Profilering

door | 30 april 2019

Hoe kunnen we helpen?

Created On
byRedactie Privacy Zeker
Print
Je bent hier:
< Terug naar handboek

Profilering en geautomatiseerde besluitvorming zijn twee begrippen die in de AVG terugkomen. Zij lijken op elkaar en kunnen overlap hebben, maar zijn twee verschillende, op zichzelf staande onderdelen van de AVG.

Profilering

Profilering is een, vaak, geautomatiseerde verwerking van persoonsgegevens.Voorbeelden hiervan zijn: het gebruik van tracking cookies, wifi tracking op stations en automatische analyse door de belastingdienst om te bepalen of een belastingaangifte wel of niet extra gecontroleerd wordt.  De verwerking hoeft niet altijd geautomatiseerd te zijn. Een voorbeeld hiervan is de beoordeling of een betrokkene een hypotheek krijgt van de bank of niet. De nadruk bij de kwalificatie van profilering ligt op de analyse en evaluatie van bepaalde gegevens van de betrokkene. Op basis van profilering kan (semi-)geautomatiseerde besluitvorming plaatsvinden. Andere zaken waarvoor je profilering kunt gebruiken zijn het beoordelen van iemands:

  • werkprestaties
  • economische situatie
  • gezondheid
  • persoonlijke voorkeuren
  • interesses
  • betrouwbaarheid
  • gedrag

Bij profilering is altijd sprake van het willen evalueren van persoonlijke kenmerken: het doen van bepaalde voorspellingen of trekken van conclusies. De toezichthoudende autoriteiten houden in hun beoordeling of er sprake is van profilering rekening met de volgende drie aspecten:

  • verzameling van gegevens;
  • geautomatiseerde analyse om verbanden vast te stellen;
  • het verband toepassen op een persoon om kenmerken van huidig of toekomstig gedrag vast te stellen.

Voorwaarden profilering

Profilering kan gevoelig zijn van aard en veel risico’s met zich mee brengen. Een organisatie moet altijd een rechtmatige verwerkingsgrond hebben én altijd voldoen aan alle beginselen van de AVG.

Geautomatiseerde besluitvorming

Profilering en geautomatiseerde besluitvorming zijn dus twee verschillende dingen. Geautomatiseerde besluitvorming gaat over het maken van besluiten op basis van gegevens die bijvoorbeeld rechtstreeks door de betrokkene zijn verschaft, die de organisatie zelf heeft geregistreerd of gegevens die zijn afgeleid uit bijvoorbeeld het profiel van een betrokkene. Het verschil zit in het regelmatige karakter. In de guideline staat het voorbeeld van een snelheidsovertreding die wordt geregistreerd door een flitspaal. Hiervoor krijgt de eigenaar van de auto een boete. Dit is een voorbeeld van geautomatiseerde besluitvorming. Zodra de hoeveelheid snelheidsovertredingen en bijvoorbeeld andere verkeersovertredingen invloed gaan hebben op de hoogte van de boete, is er sprake van profilering.

Voorwaarden geautomatiseerde besluitvorming

In beginsel is volledig geautomatiseerde besluitvorming verboden als dit impactvolle gevolgen heeft voor de betrokkene. Hier zijn uitzonderingen op:

  • de geautomatiseerde besluitvorming is noodzakelijk voor de uitvoering of totstandkoming van een overeenkomst;
  • als de wetgeving de verwerkingsverantwoordelijke hiervoor mogelijkheid en waarborgen biedt;
  • de betrokkene heeft uitdrukkelijke toestemming gegeven.

Als geautomatiseerde besluitvorming niet verboden is (dus als er geen gevolgen vastzitten aan de geautomatiseerde besluitvorming voor de betrokkene), gelden wel extra regels. Een organisatie zal extra maatregelen moeten nemen:

  • een organisatie die aan geautomatiseerde besluitvorming doet, moet de betrokkenen informeren over de reden van de geautomatiseerde besluitvorming, het belang daarvan en de risico’s voor de betrokkene
  • beschermingsmaatregelen, zoals menselijke tussenkomst
  • recht op bezwaar tegen een automatisch genomen besluit
  • verplichte gegevensbeschermingseffectbeoordeling (PIA) als de risico’s voor de betrokkene groot en vol impact zijn

Voor bijzondere persoonsgegevens geldt precies hetzelfde: er moet een rechtmatige verwerkingsgrond zijn voor het verwerken van bijzondere persoonsgegevens én er moet een uitzondering op het verbod van geautomatiseerde besluitvorming zijn.

Een PIA kan een goed onderdeel zijn van de organisatorische maatregelen en de verantwoordingsplicht. Als organisatie die de PIA heeft uit laten voeren, kan laten zien dat er goed nagedacht is over de risico’s.

Dit is terug te lezen in de guideline. De Autoriteit Persoonsgegevens heeft hier een Nederlandse vertaling van.