Deel I: transparantie, uw concrete informatierechten en uw recht van inzage, rectificatie, wissing en beperking van gegevensverwerking
Overzicht
1. Uw recht om niet te worden onderworpen aan geautomatiseerde verwerking en profilering;
2. Het recht om zich te verzetten tegen profilering, ongeacht geautomatiseerde besluitvorming;
3. 'Passende maatregelen' (appropriate safeguards) ter compensatie van de inbreuk op uw recht om niet geprofileerd te worden (art. 22 AVG)
1. Uw recht om niet te worden onderworpen aan geautomatiseerde verwerking en profilering
Overzicht
1. Uw recht om niet te worden onderworpen aan geautomatiseerde verwerking en profilering;
2. Het recht om zich te verzetten tegen profilering, ongeacht geautomatiseerde besluitvorming;
3. 'Passende maatregelen' (appropriate safeguards) ter compensatie van de inbreuk op uw recht om niet geprofileerd te worden (art. 22 AVG)
1. Uw recht om niet te worden onderworpen aan geautomatiseerde verwerking en profilering
U hebt het recht niet te worden onderworpen aan
een uitsluitend op geautomatiseerde verwerking, waaronder profilering,
gebaseerd besluit waaraan voor u rechtsgevolgen zijn verbonden of dat u in
aanmerkelijke mate treft (art. 22 AVG).
De risicoprofielen die in SyRI worden opgemaakt vallen onder het bereik van art. 22 AVG. De verwerkingsverantwoordelijke kan slechts een gerechtvaardigd beroep doen op de uitzonderingen van art. 22 lid 2 AVG, indien de betrokkene toestemming heeft verleend of de betrokkene en de verwerkingsverantwoordelijke zulks zijn overeengekomen.
De risicoprofielen die in SyRI worden opgemaakt vallen onder het bereik van art. 22 AVG. De verwerkingsverantwoordelijke kan slechts een gerechtvaardigd beroep doen op de uitzonderingen van art. 22 lid 2 AVG, indien de betrokkene toestemming heeft verleend of de betrokkene en de verwerkingsverantwoordelijke zulks zijn overeengekomen.
Een uitzondering is buiten die gevallen slechts mogelijk, indien
een Unierechtelijke of lidstaatrechtelijke bepaling die op de
verwerkingsverantwoordelijke van toepassing is, voorziet in passende
maatregelen ter bescherming van de rechten en gerechtvaardigde belangen van de
betrokkene die door de profilering wordt getroffen. De
verwerkingsverantwoordelijke is slechts gerechtigd om te profileren,
indien daarvoor een specifieke wettelijke bevoegdheidsregeling wordt verleend én concrete maatregelen ter bescherming van de rechten van de geprofileerde in
de van toepassing zijnde regeling zijn opgenomen. Het Europees Comité heeft aangegeven welke maatregelen minimaal moeten worden getroffen door de verwerkingsverantwoordelijke.
2. Het recht om zich te verzetten tegen profilering, ongeacht geautomatiseerde besluitvorming
Het recht van betrokkene om geïnformeerd te worden op grond van art. 13 of 14 AVG in samenhang met art. 5 lid 1 AVG moet aldus worden uitgelegd, dat de betrokkene door de verwerkingsverantwoordelijke moet worden geïnformeerd over het feit dat hij/zij aan profilering wordt onderworpen én dat de betrokkene het recht heeft om zich te verzetten tegen profilering, ongeacht of geautomatiseerde besluitvorming op basis van profilering plaatsvindt (punt 60 van de preambule van de AVG; Guidelines on automated Individual decision-making and Profiling for the purposes of Regulation 2016/679, 6 feb. 2018, WP251rev.01, p. 17).
2. Het recht om zich te verzetten tegen profilering, ongeacht geautomatiseerde besluitvorming
Het recht van betrokkene om geïnformeerd te worden op grond van art. 13 of 14 AVG in samenhang met art. 5 lid 1 AVG moet aldus worden uitgelegd, dat de betrokkene door de verwerkingsverantwoordelijke moet worden geïnformeerd over het feit dat hij/zij aan profilering wordt onderworpen én dat de betrokkene het recht heeft om zich te verzetten tegen profilering, ongeacht of geautomatiseerde besluitvorming op basis van profilering plaatsvindt (punt 60 van de preambule van de AVG; Guidelines on automated Individual decision-making and Profiling for the purposes of Regulation 2016/679, 6 feb. 2018, WP251rev.01, p. 17).
Het recht van inzage (art. 15 AVG) houdt in dat de verwerkingsverantwoordelijke inzicht verschaft in de gegevens die als input zijn gebruikt om een profiel van de betrokkene op te maken; tevens dient de betrokkene toegang te hebben tot informatie over de hem betreffende profilering en de details van de categorisering waarin de betrokkene is ingedeeld. Uitzonderingen op deze concrete verplichtingen worden gemaakt voor zover het de handelsgeheimen en intellectuele eigendomsrechten van de verwerker betreft (Guidelines on automated Individual decision-making
and Profiling for the purposes of Regulation 2016/679, 6 feb. 2018,
WP251rev.01, p. 17).
3. 'Passende maatregelen' (appropriate safeguards) ter compensatie van de inbreuk op uw recht om niet geprofileerd te worden (art. 22 AVG)
Het Europees Comité voor gegevensbescherming, European Data Protection Board, wijst op de gevaren die profilering met zich brengt. Fouten en/of bias in verzamelde en gedeelde data, alsmede fouten en bias in geautomatiseerde (besluitvormings)processen en instrumenten voor profilering resulteren in incorrecte classificaties en beoordelingen gebaseerd op inadequate projecties. De rechten en belangen van betrokkenen worden rechtstreeks getroffen. Het EDPB onderstreept de noodzaak tot transparantie. De betrokkene die aan geautomatiseerde besluitvorming of profilering is onderworpen, kan een beslissing slechts in twijfel trekken, als de verwerkingsverantwoordelijke inzichtelijk heeft gemaakt hoe de beslissing tot stand is gekomen en op welke basis de beslissing is gebaseerd.
De verwerkingsverantwoordelijke is verplicht om de betrokkene specifieke informatie te verschaffen en te garanderen dat de betrokkene de besluitvorming in het kader van profilering aan kan vechten (punt 71 van de preambule AVG; Guidelines on automated Individual decision-making and Profiling for the purposes of Regulation 2016/679, 6 feb. 2018, WP251rev.01, p. 27). De verwerkingsverantwoordelijke is verplicht om de betrokkene:
- te informeren over de activiteit waarvoor de data van de betrokkene worden verzameld en verwerkt;
- inzicht te verschaffen in de achterliggende logica van het instrument;
- uitleg te geven over de invloed op de belangen van en mogelijke gevolgen voor de betrokkene.
Het verschaffen van inzicht in de achterliggende instrument voor data-analyse, geautomatiseerde besluitvorming en profilering moet 'betekenisvol' zijn. Om te voorkomen dat de verwerker met onbegrijpelijke statistieken of berekeningen aan komt zetten om aan de plicht tot het verschaffen van inzicht in de logica te voldoen, heeft het EDPB aangegeven dat 'betekenisvolle informatie' over de toegepaste logica (algoritmen) onder meer betrekking heeft op:
- gegevens betreffende in het verleden geconstateerde fraude en betalingsachterstanden;
- de wijze van 'credit scoring': welke waarde wordt toegekend aan bepaalde gegevens, ofwel: in welke mate gegevens tot een bepaalde risicoscore leiden;
- officiële, publiekelijk bekende gegevens, zoals gegevens over insolventie en openbare gegevens over fraude;
- de garantie van de verwerkingsverantwoordelijke dat regelmatig wordt gecontroleerd en bewaakt dat de data-analyse en profilering eerlijk, adequaat en vrij van bias is.
(Guidelines on automated Individual decision-making and Profiling for the purposes of Regulation 2016/679, 6 feb. 2018, WP251rev.01, p. 24-26).
Het Europees Comité voor gegevensbescherming, European Data Protection Board, wijst op de gevaren die profilering met zich brengt. Fouten en/of bias in verzamelde en gedeelde data, alsmede fouten en bias in geautomatiseerde (besluitvormings)processen en instrumenten voor profilering resulteren in incorrecte classificaties en beoordelingen gebaseerd op inadequate projecties. De rechten en belangen van betrokkenen worden rechtstreeks getroffen. Het EDPB onderstreept de noodzaak tot transparantie. De betrokkene die aan geautomatiseerde besluitvorming of profilering is onderworpen, kan een beslissing slechts in twijfel trekken, als de verwerkingsverantwoordelijke inzichtelijk heeft gemaakt hoe de beslissing tot stand is gekomen en op welke basis de beslissing is gebaseerd.
De verwerkingsverantwoordelijke is verplicht om de betrokkene specifieke informatie te verschaffen en te garanderen dat de betrokkene de besluitvorming in het kader van profilering aan kan vechten (punt 71 van de preambule AVG; Guidelines on automated Individual decision-making and Profiling for the purposes of Regulation 2016/679, 6 feb. 2018, WP251rev.01, p. 27). De verwerkingsverantwoordelijke is verplicht om de betrokkene:
- te informeren over de activiteit waarvoor de data van de betrokkene worden verzameld en verwerkt;
- inzicht te verschaffen in de achterliggende logica van het instrument;
- uitleg te geven over de invloed op de belangen van en mogelijke gevolgen voor de betrokkene.
Het verschaffen van inzicht in de achterliggende instrument voor data-analyse, geautomatiseerde besluitvorming en profilering moet 'betekenisvol' zijn. Om te voorkomen dat de verwerker met onbegrijpelijke statistieken of berekeningen aan komt zetten om aan de plicht tot het verschaffen van inzicht in de logica te voldoen, heeft het EDPB aangegeven dat 'betekenisvolle informatie' over de toegepaste logica (algoritmen) onder meer betrekking heeft op:
- gegevens betreffende in het verleden geconstateerde fraude en betalingsachterstanden;
- de wijze van 'credit scoring': welke waarde wordt toegekend aan bepaalde gegevens, ofwel: in welke mate gegevens tot een bepaalde risicoscore leiden;
- officiële, publiekelijk bekende gegevens, zoals gegevens over insolventie en openbare gegevens over fraude;
- de garantie van de verwerkingsverantwoordelijke dat regelmatig wordt gecontroleerd en bewaakt dat de data-analyse en profilering eerlijk, adequaat en vrij van bias is.
(Guidelines on automated Individual decision-making and Profiling for the purposes of Regulation 2016/679, 6 feb. 2018, WP251rev.01, p. 24-26).
In het volgende bericht, deel III, ga ik in op de wettelijke grondslag voor de rechtmatigheid van de verwerking van uw persoonsgegevens, de doelbindingseis en de eisen van proportionaliteit en subsidiariteit (noodzaak en dataminimalisatie)