Profilering onder de nieuwe privacywetgeving

Profilering

10 april 2018, Leestijd 10 minuten.

Veel bedrijven willen, met name online, zo gericht mogelijk adverteren. Soms tot grote irritatie van consumenten, want van 20 keer per dag vliegaanbiedingen naar Londen zien wordt niemand blij. Door middel van cookies of gegevens die consumenten zelf opgeven creëren bedrijven profielen. Dit soort profielen bevatten bijvoorbeeld naam en postcode, maar ook je schoenen- of gameverslaving kan onderdeel zijn van een dergelijk profiel. Door het creëren van deze profielen, kunnen bedrijven precies inspelen op jouw behoeftes.

Online marketeers kunnen zich geen wereld zonder deze profielen voorstellen. De vraag is echter of de huidige manier van profileren nog wel toegestaan is na 25 mei 2018 wanneer de nieuwe privacy wetgeving (AVG/GDPR) in werking treed.

Profilering

Profilering (profiling) is het indelen van personen in bepaalde categorieën (profielen) op basis van hun persoonsgegevens. Op basis van deze profielen kunnen vervolgens (geautomatiseerde) individuele besluiten worden genomen, zoals de verwerking van sollicitaties via internet zonder menselijke tussenkomst of het tonen van gepersonaliseerde advertenties.

Er zijn drie varianten van profilering te onderscheiden:

  1. Algemene profilering (hierbij wordt nog geen besluit genomen op basis van de verzamelde gegevens);
  2. Besluitvorming gebaseerd op profilering;
  3. Geautomatiseerde individuele besluitvorming gebaseerd op profilering.

In de AVG zijn een aantal regels opgenomen betreffende variant nummer 3: de geautomatiseerde individuele besluitvorming gebaseerd op profilering. Bij dit soort profilering is er dus geen sprake van menselijke tussenkomst. Een voorbeeld van geautomatiseerde individuele besluitvorming gebaseerd op profilering is het opstellen van een profiel en enkel op basis van dit profiel geautomatiseerd besluiten om iemand alleen maar sciencefiction boeken te tonen bij zijn zoekopdracht naar ‘leuk boek’.

Hoe zit dat nou met online marketing?

Online marketing is steeds meer afhankelijk van geautomatiseerde systemen en dit brengt volledig geautomatiseerde individuele besluitvorming, waaronder profilering, met zich mee. Profilering is een vorm van gegevensverwerking en is dus onderworpen aan de algemene regels van gegevensverwerking. Er zijn verschillende grondslagen op basis waarvan je persoonsgegevens mag verwerken. Voor online marketing zijn twee van deze grondslagen relevant:

  • De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde (marketing)belangen;
  • Je hebt ondubbelzinnige toestemming van betrokkene.

Indien er wordt voldaan aan één van deze twee grondslagen, mag je de persoonsgegevens verwerken. Het kan regelmatig voorkomen dat je je kunt beroepen op gerechtvaardigde (marketing)belangen, zoals bij het creëren van een vrij algemeen profiel. Indien er sprake is van verdergaande profilering, moet je toestemming vragen.

Het is moeilijk om een duidelijke grens te stellen tussen het geval dat er sprake is van een algemeen profiel en je dus een beroep kan doen op een gerechtvaardigd belang, en het geval waarbij je toestemming van betrokkene moet vragen. Een voorbeeld van een algemeen profiel zou kunnen zijn: ‘man uit omgeving Amsterdam, tussen de 30 en 35 jaar, waarschijnlijk geïnteresseerd in voetbal’. Het zou echter de zaak kunnen veranderen, als het profiel van deze man ook locatiegegevens en gegevens over zijn browserhistorie bevat.

Bovenstaande regels bestonden al onder de Wbp (Wet bescherming persoonsgegevens) en zijn voor Nederlandse marketeers dus niets nieuws. De regels met betrekking tot de geautomatiseerde individuele besluitvorming gebaseerd op profilering, zijn echter wel nieuw. De regels in de AVG betreffen in beginsel een verbod voor de verwerker om betrokkenen te onderwerpen aan een enkel op geautomatiseerde verwerking, (waaronder profilering), gebaseerd besluit, wanneer dit:

  • Rechtsgevolgen heeft voor betrokkenen of;
  • De betrokkenen anderszins in ‘aanzienlijke mate’ treft.

In de meeste gevallen zal er geen sprake zijn van rechtsgevolgen en ook niet van het anderszins in aanzienlijke mate treffen van betrokkenen. Denk hierbij aan het voorbeeld van het algemene profiel. Het is echter mogelijk dat er toch sprake is van het ‘anderszins in aanzienlijke mate treffen van betrokkenen’, hetgeen afhankelijk is van de omstandigheden van het geval, waaronder:

  • De indringendheid van het profileren, waaronder het volgen van individuen over verschillende websites, apparaten en diensten;
  • De verwachtingen en de wensen van betrokkenen;
  • De manier waarop de advertentie wordt geleverd;
  • Het gebruik van kennis over de kwetsbaarheden van betrokkenen.

Denk bijvoorbeeld aan iemand die al diep in de schulden zit en telkens wordt verleid met zijn of haar favoriete product; zo iemand zal zich mogelijk nog verder in de schulden werken. In dit geval zal er waarschijnlijk wel sprake zijn van het ‘anderszins in aanzienlijke mate treffen van betrokkene’.

De vraag of online marketing nog toegestaan is onder de AVG, is afhankelijk van de specifieke omstandigheden. Onder andere de intensiteit en de indringendheid van het profileren wegen mee, maar ook andere factoren zijn relevant. “Algemene profielen” die geschetst worden, zullen in ieder geval wél geoorloofd zijn onder de AVG.

In ieder geval ben je verplicht om betrokkenen in te lichten over het feit dat je gebruik maakt van geautomatiseerde individuele besluitvorming. Faciliteer daarnaast duidelijke informatie over hoe dit in zijn werk gaat en leg het belang en de beoogde gevolgen goed uit.

Vermijd profilering op basis van bijzondere persoonsgegevens

Voorbeelden van bijzondere persoonsgegevens zijn ras, godsdienst en medische gegevens. Profilering op basis van dit soort gegevens is niet verboden, maar kent wel strikte voorwaarden. Worden deze gegevens verzameld, dan dien je duidelijk het doeleinde te vermelden en uitdrukkelijke toestemming te hebben. Dit hoeft niet wanneer de verwerking noodzakelijk is om ‘redenen van zwaarwegend algemeen belang’. Marketing valt daar echter niet onder.

(Overige) rechten van betrokkenen

Voldoe je aan het bovenstaande? Vergeet dan niet om rekening te houden met de overige rechten van betrokkenen. Betrokkenen hebben namelijk o.a. het recht op inzage, bezwaar en het recht om geïnformeerd te worden.

Bovendien ben je verplicht om:

  • Betrokkenen op te vertellen dat ze onderworpen zijn aan geautomatiseerde individuele besluitvorming;
  • Zinvolle informatie te verschaffen over de logica achter deze besluitvorming; en
  • De betekenis en de beoogde gevolgen uit te leggen.

Conclusie

Als je als online marketeer gebruikt maakt van profiling, wat vaak het geval is, moet je goed op je hoede zijn. Je kunt profielen samenstellen, maar houd het zo “onpersoonlijk” mogelijk en gebruik zeker geen bijzondere persoonsgegevens. Licht daarnaast betrokkenen in dat je gebruik maakt van geautomatiseerde individuele besluitvorming, bijvoorbeeld in je Privacy beleid. Faciliteer hierin duidelijke informatie over hoe de profiling in zijn werk gaat en leg het belang en de beoogde gevolgen goed uit. Bovendien zul je de betrokkenen moeten wijzen op hun rechten.

Wil jij weten of de werkwijze van jouw onderneming aan deze wetgeving voldoet? Of heb je vragen naar aanleiding van deze blogpost? Neem dan vrijblijvend contact met ons op via contact@dejuristen.legal

Deze blog werd geschreven door onze student-stagiaire Sophie Verhoeven