Inleiding

In deze AVGB-update staat het begrip ‘profilering’ centraal. In het bijzonder richten wij ons in deze bijdrage op een aantal aspecten van de toepassing van profilering in de retailsector. Profilering en geautomatiseerde besluitvorming worden in steeds meer private en publieke sectoren toegepast. De retailsector is slechts één van de vele voorbeelden.

Organisaties passen geautomatiseerde besluitvorming (met inbegrip van profilering) onder meer toe voor commerciële doeleinden, waaronder het behoud van een winstgevende klantengroep, doelgerichte marketing op basis van voorspelde interesses en de uitsluiting van bepaalde klanten met betrekking tot specifieke diensten (bijvoorbeeld aanvragen voor leningen).

Profilering en geautomatiseerde besluitvorming kunnen aanzienlijke risico’s met zich meebrengen ten aanzien van de rechten en vrijheden van natuurlijke personen (met name wanneer de profilering de verwerking van bijzondere of gevoelige categorieën van persoonsgegevens omvat zoals gegevens met betrekking tot de gezondheid, etnische afkomst of de financiële positie van betrokkene). Deze risico’s omvatten de creatie van stereotypen, sociale segregatie en onjuiste voorspellingen. De AVGB bevat bepalingen die dergelijke mogelijke risico’s adresseren en die bescherming bieden aan natuurlijke personen tegen deze manier van verwerken van persoonsgegevens.

Profilering in het algemeen

Het concept van profilering is niet expliciet uiteengezet in de Richtlijn 95/46/EG. De AVGB definieert profilering (in het algemeen) als volgt:

“elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen.”

Kortgezegd betekent profilering het verzamelen van informatie over een natuurlijk persoon (of groep van natuurlijke personen) en het analyseren van hun individuele kenmerken of gedragspatronen om hen in een bepaalde categorie of groep te kunnen plaatsen en/of om voorspellingen te doen of inschattingen te maken met betrekking tot bijvoorbeeld hun vermogen om een taak uit te voeren, hun interesses of hun waarschijnlijke gedrag.

De AVGB maakt een onderscheid tussen ‘profileren in het algemeen’ en - zoals wij het zullen noemen in de AVGB-update - ‘Artikel 22-profilering’.

Artikel 22-profilering

Artikel 22 AVGB bepaalt dat:

“Betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft.”

Artikel 22 AVGB ziet slechts op beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking. Hiermee wordt bedoeld: besluitvorming door technologische middelen zonder enige menselijke tussenkomst. Hoewel artikel 22 AVGB wordt omschreven als een recht, betreft het in feite een verbod om Artikel 22-profilering uit te voeren, tenzij een van de uitzonderingen in de AVGB van toepassing is. Deze uitzonderingen zijn:

  1. Artikel 22-profilering is noodzakelijk voor de totstandkoming of de uitvoering van een overeenkomst tussen de betrokkene en een verantwoordelijke. Bijvoorbeeld: Een organisatie ontvangt een zeer groot aantal sollicitaties op een specifieke vacature, waarbij het redelijkerwijs onmogelijk is om handmatig geschikte kandidaten te selecteren. Deze organisatie kan geautomatiseerde besluitvorming toepassen om irrelevante sollicitaties uit te filteren en op deze manier een korte lijst van potentiële, geschikte kandidaten te maken;
  2. Artikel 22-profilering is toegestaan op basis van EU-recht of nationaal recht dat op de verantwoordelijke van toepassing is en dat ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden, en gerechtvaardigde belangen van de betrokkene (bijvoorbeeld grensbeveiliging op Schiphol door de Marechaussee); of
  3. uitdrukkelijke toestemming van de betrokkene.

In de gevallen waarnaar wordt verwezen onder (a) tot en met (c) moet de verantwoordelijke passende maatregelen treffen om de rechten, vrijheden en gerechtvaardigde belangen van de betrokkene te waarborgen. Volgens de AVGB moeten dergelijke maatregelen voor de betrokkene ten minste omvatten (i) het recht op menselijke tussenkomst aan de zijde van de verantwoordelijke, (ii) het recht om zijn of haar standpunt kenbaar te maken en (iii) het recht om het besluit aan te vechten.

Het algemene verbod van Artikel 22-profilering is niet nieuw en is al neergelegd in de Wet Bescherming Persoonsgegevens (artikel 42). De AVGB introduceert echter de uitzondering van “uitdrukkelijke toestemming”. Indien de verantwoordelijke verwerkt op basis van uitdrukkelijke toestemming, dient zij ervoor te zorgen (en aan te kunnen tonen) dat de betrokkenen precies begrijpen waarmee zij hebben ingestemd.

Artikel 22 AVGB verbiedt geautomatiseerde besluitvorming slechts wanneer daaraan voor betrokkene rechtsgevolgen zijn verbonden of dat betrokkene op vergelijkbare wijze aanmerkelijk treft. De AVGB zet niet uiteen wat rechtsgevolgen of andere serieuze consequenties zijn. Over het algemeen worden typische gevallen van doelgerichte reclame geacht geen significante gevolgen voor natuurlijke personen te hebben. Voorbeelden van online advertenties die binnen de werkingssfeer van Artikel 22 AVGB zouden kunnen vallen, zijn advertenties met prijsdifferentiatie die individuen kunnen weerhouden van het kopen van bepaalde producten.

Informatieverplichting in het geval van geautomatiseerde besluitvorming

Artikelen 13 en 14 AVGB zetten de informatieverplichting van de verantwoordelijke uiteen. De artikelen vereisen dat de verantwoordelijke, voor zover dat van toepassing is, de betrokkene dient te informeren over het bestaan van geautomatiseerde besluitvorming met inbegrip van Artikel 22-profilering. Daarnaast - en ten minste in Artikel 22-gevallen - moet de verantwoordelijke nuttige informatie verstrekken met betrekking tot de achterliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.

Dergelijke informatie moet in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal worden verstrekt. De verantwoordelijke moet eenvoudige manieren vinden om de betrokkene te informeren over de achterliggende beweegredenen of over de criteria die worden gebruikt voor de besluitvorming. Omdat de AVGB vereist dat de verantwoordelijke ‘nuttige informatie’ over de onderliggende logica verstrekt, dienen complexe wiskundige verklaringen te worden vermeden. Het gebruik van realistische voorbeelden kan het belang en de verwachte gevolgen van de verwerking begrijpelijker maken voor de betrokkenen.

Retail (customer journey)

Binnen de retail wordt de customer journey (dat wil zeggen het in kaart brengen van de interactie tussen een klant en een organisatie tijdens de aankoop- en klantfase) steeds belangrijker. Organisaties willen het gedrag van hun klanten beter leren begrijpen en beter kunnen voorspellen, zodat zij doelgerichte marketing kunnen verbeteren en kunnen zorgen voor een op maat gemaakt productenaanbod wat zou moeten resulteren in een verhoging van de omzet. Met het gebruik van bijvoorbeeld Wi-Fi-sensoren in winkels of in een winkelcentrum wordt het mogelijk om de bewegingen en het winkelgedrag van bezoekers te volgen. Met de verzamelde gegevens kunnen winkels en winkelcentra de bewegingen en de winkelgewoontes van bezoekers analyseren en op basis daarvan de winkelervaringen en de inzet van personeel verbeteren.

Om retailers in staat te stellen het gedrag van klanten effectiever en beter te kunnen begrijpen en te voorspellen, zijn grote hoeveelheden persoonsgegevens van klanten nodig. Dit is de reden waarom het volgen en profileren van klanten (bijvoorbeeld via Wi-Fi-tracking en Geo-locatie-tracking) steeds belangrijker wordt. Niet alleen de AVGB is van belang in verband met de customer journey, ook de concept e-Privacy Verordening stelt vereisten. Wij verwachten dat de huidige e-Privacy Richtlijn in de komende één tot twee jaar zal worden vervangen door de e-Privacy Verordening. Voor de praktijk is het is spijtig dat de e-Privacy Verordening niet ook vanaf 25 mei van toepassing is. Voor bedrijven zal dit extra onzekerheden meebrengen de komende periode.

Wettelijke grondslag

De AVGB vereist een wettelijke grondslag voor profileren. De wettelijke grondslag van gerechtvaardigde belangen (artikel 6(1)(f) AVGB) zou kunnen worden gebruikt voor algemene profileringsactiviteiten in de retailsector. Alvorens op deze grond mag worden verwerkt, moet de verantwoordelijke een belangenafweging maken waarbij haar gerechtvaardigde belangen worden afgewogen tegen de belangen, fundamentele rechten en vrijheden van de betrokkenen. De verantwoordelijke moet rekening houden met de volgende factoren:

  1. de mate van detail van het profiel;
  2. de volledigheid van het profiel;
  3. de impact van de profilering; en
  4. de waarborgen gericht op billijkheid, non-discriminatie en juistheid in het profileringsproces.

Op het moment dat de belangen, fundamentele rechten en vrijheden van de betrokkene niet zwaarder wegen dan de gerechtvaardigde belangen van de verantwoordelijke kan dit een wettelijke grondslag vormen voor profileringsactiviteiten.

Indien profilering echter ingrijpender wordt (bijvoorbeeld wanneer gedetailleerde profielen worden gemaakt of wanneer de impact op de betrokkene significanter is), heeft de verantwoordelijke toestemming van de betrokkene nodig. Toestemming moet voorafgaand aan de verwerking worden verkregen en toestemming moet geïnformeerd zijn. De betrokkene moet in staat zijn om een vrije en geïnformeerde beslissing te maken. In de praktijk is het niet eenvoudig om voldoende informatie te verstrekken aan de betrokkene om ‘geïnformeerde’ toestemming te verkrijgen. Bovendien hebben betrokkenen het recht hun toestemming te allen tijde in te trekken, wat betekent dat de verantwoordelijke niet langer een wettelijke grondslag heeft voor de verwerking en - in een dergelijk geval - de persoonsgegevens van de betrokkene moet wissen.

Informatieverplichtingen

Zowel de AVGB als de concept e-Privacy Verordening bevatten informatieverplichtingen voor de organisaties die gebruikmaken van trackingsystemen die klanten volgen. Zoals hierboven uiteengezet, zijn verantwoordelijken verplicht om de betrokkenen te informeren over de verwerking van hun persoonsgegevens. Bij het gebruik van trackingtechnieken zoals Wi-Fi-tracking, kan het ingewikkeld zijn om aan deze informatieverplichtingen te voldoen. Wi-Fi-sensoren in winkelcentra die MAC-adressen verzamelen, maken geen onderscheid tussen het MAC-adres van een bezoeker van het winkelcentrum en dat van een persoon die in een appartement boven het winkelcentrum woont, een werknemer die in het winkelcentrum werkt of een willekeurige voorbijganger. Hoe moeten deze personen op de hoogte worden gesteld van het bestaan van MAC-adres-sensoren? De Autoriteit Persoonsgegevens stelt voor om de betrokkenen op de hoogte te stellen door middel van het bevestigen van informatieborden aan lantaarnpalen of door het markeren van het bereik van de sensor op de grond. In de praktijk zijn dergelijke suggesties echter vaak onrealistisch.

Ook de concept e-Privacy Verordening bevat strikte regels met betrekking tot de informatieverstrekking. Informatie moet op een duidelijke en opvallende manier worden weergegeven en het moet ten minste informatie bevatten over de modaliteiten van de verwerking, de doeleinden, de verantwoordelijke en andere informatie zoals voorgeschreven door de AVGB. Bovendien moet de informatie ook de betrokkenen informeren over de manier waarop zij bezwaar kunnen maken of hoe zij de verwerking kunnen minimaliseren.

Bewaartermijnen

Persoonsgegevens mogen niet langer worden bewaard dan nodig is voor de doeleinden waarvoor ze waren verzameld. Locatiegegevens en andere gegevens die profilering mogelijk maken, mogen doorgaans slechts voor een korte periode worden bewaard, tenzij de verantwoordelijke toestemming heeft verkregen van de klant die de verantwoordelijke in staat stelt de gegevens gedurende een langere periode te bewaren. Zoals hierboven vermeld, is het echter niet eenvoudig om geldige toestemming te verkrijgen voor verwerkingsactiviteiten in het kader van het in kaart brengen van de customer journey. Ter voorkoming van complicaties kunnen organisaties overwegen de gegevens in een geanonimiseerde of geaggregeerde vorm te bewaren, zodat de gegevens niet langer als persoonsgegevens kunnen worden aangemerkt. In dat geval zal de AVGB namelijk niet van toepassing zijn. Bijvoorbeeld: Een verantwoordelijke mag opslaan dat 60 bezoekers op maandag 13 augustus tussen 10 en 11 uur het winkelcentrum zijn binnengekomen via ingang A.

Praktische aanbevelingen

Het verzamelen van zoveel mogelijk gegevens door organisaties is gemeengoed. In de praktijk is het echter niet altijd duidelijk voor welke doeleinden de verzamelde gegevens vervolgens worden gebruikt. Wij zien regelmatig dat organisaties gegevens verzamelen, maar vervolgens (de meeste van) deze gegevens niet gebruiken. Een dergelijke massaverzameling van persoonsgegevens is niet toegestaan onder de AVGB, aangezien persoonsgegevens slechts mogen worden verzameld voor specifieke, expliciete en legitieme doeleinden. Bovendien leidt ongerichte massaverzameling van persoonsgegevens tot verschillende privacyrechtelijke problemen, in het bijzonder met betrekking tot de informatieverstrekking, belangenafweging en bewaartermijnen.

In de meeste gevallen zullen organisaties op zoek zijn naar mogelijkheden om individuele klanten doelgericht te kunnen benaderen (namelijk, individuele klanten voorzien van gepersonaliseerde advertenties met aanbiedingen die gericht zijn op en aangepast zijn aan de belangen van de klant). Voor organisaties kan het dan een efficiëntere strategie zijn om weliswaar minder, maar meer inzichtelijke gegevens te verzamelen. Een verkoper kan de gegevensverzameling beperken tot personen die zich actief hebben aangemeld voor de verwerking, bijvoorbeeld door aanmelding voor het loyalty programma van de verkoper. De personen die zich actief hebben aangemeld voor deze programma’s zijn reeds meer dan gemiddeld geïnteresseerd in de voordelen van dergelijke loyalty programma’s. Zij krijgen gepersonaliseerde aanbiedingen en in ruil daarvoor verstrekken zij de verkoper waardevolle inzichten.

Klik hier om u aan te melden voor deze nieuwsbrief

Overzicht van te behandelen onderwerpen

Januari 2017 Territoriale reikwijdte van de AVGB
Februari 2017 Het concept van toestemming
Maart 2017 Bijzondere persoonsgegevens
April 2017 'Accountability', 'Privacy by Design' en 'Privacy by Default'
Mei 2017 Rechten van betrokkenen (informatievoorziening)
Juni 2017 Rechten van betrokkenen (inzage, correctie en overdraagbaarheid)
Juli 2017 Rechten van betrokkenen (wissing, beperking, bezwaar en geautomatiseerde besluitvorming)
Augustus 2017 Verwerkers
September 2017 Datalekken en meldplichten
Oktober 2017 Functionaris voor de Gegevensbescherming
November 2017 Doorgifte van persoonsgegevens (buiten de EER)
December 2017 Toezichthouders (competenties, taken en bevoegdheden)
Januari 2018 One Stop Shop
Februari 2018 Sancties
Maart 2018 Verwerkingen van persoonsgegevens in arbeidsverhoudingen
April 2018 Profiliering en Retail
Mei 2018 Overview