In de Algemene verordening gegevensbescherming (AVG) is de definitie van profilering/profiling (in het kader van gegevensbescherming) als volgt beschreven:
We spreken dus van profilering als een organisatie op basis van verkregen persoonsgegevens automatisch een profiel van de consument opstelt via de verzameling, analyse en koppeling van persoonsgegevens. Hierbij worden de gegevens gecombineerd om de consument zo in te kunnen delen in een bepaalde categorie of groep, zodat hij op deze manier benaderd of beoordeeld kan worden. Deze categorieën/individuele profielen worden bijvoorbeeld gebruikt voor direct marketing en om gericht advertenties aan de consument te laten zien. Ook kan op grond van deze profielen een risicoanalyse plaatsvinden, bijvoorbeeld over de kredietwaardigheid van de consument.
Onder de AVG is elke vorm van geautomatiseerde verwerking van persoonsgegevens (waaronder profilering) niet toegestaan als daar voor de consument rechtsgevolgen (gevolgen die door het recht aan een bepaald feit worden verbonden) aan zijn verbonden of het besluit hem in aanmerkelijke mate treft. Wat hiermee wordt bedoeld, is nog niet geheel duidelijk. De Artikel 29-werkgroep (WG29) van de gezamenlijke Europese privacytoezichthouders is momenteel nog bezig met de uitwerking van de precieze betekenis.
Op dit verbod zijn al wel enkele uitzonderingen opgenomen in de verordening. Het automatisch verwerken van persoonsgegevens mag wel als dit:
Kinderen mogen overigens sowieso niet worden geprofileerd.
Wanneer je als webshop profilering toepast, moet je bepaalde zekerheden voor de consument inbouwen. Je moet de consument van specifieke informatie voorzien, zoals waarom bepaalde beslissingen op basis van zijn profiel worden genomen. Denk daarbij aan het uitleggen waarom de consument bepaalde advertenties te zien krijgt of waarom een besluit ten aanzien van zijn kredietwaardigheid wordt genomen. Daarnaast heeft de consument bij geautomatiseerd genomen beslissingen altijd het recht op menselijke tussenkomst om:
Wanneer je als webshop aan profilering doet, is het aan te raden een contactpersoon binnen je organisatie aan te stellen. Consumenten moeten hem of haar dan kunnen bereiken als ze vragen hebben of bezwaar willen maken tegen een beslissing.
Onder bijzondere persoonsgegevens verstaan we gevoelige data, zoals iemands afkomst, godsdienst, seksuele voorkeur, politieke opvatting of gezondheid. Volgens de wet mogen bijzondere persoonsgegevens alleen worden verwerkt als er uitdrukkelijke toestemming van de consument is om deze gegevens te verwerken. Hierop bestaan al verschillende uitzonderingen, bijvoorbeeld als:
Mocht je als webshop geautomatiseerd persoonsgegevens verzamelen, dan is het verstandig om ervoor te zorgen dat je aan al het bovenstaande voldoet. De informatieplicht en andere verplichtingen met betrekking tot toestemming vormen meer dan voldoende aanleiding om uw bedrijfsvoering nog eens tegen het licht te houden. Als de AVG volgend jaar in werking treedt, krijgen toezichthouders meer macht en kunnen ze hoge boetes uitdelen als er zonder grondslag toch profielen van consumenten worden aangemaakt.