Hoe geef je invulling aan de verschillende rechten van betrokkenen: geautomatiseerde besluiten en profiling

De derde blogpost in de reeks over de rechten van betrokkenen onder de privacyverordening gaat over het recht om niet te worden onderworpen aan geautomatiseerde besluiten, waaronder profiling valt, en het recht op bezwaar. Dit laatste heeft niet per se enkel betrekking op geautomatiseerde besluitvorming maar hierover later meer. Beide rechten bestaan reeds onder de Wet bescherming persoonsgegevens (Wbp) maar worden een nieuw leven in geblazen onder de Algemene Verordening Gegevensbescherming (AVG). En wat is voor jouw organisatie dan met name belangrijk om te weten?

Wat houdt het recht om niet te worden onderworpen aan geautomatiseerde besluiten in?

Veel organisaties gebruiken profiling omdat profiling het mogelijk maakt om klanten gerichte advertenties te tonen, analyses te doen en verbanden en patronen te ontdekken. Maar profiling kan ook voor overheidsorganisatie, zoals politie, interessant zijn omdat profiling het ook mogelijk maakt om gedrag te kunnen voorspellen. Echter gebeurt profiling meestal geautomatiseerd dus de daarbij behorende besluitvorming doorgaans ook.

Er is sprake van een geautomatiseerd besluit wanneer er bij een verwerkingsproces, zoals bijvoorbeeld een kredietaanvraag bij een bank, sprake is van een geautomatiseerde verwerking van persoonsgegevens ter beoordeling van persoonlijke aspecten van een natuurlijke persoon, zonder menselijke tussenkomst op basis waarvan vervolgens een besluit genomen wordt. Op basis van de verwerking van de gegevens, zoals de financiële en economische status, betrouwbaarheid enzovoorts, wordt dan een bepaalde beoordeling gemaakt waaraan een bepaalde waarde wordt gehangen, bijvoorbeeld wel of niet kredietwaardig; het plaatst een betrokkene als het ware in een ‘hokje’.

Wanneer je als organisatie profiling toepast op basis van geautomatiseerde besluiten zijn er een aantal risico’s:

  • Stigmatiserende karakter: Het kan een stigmatiserend karakter hebben wanneer je betrokkene op basis van bepaalde gegevens geautomatiseerd in een bepaald hokje plaatst. Het kan zelfs een discriminerend karakter hebben.
  • Onjuist profiel: Het kan ook zo zijn dat de gegevens waarover de organisatie beschikt niet juist zijn of onvolledig. Dit kan tot gevolg hebben dat het automatisch gegenereerde besluit een onjuist beeld van de betrokkene weergeeft.

Een betrokkene heeft dan ook het recht om niet te worden onderworpen aan geautomatiseerde besluitvorming, zonder menselijke tussenkomst, wanneer er rechtsgevolgen zijn verbonden aan zo een geautomatiseerd besluit of wanneer het de betrokkene in aanmerkelijke mate treft, bijvoorbeeld het wel of niet verstrekt krijgen van krediet. Tegen dergelijke besluitvorming kan de betrokkene bezwaar maken. Het recht van bezwaar zal in de volgende blogpost besproken worden.

Profiling op basis van geautomatiseerde besluitvorming is wel toegestaan wanneer aan de volgende voorwaarden is voldaan:

  • Er moet een wettelijke grondslag voorhanden zijn om profiling toe te kunnen passen.

Zo heeft politie of justitie doorgaans een wettelijke basis om (risico)profilering toe te passen of profiling ter voorkoming van bijvoorbeeld belastingfraude. Wanneer er geen wettelijke basis is, moet het toepassen van geautomatiseerde besluitvorming gestoeld zijn op enerzijds het uitvoeren van de overeenkomst tussen de organisatie en de betrokkene of anderzijds ondubbelzinnige toestemming van de betrokkene. En als extra voorwaarde bij de twee laatstgenoemde grondslagen is dat er menselijke tussenkomst moet plaatsvinden.

  • Er moeten passende waarborgen worden geboden.

Het is belangrijk dat de betrokkene de mogelijkheid wordt geboden om zijn standpunt met betrekking tot het besluit kenbaar te kunnen maken, bijvoorbeeld wanneer de betrokkene van mening is dat het besluit dat tot stand is gekomen door gebruik te maken van profiling, heeft geleid tot een verkeerde uitkomst. Ook mag je als organisatie profiling niet gebruiken wanneer de betrokkene een kind is. Los van het bovenstaande, is het belangrijk dat je als organisatie de betrokkene goed informeert over profiling en geautomatiseerde besluitvorming.

Informatieplicht

Jouw organisatie moet de betrokkene informeren over het verwerken van zijn persoonsgegevens overeenkomstig artikel 13 AVG op het moment dat de organisatie de persoonsgegevens verkrijgt. De organisatie moet dan algemene informatie verstrekken zoals identiteit, contactgegevens, verwerkingsdoelen en of de organisatie voornemens is de persoonsgegevens door te geven aan derde landen. Daarnaast moet je als organisatie expliciet kenbaar maken aan de betrokkene dat jouw organisatie gebruik maakt van geautomatiseerde besluitvorming en profiling.

De volgende informatie moet duidelijk en begrijpelijk blijken uit de privacy verklaring van jouw organisatie:

  • Doelen: Het moet voor de betrokkene helder zijn waarom jouw organisatie de geautomatiseerde besluitvorming toepast.
  • Soort gegevens: Ook moet je de betrokkene informeren over welke persoonsgegevens je voornemens bent te gaan verwerken met het oog op de geautomatiseerde besluitvorming en profiling.
  • Logica achter profiling: Je moet de betrokkene in begrijpelijke taal uitleggen wat de gedachte is die ten grondslag ligt aan het profiel dat je als organisatie wilt opbouwen en waarom en op welke wijze de geautomatiseerde besluitvorming plaatsvindt.
Author image
Anouk Visser
Adviseur bij Privacy Company.