AVG: wanneer doe ik aan ‘profilering’; waar moet ik aan denken? En wat is ‘uitsluitend geautomatiseerde besluitvorming’?

 

Profielen van personen en of groepen kunnen in het kader van een onderzoek gemaakt worden, bijvoorbeeld om de persoonlijkheid of het gedrag van een persoon te bepalen, analyseren of voorspellen. Wanneer er bij profilering persoonsgegevens worden verwerkt, moet je rekening houden met de AVG. Ook wanneer er in een onderzoek op basis van persoonsgegevens uitsluitend geautomatiseerde besluiten worden genomen (met of zonder profilering), is de AVG van toepassing.

 

Profilering: wat is het?

Door de wijdverbreide beschikbaarheid van persoonsgegevens op onder meer het internet, en door de mogelijkheid om verbanden te leggen en links aan te maken, is het mogelijk om in onderzoek aspecten van de persoonlijkheid of het gedrag van een persoon of diens interesses en gewoonten te bepalen, te analyseren en/of te voorspellen. Onder profilering wordt in de AVG verstaan « elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen ».  

Volgens Werkgroep artikel 29 bestaat profilering uit 3 elementen:

  1. Het moet een geautomatiseerde vorm van verwerking zijn. Menselijke tussenkomst in de verwerking hoeft echter niet te betekenen dat de activiteit niet onder definitie valt.
  2. Die betrekking heeft op persoonsgegevens en waarbij dus persoonsgegevens worden gebruikt.
  3. Het doel van de profilering moet het evalueren van persoonlijke aspecten van een natuurlijk persoon zijn, met name het bepalen, het analyseren of het voorspellen van de persoonlijkheid of het gedrag van een persoon of diens interesses en gewoonten. Een eenvoudige classificatie van personen op basis van bekende kenmerken zoals leeftijd, geslacht, en lengte leidt bijgevolg niet noodzakelijkerwijs tot profilering. Dit hangt af van het doel van de classificatie. 

Niet alle monitoring- en observatiemethoden die in onderzoek kunnen worden toegepast, vormen dus profilering in de zin van de AVG. Of een project al dan niet profilering inhoudt, moet bijgevolg geval per geval worden beoordeeld, afhankelijk van de onderzoekscontext.

Profilering kan uit drie afzonderlijke stappen bestaan:

i)      Verzameling van (persoons)gegevens;

ii)     Geautomatiseerde analyse om verbanden vast te stellen;

iii)    Het verband toepassen op een persoon om diens persoonlijke aspecten te analyseren en/of te voorspellen.  

Als je profilering toepast in onderzoek, moet je ervoor zorgen dat je bij alle bovengenoemde stappen voldoet aan de vereisten van de AVG.

 

Profilering: wanneer mag het?

Er zijn drie potentiële manieren waarop profilering in onderzoek kan worden gebruikt:

  • Algemene profilering;
  • Besluitvorming op basis van profilering; en
  • Uitsluitend geautomatiseerde besluitvorming, met profilering, waaraan rechtsgevolgen verbonden zijn of die de betrokkene anderszins in aanmerkelijke mate treft.

In de AVG wordt profilering in principe niet verboden. Als onderzoeker kan je profilering bijgevolg toepassen zolang je aan alle beginselen (zoals transparantie, doelbinding, minimale gegevensverwerking…) voldoet en een rechtsgrond voor de verwerking hebt.

Aanvullende beschermingsmaatregelen en beperkingen zijn wel van toepassing. in geval van uitsluitend geautomatiseerde besluitvorming, met profilering (situatie 3; zie hieronder).

Ook bij profilering hebben de deelnemers aan jouw onderzoek rechten die ze kunnen uitoefenen.

 

Uitsluitend geautomatiseerde besluitvorming: wat is het?

Uitsluitend geautomatiseerde besluitvorming is het nemen van besluiten met technologische middelen en zonder menselijke tussenkomst.

Uitsluitend geautomatiseerde besluitvorming heeft een ander toepassingsgebied dan profilering en kan profilering gedeeltelijk overlappen of het resultaat zijn daarvan. Uitsluitend geautomatiseerde besluiten kunnen dus met of zonder profilering worden genomen.

 

Uitsluitend geautomatiseerde besluitvorming: wanneer mag het?

Er zijn twee potentiële manieren waarop uitsluitend geautomatiseerde besluitvorming kan worden gebruikt in onderzoek:

  • Uitsluitend geautomatiseerde besluitvorming, met profilering, waaraan rechtsgevolgen verbonden zijn of die de betrokkene anderszins in aanmerkelijke mate treft;
  • Uitsluitend geautomatiseerde besluitvorming, zonder profilering, waaraan rechtsgevolgen verbonden zijn of die de betrokkene anderszins in aanmerkelijke mate treft.

De AVG voorziet in een algemeen verbod op uitsluitend geautomatiseerde verwerking gebaseerde besluitvorming (met of zonder profilering) als:

  • Dat besluit rechtsgevolgen heeft voor de betrokkene. Zoals het wel/niet aangaan van een koopovereenkomst of het wel/niet verstrekken van een lening.
  • Of dat besluit de betrokkene op een andere manier in een aanzienlijke mate treft. Zoals het aanbieden van hogere prijzen, of in de eerste ronde volledig door een computer behandelde sollicitaties via internet.

Er zijn echter uitzonderingen op deze regel; namelijk indien het besluit:

  • noodzakelijk is voor de uitvoering of totstandkoming van een overeenkomst;
  • is toegestaan bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de verwerkingsverantwoordelijke van toepassing is en die ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van betrokkene; of
  • berust op de uitdrukkelijke toestemming van de betrokkene.

Wanneer één van deze uitzonderingen van toepassing is, moeten maatregelen worden genomen om de rechten en vrijheden en het gerechtvaardigde belang van de betrokkene te waarborgen. Deze maatregelen omvatten ten minste een manier voor de betrokkene om menselijke tussenkomst te verkrijgen, zijn standpunt kenbaar te maken en het besluit aan te vechten.

Er zijn nog verdere voorwaarden die je in acht dient te houden bij geautomatiseerde besluitvorming waarbij bijzondere categorieën van persoonsgegevens zijn betrokken.

Als onderzoeker kan je dus enkel uitsluitend geautomatiseerde besluitvorming toepassen wanneer er een uitzondering van toepassing is op jouw onderzoek (bv. uitdrukkelijke toestemming) én je aan alle beginselen (zoals transparantie, doelbinding, minimale gegevensverwerking…) voldoet.

Wanneer je in je onderzoek geautomatiseerde besluitvorming gebruikt, dan moet je in het bijzonder de betrokkene infomeren over het bestaan hiervan, over de onderliggende logica en over het belang en de verwachte gevolgen van die verwerking voor de betrokkene (via bijv. een privacyverklaring of een informed consent form).  

Ook hier hebben de deelnemers aan jouw onderzoek rechten die ze kunnen uitoefenen.

 

 

 

 

Meer tips

Vertaalde tips


Laatst aangepast 12 september 2024 10:44