profilering privacywet

Profilering met de regels onder de privacywet

Profilering, het geautomatiseerd verwerken van persoonsgegevens. Uiteraard behandeld de GDPR dit onderwerp. De regels blijven grotendeels hetzelfde, maar er is wel één belangrijke wijziging ten opzichte van de huidige situatie.

Volgens de GDPR kun je spreken van profilering als er sprake is van: Geautomatiseerde verwerking van persoonsgegevens waarmee persoonlijke aspecten van personen worden geëvalueerd om voorspellingen over die personen te doen. De voorspelling van iemands economische situatie, persoonlijke voorkeuren, interesses en gedrag genoemd als mogelijk einddoel.

Het mag duidelijk zijn dat profilering voor marketingdoeleinden vaak binnen deze definitie zal vallen. Online adverteren is daarbij wellicht de meest bekende vorm van. Via Facebook of Google kun je op basis van profielen in automatisch bepaalde berichten aan een doelgroep laten zien. Het kan ook gaan om automatische analyses van klantdata uit je eigen CRM-systeem. Bijvoorbeeld om te voorspellen welke personen interesse hebben in bepaalde producten of diensten. Ook het werk van databrokers valt onder profilering. Deze bedrijven onderhouden en bieden profielen van consumenten aan.

Weinig veranderingen voor profilering

Voor profilering gelden onder de GDPR twee aparte regels:

  1. Regels voor het nemen van ‘significante’ beslissingen, op basis van geautomatiseerde besluitvorming.
  2. Algemene regels over profilering; deze algemene regels gelden ook voor de besluitvorming bij 1.

De regels over automatische besluitvorming zijn volledig nieuw. De algemene regels niet, maar ik loop deze voor de volledigheid wel kort door. Per situatie moet je dus kijken of het profileren valt onder het gerechtvaardigd belang of dat je er ondubbelzinnig toestemming voor nodig hebt. Je hoeft voor profilering niet altijd toestemming te vragen. Als je een algemeen profiel hebt en er zijn voldoende waarborgen genomen (zoals duidelijk informeren etc.), dan kun je vaak ook op basis van het gerechtvaardigd belang persoonsgegevens verwerken. Zo niet, dan moet je toestemming vragen voorafgaand aan de geautomatiseerde verwerking[1].

Profileringsregels onder de GDPR

De vraag is wanneer iets een ‘algemeen profiel’ is en wanneer het zodanig persoonlijk wordt dat je er toestemming voor moet vragen. De Artikel 29 Werkgroep (WG29, een orgaan van privacy toezichthouders) geeft aan dat het detailniveau van het profiel in het bijzonder relevant is. Er wordt het voorbeeld gegeven van een brede omschrijving als “native English teachers living in Paris”. Voor zo’n profiel zou het gerechtvaardigd belang een geschikte grondslag zijn. De vraag is uiteraard waar de grens ligt. Volgens WG29 moet daarvoor gekeken worden naar:

  • Hoe uitgebreid het profiel is: beschrijft het een klein aspect van iemands leven, of geeft het een uitgebreid beeld?
  • De impact van de profilering: wat is het effect op de persoon?
  • De waarborgen die je hebt getroffen om de profilering eerlijk en accuraat uit te voeren.

Deze toelichting geeft wat meer duidelijkheid, maar het blijft onduidelijk waar in een marketingcontext precies de grens ligt. Hoe geldt dit bijvoorbeeld voor een individueel profiel met online browse- en aankoopgedrag op een website? Is dit te uitgebreid en moet hiervoor toestemming gevraagd worden? Dit lijkt zeker het geval te zijn als de profielen gevoelige data bevatten met een hoge privacy-impact, zoals locatiegegevens.

Bedrijfsprocessen tegen het licht

Tot hier zijn de regels niet nieuw. Er lijkt dan ook geen aanleiding voor toezichthouders om anders te gaan handhaven dan nu het geval is. Toch zorgt de GDPR voor veel aandacht voor compliance, waardoor veel organisaties nu hun bedrijfsprocessen (opnieuw) tegen het licht houden.

Als je dus inschat dat je marketingprofielen de afweging van het gerechtvaardigd belang niet doorstaan, zul je toestemming moeten vragen. Dat kan in het geval van cookie-profielen door deze toestemming te vragen op het moment dat je de cookie plaatst. Zorg er dan voor dat je de websitebezoeker duidelijk informeert over het doel van de profielen en zorg dat het recht van verzet eenvoudig beschikbaar is.

Informeren is overigens altijd verplicht, ongeacht of je toestemming nodig hebt. De betrokkene heeft het recht om te weten welke gegevens je van hem of haar verwerkt, voor welk doel, hoe lang je de data bewaart en met wie je ze deelt. Dat geldt ook als je deze gegevens gebruikt om profielen op te bouwen. Als een klant een inzageverzoek indient, moet je dit binnen een maand af kunnen handelen – bij een complex verzoek heb je hier twee maanden voor.

Dit is wel echt nieuw

Naast deze algemene regels wordt in de GDPR een speciale, nieuwe categorie besproken:

De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft.

Denk bij rechtsgevolgen aan het weigeren van een uitkering of subsidie of het beëindigen van een arbeidsovereenkomst. Uit de toelichting van de WG29 blijkt dat de betrokkene wel door een marketingactiviteit ‘in aanmerkelijke mate’ kan worden getroffen – oftewel even hard geraakt worden als door een rechtsgevolg. Daarbij zou je kunnen denken iemand in financiële moeilijkheden die regelmatig getarget wordt met advertenties voor gokken of leningen.

Bovendien moet je aan deze klant duidelijk kunnen maken dat, hoe en waarom je dat doet. Letterlijk gaat het hier om ‘nuttige informatie over de onderliggende logica’ en ‘het belang en de verwachte gevolgen van de verwerking voor de betrokkene.’ De GDPR verplicht je hiertoe, maar dit is makkelijker gezegd dan gedaan. Hoe leg je bijvoorbeeld aan een gemiddelde persoon uit hoe een algoritme een beslissing neemt en wat dit voor hem of haar betekent?

Denk logisch na

Omdat zowel de wettekst van de GDPR als de toelichting van de WG29 nog geen volledige duidelijkheid kunnen bieden over profilering, is het logisch dat veel bedrijven zich zorgen maken over wat straks wel en niet mag. Daarom het advies zelf vooral logisch na te denken – los van de specifieke regels. Deze uitgangspunten helpen daarbij:

  • Duurzame marketing voegt waarde toe: sta stil bij de toegevoegde waarde voor de consument. Op welke manier verbetert dit de klantervaring?
  • Een klantrelatie is gebaseerd op vertrouwen: maak een inschatting van de verwachtingen van de consument en zorg dat je hiermee rekening houdt.
  • De creepy-test: voelt mijn marketing eng aan als ik het uitleg aan een gemiddelde consument? Het kan natuurlijk zijn dat je als marketeer iets minder snel eng vindt dan de gemiddelde consument – houd daar rekening mee.
  • Stel jezelf ten slotte de vraag: zou ik mezelf hier als consument prettig bij voelen?

Als je deze uitgangspunten in acht neemt, is de kans kleiner je dat je met profilering of online adverteren in een grijs gebied komt waarbij je jezelf afvraagt of het wettelijk gezien wel mag wat je doet. De basis van de GDPR is dat consumenten beter beschermd worden en meer rechten krijgen. Wie marketing inzet om echt toegevoegde waarde te creëren voor die consumenten, zet uit zichzelf al een goede stap richting compliance.

Delen mag 🙂

Lees ook