Profilering/profiling

In de Algemene verordening gegevensbescherming (AVG) is de definitie van profilering/profiling (in het kader van gegevensbescherming) als volgt beschreven:

"Elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van  persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen."

We spreken dus van profilering als een organisatie op basis van verkregen persoonsgegevens automatisch een profiel van de consument opstelt via de verzameling, analyse en koppeling van persoonsgegevens. Hierbij worden de gegevens gecombineerd om de consument zo in te kunnen delen in een bepaalde categorie of groep, zodat hij op deze manier benaderd of beoordeeld kan worden. Deze categorieën/individuele profielen worden bijvoorbeeld gebruikt voor direct marketing en om gericht advertenties aan de consument te laten zien. Ook kan op grond van deze profielen een risicoanalyse plaatsvinden, bijvoorbeeld over de kredietwaardigheid van de consument.

Waar moet je als webshop aan voldoen?

Onder de AVG is elke vorm van geautomatiseerde verwerking van persoonsgegevens (waaronder profilering) niet toegestaan als daar voor de consument rechtsgevolgen (gevolgen die door het recht aan een bepaald feit worden verbonden) aan zijn verbonden of het besluit hem in aanmerkelijke mate treft. Wat hiermee wordt bedoeld, is nog niet geheel duidelijk. De Artikel 29-werkgroep (WG29) van de gezamenlijke Europese privacytoezichthouders is momenteel nog bezig met de uitwerking van de precieze betekenis.

Op dit verbod zijn al wel enkele uitzonderingen opgenomen in de verordening. Het automatisch verwerken van persoonsgegevens mag wel als dit:

  • noodzakelijk is voor de totstandkoming of uitvoering van een overeenkomst tussen een consument en een verwerkingsverantwoordelijke (zoals een webshop);
  • is toegestaan bij een Unierechtelijke of lidstaatrechtelijke bepaling die voorziet in passende maatregelen ter bescherming van de rechten, vrijheden en gerechtvaardigde belangen van de consument; of
  • berust op de uitdrukkelijke toestemming van de consument.

Kinderen mogen overigens sowieso niet worden geprofileerd.

Rechten van de consument

Wanneer je als webshop profilering toepast, moet je bepaalde zekerheden voor de consument inbouwen. Je moet de consument van specifieke informatie voorzien, zoals waarom bepaalde beslissingen op basis van zijn profiel worden genomen. Denk daarbij aan het uitleggen waarom de consument bepaalde advertenties te zien krijgt of waarom een besluit ten aanzien van zijn kredietwaardigheid wordt genomen. Daarnaast heeft de consument bij geautomatiseerd genomen beslissingen altijd het recht op menselijke tussenkomst om:

  • zijn standpunt kenbaar te kunnen maken;
  • uitleg te krijgen over het genomen besluit;
  • dit besluit aan te kunnen vechten.

Wanneer je als webshop aan profilering doet, is het aan te raden een contactpersoon binnen je organisatie aan te stellen. Consumenten moeten hem of haar dan kunnen bereiken als ze vragen hebben of bezwaar willen maken tegen een beslissing.

Profileren op basis van bijzondere persoonsgegevens

Onder bijzondere persoonsgegevens verstaan we gevoelige data, zoals iemands afkomst, godsdienst, seksuele voorkeur, politieke opvatting of gezondheid. Volgens de wet mogen bijzondere persoonsgegevens alleen worden verwerkt als er uitdrukkelijke toestemming van de consument is om deze gegevens te verwerken. Hierop bestaan al verschillende uitzonderingen, bijvoorbeeld als:

  • er een andere wet bestaat die de verwerking van deze gegevens verbiedt;
  • het noodzakelijk is voor het algemeen belang;
  • er gepaste maatregelen worden genomen om de rechten, vrijheden en het gerechtva (er dient hierbij dus een afweging plaats te vinden).

Hoge boetes bij verkeerd profileren

Mocht je als webshop geautomatiseerd persoonsgegevens verzamelen, dan is het verstandig om ervoor te zorgen dat je aan al het bovenstaande voldoet. De informatieplicht en andere verplichtingen met betrekking tot toestemming vormen meer dan voldoende aanleiding om uw bedrijfsvoering nog eens tegen het licht te houden. Als de AVG volgend jaar in werking treedt, krijgen toezichthouders meer macht en kunnen ze hoge boetes uitdelen als er zonder grondslag toch profielen van consumenten worden aangemaakt.