Bent u klaar voor de AVG verordening inzake profiling?

De Algemene Verordening Gegevensbescherming (AVG) van de EU zal in mei 2018 in werking treden. De verordening zal invloed hebben op automatische evaluatie van klanten en stelt regels vast voor het nemen van een automatische kredietbeslissing. Wat betekent dat voor u en voor uw klanten?

De nieuwe verordening voorziet in nieuwe operationele vereisten voor bedrijven die persoonsgegevens verwerken en moet worden toegepast door bedrijven en organisaties vanaf mei 2018. De verordening is van toepassing op hoe mensen, zoals klanten of sollicitanten, automatisch geëvalueerd mogen worden door middel van gegevensverwerking (ook wel profilng genoemd).

Wat is profiling?
Over het algemeen is profiling bedoeld om het toekomstige gedrag van een individu te voorspellen, bijvoorbeeld gebaseerd op zijn voorgaande acties. In de AVG is profiling gedefinieerd als elke automatische verwerking van persoonsgegevens uitgevoerd om persoonlijke aspecten te evalueren. De evaluatie kan bijvoorbeeld gaan over  beroepsprestaties van de persoon, zijn economische situatie, persoonlijke voorkeuren en interesses, betrouwbaarheid of toekomstig gedrag.

In de AVG is profiling gedefinieerd als elke automatische verwerking van persoonsgegevens uitgevoerd om persoonlijke aspecten te evalueren, met juridische of soortegelijke effecten voor de persoon in kwestie tot gevolg.

Het is belangrijk voor u om te weten dat de AVG nog steeds het profileren van mensen zonder hun toestemming toestaat.

Maar, er zijn enkele uitzonderingen.
De verordening beschouwt het alleen als profiling wanneer de gegevensverwerking volledig geautomatiseerd is. Dit betekent dat wanneer de evaluatie gepaard gaat met handmatige stappen, deze niet langer aangemerkt wordt als profiling zoals beschreven in de verordening. Bovendien wordt gegevensverwerking waar de gegevens niet geïdentificeerd kunnen worden als behorende bij een individu niet als profiling beschouwd.

Het feit dat een besluit juridische of anderszins significante effecten voor de persoon tot gevolg heeft is ook een essentieel onderdeel van de definitie. De verordening vermeldt niet wat deze besluiten in de praktijk zouden zijn. In praktische zin zal de AVG ten minste geautomatiseerde beslissingsmodellen voor consumentenkrediet (die worden gebruikt voor het evalueren van de kredietwaardigheid en het toekomstige betalingsgedrag van een aanvrager) reguleren, evenals het nemen van de beslissing of het krediet wordt verleend of afgewezen.

Het is belangrijk dat persoonlijke rechten beschermd worden.
Persoonsgegevens mogen alleen worden verwerkt en personen mogen alleen worden geprofileerd wanneer voldaan is aan de vereisten van de AGV (artikel 6). In de praktijk  worden gegevens verwerkt bij het sluiten van een overeenkomst en/of bij het geven van toestemming door een persoon. 

De AGV gaat uitgebreid in op de rechten van een persoon bij het automatisch verwerken van persoonsgegevens.

1) Personen hebben het recht om geïnformeerd te worden over het gebruik van hun gegevens voor profiling. De AGV (artikelen 13 en 14) verplicht bedrijven om hun voornemen tot profiling te verklaren en de relevante feiten aangaande de logica, betekenis en mogelijke gevolgen van de genoemde profiling te presenteren. Personen hebben het recht om dezelfde informatie te ontvangen gebaseerd op het recht van inzage van de betrokkene (artikel 15). De logica en betekenis van het profileren kunnen voor klanten worden verduidelijkt, bijvoorbeeld door het gebruiken van voorbeelden.

2) Tegen het verwerken van persoonsgegevens, en het daarmee profileren, kan bezwaar worden gemaakt (artikel 21) wanneer de gegevensverwerking wordt gedaan in het algemeen belang of bij de uitoefening van het openbaar gezag (punt (e) van artikel 6(1)) of voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde (punt (e) van artikel 6(1)). Daarom is het recht om bezwaar te maken tegen profiling niet uitgebreid naar situaties waar het profileren wordt gedaan om tot een overeenkomst met een persoon te komen – zoals het geval is bij kredietbeslissingen.

3) Personen hebben het recht om niet te worden onderworpen aan (artikel 22) een uitsluitend op geautomatiseerde verwerking gebaseerd besluit waaraan voor hen rechtsgevolgen zijn verbonden of dat hen anderszins in aanmerkelijke mate raakt. Een uitzondering hierop wordt ook gevormd door elke situatie waar het profileren en de daaropvolgende besluitvorming nodig zijn om tot een overeenkomst tussen een persoon en een bedrijf te komen, of wanneer dit gedaan wordt met toestemming van deze persoon. Deze vereiste sluit profiling met het oog op het nemen van een kredietbeslissing niet uit.

In ieder geval moet de kredietverlener altijd de rechten van de betrokkene beschermen. De minimale eis is dat de kredietaanvrager het recht heeft om te eisen dat zijn aanvraag wordt verwerkt door, bijvoorbeeld, een natuurlijk persoon in plaats van door een geautomatiseerd systeem. Een tweede verwerking van de aanvraag betekent niet dat de uitkomst automatisch anders zou zijn.

Let op de richtlijnen van de Artikel 29-werkgroep
De Artikel 29-werkgroep is een samenwerkingsorgaan bestaande uit vertegenwoordigers van de nationale toezichthouders van de EU-lidstaten die richtlijnen betreffende de Algemene Verordening Gegevensbescherming formuleren en publiceren. Deze zullen een belangrijke rol spelen bij de begeleiding van de interpretatie van de AVG. Er zijn tot dusverre drie richtlijnen gepubliceerd, aangaande functionarissen voor gegevensbescherming (DPO’s) en de leidende toezichthoudende autoriteit.

De artikelen van de AVG gaan niet in op wat in feite een besluit zou zijn die juridische of anderszins significante effecten voor een persoon heeft. Dit is in het bijzonder een belangrijke reden om goed op te letten bij de richtlijnen van de Artikel 29-werkgroep in de toekomst.

Bedrijven zouden hun processen moeten herzien en alle omstandigheden moeten identificeren die leiden tot profiling zoals beschreven in de verordening, d.w.z. waar persoonlijke aspecten geëvalueerd worden en een besluit met betekenis voor de betrokken persoon wordt genomen. Vanaf mei 2018 moet ervoor gezorgd worden dat de geprofileerde betrokkene de gelegenheid heeft om zijn mening te presenteren, het besluit te wreken indien noodzakelijk en zijn zaak handmatig te laten verwerken. Bovendien moet ervoor gezorgd worden dat de verplichting tot informeren wat betreft profilering wordt nageleefd volgens de AVG.

Lees hier onze tien tips om aan de slag te gaan met de voorbereiding voor AVG.