Chat with us, powered by LiveChat

Profilering binnen de GDPR wet

Profilering volgens de GDPR is:  “De verwerking van persoonsgegevens middels een geautomatiseerd proces, zonder menselijke tussenkomst. Het is elke vorm van geautomatiseerde verwerking van persoonsgegevens, waarbij aan de hand van die persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd. Zo is het mogelijk iemands economische situatie, persoonlijke voorkeuren, interesses, locatie, etc. te analyseren of te voorspellen.”

In de GDPR staat dat er geen geautomatiseerde besluitvorming mag plaatsvinden op basis van profilering, als daaraan rechtsgevolgen voor de betrokkenen zijn verbonden. Betrokkenen hebben het recht geïnformeerd te worden over de profilering en zij mogen hier bezwaar tegen maken.

Profilering voor marketingdoeleinden valt vaak binnen deze definitie. Het is daarom ook zaak om hier specifiek aandacht aan te besteden, vooral als je veel aan online adverteren doet. Via Facebook Ads of het Google-Display netwerk laat je automatisch bepaalde berichten aan een specifieke doelgroep zien, op basis van de profielen binnen je eigen systemen.

Wat betekent dit nu concreet voor jou?

  1. De AVG / GDPR wet staat profilering toe, mits er voor het actief gebruiken van de verkregen gegevens toestemming is gegeven door de betrokkenen. Houd er rekening mee dat de toestemming verkregen dient te worden middels een opt-in, waarbij geen vooraf aangevinkt vakje gebruikt mag worden. Hoe kan je deze toestemming dan wel verkrijgen? Middels een cookie-melding of pop-up.
  2. De betrokkenen hebben het ‘recht van bezwaar’, ook als zij nadrukkelijk toestemming hebben gegeven voor de profileringsactiviteiten. Gebruik je de profileringsactiviteiten voor marketingdoeleinden en maakt een betrokkene bezwaar? Dan mag je zijn persoonsgegevens op geen enkele manier nog gebruiken.
  3. De betrokkenen hebben het recht om geïnformeerd te worden over de profilering. Dit betekent dat je als bedrijf je plannen t.o.v. profilering moet verklaren, aangeven wat de reden hiervoor is en de mogelijke gevolgen voor de betrokkenen kenbaar moet maken. Daarnaast mogen betrokkenen te allen tijde inzien welke persoonsgegevens in dit geval verwerkt worden voor de profilering. Dit kan je tastbaar maken door bijvoorbeeld een e-mailadres in je privacyvoorwaarden op te nemen, waar de betrokkene heen kan mailen indien hij zijn gegevens in wilt zien.
  4. De betrokkenen hebben het recht om vergeten te worden. Dit betekent dat verwerkte persoonsgegevens kunnen worden opgevraagd, waarna de betrokkene kan verzoeken deze te verwijderen.

Dit brengt twee kritische kanttekeningen met zich mee:

  1. Het is technisch gezien vaak heel moeilijk om de persoonsgegevens volledig te verwijderen of overdraagbaar te maken via bijvoorbeeld advertentieplatformen. Als we kijken naar wie hiervoor garant moet staan, zullen deze advertentieplatformen de nodige aanpassingen moeten doorvoeren zodat de gegevens verwijderd kunnen worden.
  2. Zelfs als wil je de persoonsgegevens volledig verwijderen, dan nog dien je een registratie te hebben van het feit dat de betrokkene het ‘recht om vergeten te worden’ heeft aangevraagd. Dit staat recht op het feit dat diegene volledig vergeten wil worden.

Hoe bovenstaande twee zaken zich ontwikkelen, zal de tijd uitwijzen.

Conclusie

Zorg ervoor dat je een solide privacyverklaring en een cookieverklaring hebt, waarin wordt meegedeeld dat je aan profilering doet en waarbij de rechten van de betrokkene uiteen worden gezet. Wil je het volledig op safe spelen? Houd dan een register van alle verwerkingsactiviteiten bij, zodat je te allen tijde kunt aantonen dat je expliciet toestemming hebt voor de profileringsactiviteiten.

Vragen? Neem dan vrijblijvend contact met ons op.

Disclaimer: we hebben uitgebreid onderzoek gedaan bij het opstellen van deze blogs. Echter zijn we niet juridisch aansprakelijk voor de inhoud en hier kunnen geen rechten aan worden ontleend. 

Laat een reactie achter

CMCG online updateCMCG online update