ze geprofileerd worden en begrijpen ze niet hoe het werkt. Daarnaast kan het ertoe leiden dat een persoon in een hokje wordt geplaatst en zelfs, indien data onjuist of onvolledig is, tot onjuiste voorspellingen en (onterechte) weigering van levering van bepaalde producten of diensten en zelfs discriminatie.
Wat is profilering en geautomatiseerde besluitvorming?
De AVG richt zich niet alleen op de beslissingen die zijn genomen als gevolg van geautomatiseerde verwerking of profilering. Het geldt voor het verzamelen van gegevens voor het opstellen van profielen, evenals de toepassing van die profielen op individuen.
Profilering
De AVG definieert profilering als “elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen.”
Geautomatiseerde besluitvorming
Ten aanzien van geautomatiseerde besluitvorming bepaalt de AVG, in een daarvoor specifieke bepaling, dat betrokkenen het recht hebben om niet te worden onderworpen aan een louter op geautomatiseerde verwerking gebaseerd besluit, dat een maatregel kan behelzen — over persoonlijke hem betreffende aspecten, waaraan voor hem rechtsgevolgen zijn verbonden of dat hem op vergelijkbare wijze aanmerkelijk treft, zoals de automatische weigering van een online ingediende kredietaanvraag of van verwerking van sollicitaties via internet zonder menselijke tussenkomst.
Als het gaat om profilering en geautomatiseerde besluitvorming zijn er dus drie vormen denkbaar:
- Het opstellen van profielen
- Besluitvorming op basis van profielen (bijvoorbeeld: een persoon beslist of de lening kan worden verstrekt op basis van een profiel)
- Een louter op geautomatiseerde verwerking gebaseerd besluit, al dan niet op basis van een profiel (bijvoorbeeld: een algoritme bepaalt of de lening kan worden verstrekt en het besluit wordt automatisch met de betrokkene gedeeld, zonder menselijke tussenkomst)
Uitsluitend geautomatiseerde besluitvorming
Het verbod op geautomatiseerde besluitvorming is alleen van toepassing als er helemaal geen sprake is van menselijke tussenkomst. Als een geheel geautomatiseerd proces een aanbeveling levert met betrekking tot een betrokkenen, maar er medewerker beoordeelt eerst nog andere factoren bij het maken van de definitieve beslissing, is het besluit niet uitsluitend gebaseerd op een geautomatiseerde verwerking.
Let wel op dat je als organisatie (verwerkingsverantwoordelijke) het verbod niet kan omzeilen door menselijke tussenkomst te fabriceren. Als iemand bijvoorbeeld automatisch gegeneerde profielen toepast op betrokkenen zonder enige daadwerkelijke invloed op het resultaat, is dit nog steeds een besluit die uitsluitend op geautomatiseerde verwerking is gebaseerd.
Om als menselijke tussen komst te kwalificeren, moet de verantwoordelijke ervoor zorgen dat elk toezicht op het besluit zinvol is, in plaats van alleen maar een gebaar. Het moet worden uitgevoerd door iemand die bevoegd is om de beslissing te wijzigen. Als onderdeel van de analyse moeten ze alle beschikbare invoer- en uitvoergegevens in beschouwing nemen.
Rechtsgevolg of in aanmerkelijke mate treffen
Het verbod op uitsluitend geautomatiseerde besluitvorming is alleen van toepassing als het besluit rechtsgevolg heeft, denk aan de weigering of toekenning van huur- of kinderbijslag of de automatische blokkade van je mobiele telefoon omdat de rekening niet is betaald, of de betrokkene op andere wijze aanmerkelijk treft.
Bij het laatste noemt de AVG in de overweging slechts twee voorbeelden: de automatische weigering van een online ingediende kredietaanvraag of van verwerking van sollicitaties via internet zonder menselijke tussenkomst. Maar op basis hiervan vaststellen of een besluit een betrokkene “in aanmerkelijke mate treft” is nog niet zo makkelijk. Als het gaat om kredietaanvragen zou het namelijk ook beteken dat niet alleen een automatische kredietcheck bij een hypotheekaanvraag hieronder valt maar ook als het gaat om het huren van een fiets in het buitenland of het kopen van een televisie op afbetaling.
Met name in de online advertising is geautomatiseerde besluitvorming van belang. Daarover zegt de Europese toezichthouder dat in geval van targeted advertising in beginsel geen sprake is van een aanmerkelijke impact. Denk bijvoorbeeld aan een advertentie voor een online modewebshop gebaseerd op een simpel demografisch profiel: ‘vrouwen in Amsterdam’. Maar er zijn echter ook situaties denkbaar waarin een gerichte advertentie een betrokkene aanmerkelijk treft. Dit is afhankelijk van de omvang van het profiel, de verwachtingen van de personen, de manier waarop de advertentie wordt afgeleverd of de specifieke kwetsbaarheden van de persoon.
Verwerkingen die over het algemeen weinig effect hebben op individuen kan in de praktijk een aanmerkelijke impact hebben op bepaalde groepen van de samenleving, zoals minderheidsgroepen of kwetsbare volwassenen. Iemand die in financiële moeilijkheden verkeert en regelmatig advertenties voor online gokken te zien krijgt, kan zich bijvoorbeeld aanmelden voor deze aanbiedingen en mogelijk verdere schulden oplopen.
Uitzonderingen
Geautomatiseerde besluitvorming, al dan niet op basis van profilering, dient echter wel mogelijk te zijn wanneer deze uitdrukkelijk is toegestaan bij wet dat op de verwerkingsverantwoordelijke van toepassing is, onder meer ten behoeve van de controle en voorkoming van belastingfraude en -ontduiking, en om te zorgen voor de veiligheid en betrouwbaarheid van een dienst die door de verwerkingsverantwoordelijke wordt verleend, of noodzakelijk voor de sluiting of uitvoering van een overeenkomst tussen de betrokkene en een verwerkingsverantwoordelijke, of wanneer de betrokkene zijn uitdrukkelijke toestemming heeft gegeven.
Slot
Het is dus nog niet zo makkelijk om te beoordelen wanneer een geautomatiseerd besluit onder het verbod in de AVG valt. De Europese toezichthouder heeft in richtsnoeren van oktober 2017 het een en ander probeert te verduidelijken, maar de verwachting is wel dat dit nog nader uitgekristalliseerd dient te worden, al dan niet door de nationale toezichthouders.