Profilering onder de GDPR: wat mag wel en wat niet?
Profilering, het geautomatiseerd verwerken van persoonsgegevens, is een bekend fenomeen in het marketingvak (en daarbuiten). Ook de Algemene Verordening Gegevensbescherming (AVG of GDPR) behandelt dit begrip uiteraard. De regels blijven grotendeels hetzelfde, maar er is wel één belangrijke wijziging ten opzichte van de huidige situatie. In deel 9 van deze blogserie leggen we uit waar je als marketeer vanaf 25 mei 2018 rekening mee moet houden.
Volgens de AVG kun je spreken van profilering als er sprake is van:
- geautomatiseerde verwerking…
- van persoonsgegevens…
- waarmee persoonlijke aspecten van personen worden geëvalueerd…
- om voorspellingen over die personen te doen.
In de AVG wordt onder andere de voorspelling van iemands economische situatie, persoonlijke voorkeuren, interesses en gedrag genoemd als mogelijk einddoel van profilering.
Het mag duidelijk zijn dat profilering voor marketingdoeleinden vaak binnen deze definitie zal vallen. Online adverteren is daarbij wellicht de meest bekende vorm van. Via Facebook Ads of het Google Display-netwerk kun je als marketeer op basis van de profielen in deze systemen automatisch bepaalde berichten aan een specifieke doelgroep laten zien. Het kan ook gaan om automatische analyses van klantdata uit je eigen CRM-systeem, om te voorspellen welke personen interesse hebben in bepaalde producten of diensten. Ook het werk van databrokers, die profielen van consumenten opstellen, onderhouden en aanbieden aan bedrijven, valt onder profilering.
Dit artikel is geschreven in samenwerking met mijn collega Sanne Mulder, legal counsel bij DDMA.
Weinig veranderingen
Voor profilering gelden onder de AVG twee aparte sets van regels:
- Regels voor het nemen van ‘significante’ beslissingen, op basis van geautomatiseerde besluitvorming.
- Algemene regels over profilering; deze algemene regels gelden ook voor de besluitvorming bij 1.
De regels over automatische besluitvorming zijn volledig nieuw. De algemene regels niet, maar ik loop deze voor de volledigheid wel kort door. Profilering is een vorm van gegevensverwerking, dus dat betekent dat voor marketing dezelfde drie grondslagen gegevensverwerking gelden die we eerder bespraken in deel 2 en deel 6 van deze blogserie.
Per situatie moet je dus kijken of het profileren valt onder het gerechtvaardigd marketingbelang of dat je er ondubbelzinnig toestemming voor nodig hebt. Je hoeft voor profilering niet altijd toestemming te vragen. Als je een algemeen profiel hebt en er zijn voldoende waarborgen genomen (zoals duidelijk informeren etc.), dan kun je vaak ook op basis van het gerechtvaardigd belang persoonsgegevens verwerken. Zo niet, dan moet je toestemming vragen voorafgaand aan de geautomatiseerde verwerking.
De vraag is wanneer iets een ‘algemeen profiel’ is en wanneer het zodanig persoonlijk wordt dat je er toestemming voor moet vragen. De Artikel 29 Werkgroep (WG29, een orgaan van privacytoezichthouders) gaat hier in een in oktober gepubliceerde toelichting over profilering op in. WG29 geeft aan dat het detailniveau van het profiel in het bijzonder relevant is. Er wordt het voorbeeld gegeven van een brede omschrijving als “native English teachers living in Paris”. Voor zo’n profiel zou het gerechtvaardigd belang een geschikte grondslag zijn. De vraag is uiteraard waar de grens ligt. Volgens WG29 moet daarvoor gekeken worden naar:
- Hoe uitgebreid het profiel is: beschrijft het een klein aspect van iemands leven, of geeft het een uitgebreid beeld?
- De impact van de profilering: wat is het effect op de persoon?
- De waarborgen die je hebt getroffen om de profilering eerlijk en accuraat uit te voeren.
Deze toelichting geeft wat meer duidelijkheid, maar het blijft onduidelijk waar in een marketingcontext precies de grens ligt. Hoe geldt dit bijvoorbeeld voor een individueel profiel met online browse- en aankoopgedrag op een website? Is dit te uitgebreid en moet hiervoor toestemming gevraagd worden? Dit lijkt zeker het geval te zijn als de profielen gevoelige data bevatten met een hoge privacy-impact, zoals locatiegegevens.
Bedrijfsprocessen tegen het licht
Tot hier zijn de regels niet nieuw. Er lijkt dan ook geen aanleiding voor toezichthouders om anders te gaan handhaven dan nu het geval is. Toch zorgt de AVG voor veel aandacht voor compliance, waardoor veel organisaties nu hun bedrijfsprocessen (opnieuw) tegen het licht houden.
Als je dus inschat dat je marketingprofielen de afweging van het gerechtvaardigd belang niet doorstaan, zul je toestemming moeten vragen. Dat kan in het geval van cookie-profielen door deze toestemming te vragen op het moment dat je de cookie plaatst. Zorg er dan voor dat je de websitebezoeker duidelijk informeert over het doel van de profielen en zorg dat het recht van verzet eenvoudig beschikbaar is.
Informeren is overigens altijd verplicht, ongeacht of je toestemming nodig hebt. De betrokkene heeft het recht om te weten welke gegevens je van hem of haar verwerkt, voor welk doel, hoe lang je de data bewaart en met wie je ze deelt. Dat geldt ook als je deze gegevens gebruikt om profielen op te bouwen. Als een klant een inzageverzoek indient, moet je dit binnen een maand af kunnen handelen – bij een complex verzoek heb je hier twee maanden voor.
Dit is wel echt nieuw
Naast deze algemene regels wordt in de AVG een speciale, nieuwe categorie besproken:
De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft.
Denk bij rechtsgevolgen aan het weigeren van een uitkering of subsidie of het beëindigen van een arbeidsovereenkomst. Daardoor lijken deze nieuwe regels in eerste instantie niet op te gaan voor marketing. Maar uit de toelichting van de WG29 blijkt dat de betrokkene wel door een marketingactiviteit ‘in aanmerkelijke mate’ kan worden getroffen – oftewel even hard geraakt worden als door een rechtsgevolg. Daarbij zou je kunnen denken iemand in financiële moeilijkheden die regelmatig getarget wordt met advertenties voor gokken of leningen.
De vraag is of dergelijke besluiten daadwerkelijk plaats zullen vinden in onze sector. Is dat wel het geval, dan moet je daar volgens deze regel eerst toestemming voor vragen. Bovendien moet je aan deze klant duidelijk kunnen maken dat, hoe en waarom je dat doet. Letterlijk gaat het hier om ‘nuttige informatie over de onderliggende logica’ en ‘het belang en de verwachte gevolgen van de verwerking voor de betrokkene.’ De AVG verplicht je hiertoe, maar dit is makkelijker gezegd dan gedaan. Hoe leg je bijvoorbeeld aan een gemiddelde persoon uit hoe een algoritme een beslissing neemt en wat dit voor hem of haar betekent?
Denk logisch na
Omdat zowel de wettekst van de AVG als de toelichting de WG29 nog geen volledige duidelijkheid kunnen bieden over profilering, is het logisch dat veel organisaties zich zorgen maken over wat straks wel en niet mag. Daarom raden we je aan zelf vooral logisch na te denken – los van de specifieke regels. Deze uitgangspunten helpen daarbij:
- Duurzame marketing voegt waarde toe: sta stil bij de toegevoegde waarde voor de consument. Op welke manier verbetert dit de klantervaring?
- Een klantrelatie is gebaseerd op vertrouwen: maak een inschatting van de verwachtingen van de consument en zorg dat je hiermee rekening houdt.
- De creepy-test: voelt mijn marketing eng aan als ik het uitleg aan een gemiddelde consument? Het kan natuurlijk zijn dat je als marketeer iets minder snel eng vindt dan de gemiddelde consument – houd daar rekening mee.
- Stel jezelf ten slotte de vraag: zou ik mezelf hier als consument prettig bij voelen?
Als je deze uitgangspunten in acht neemt, is de kans kleiner je dat je met profilering of online adverteren in een grijs gebied komt waarbij je jezelf afvraagt of het wettelijk gezien wel mag wat je doet. De basis van de AVG is dat consumenten beter beschermd worden en meer rechten krijgen. Wie marketing inzet om echt toegevoegde waarde te creëren voor die consumenten, zet uit zichzelf al een goede stap richting compliance.
Is jouw organisatie klaar voor de AVG? En wil je weten of de vorderingen van jullie AVG-voorbereidingen vergelijkbaar zijn met andere organisaties? Doe dan de gratis DDMA AVG Status Check.