Vergroot contrast

Big data en profiling

De technologie om grote hoeveelheden data te verzamelen, op te slaan en te analyseren, wordt steeds betaalbaarder en makkelijker in het gebruik. Dat leidt ertoe dat organisaties steeds meer verschillende soorten gegevens kunnen verzamelen. Daarnaast is het makkelijker dan vroeger om bestanden met zeer verschillende indelingen en van heel verschillende oorsprong te koppelen. In de gecombineerde 'big data' kunnen nieuwe soorten statistische verbanden worden ontdekt, die in kleinere of eenzijdiger verzamelingen niet zouden opvallen.

Het koppelen van bestaande bestanden en het zoeken naar nieuwe verbanden, betekent vaak dat gegevens voor een nieuw doeleinde worden verwerkt. Wat niet voorzien was toen de oorspronkelijke bestanden werden aangelegd.

Gebruik big data voor profiling

Organisaties gebruiken big data om verbanden te vinden tussen fenomenen, personen en gebeurtenissen.

Met big data kunnen organisaties mensen in groepen indelen. Ook kunnen zij big data gebruiken om het gedrag van mensen te voorspellen. Zowel groepsindelingen als voorspellingen worden 'profiling' genoemd.

Groepsindelingen

Met clusteranalyses kunnen zij mensen indelen in groepen met gemeenschappelijke statistische kenmerken. Uit analyse van de profielen van iemands contacten op een sociaal netwerk kan een organisatie bijvoorbeeld een aanname doen over de seksuele voorkeur van deze persoon.

Voorspellingen

Big data kan ook worden gebruikt, in combinatie met machine learning, om het gedrag van individuele mensen te voorspellen.

Machine learning betekent dat computers geautomatiseerd modellen ontwikkelen aan de hand van grote sets data. Het is een vorm van kunstmatige intelligentie, omdat de software zelf regels kan ontwikkelen.

Dit gebeurt door het gedrag van een individuele persoon en dat van andere mensen te analyseren. Bijvoorbeeld om te voorspellen in welke nieuwsberichten iemand geïnteresseerd is.

Toepassing big data en profiling

Zowel het bedrijfsleven als de overheid maken gebruik van big data en profiling.

Big data en profiling bij bedrijven

Bedrijven kunnen dit doen voor verschillende commerciële doelen. Bijvoorbeeld om een specifieke winstgevende klantengroep te behouden of om gerichte advertenties te tonen op basis van voorspelde interesses. Of juist om ongewenste klanten te weren, zoals bij een aanvraag voor een lening.

Big data en profiling bij de overheid

De overheid kan bigdata-analyses bijvoorbeeld inzetten om epidemieën te bestrijden of fraudeurs op te sporen. Profiling bij de overheid kan een vorm van risicomanagement zijn, zoals bij grenscontroles.

Nieuws

Alle nieuwsberichten over het onderwerp 'Big data en profiling'

Alle antwoorden op mijn vragenVragen over big data en profiling

  • Wat zijn de privacyrisico’s van big data?

    Het grote privacyrisico van big data is dat mensen de zeggenschap over hun gegevens volledig kwijtraken. En ook organisaties zelf kunnen het zicht verliezen op welke gegevens zij allemaal verwerken en waarvoor precies.

    Dat maakt het vervolgens lastig om mensen goed te informeren over het verwerken van hun gegevens. En om iemand bijvoorbeeld inzage te kunnen geven in zijn gegevens of inzage in de logica van de verwerking, als hij hierom vraagt.

    Principes privacywetgeving

    Het uitgangspunt van big data is om zo veel mogelijk verschillende soorten gegevens te verzamelen en aan elkaar te koppelen, vaak voor nieuwe doelen. Dit laat zich echter lastig verenigen met enkele belangrijke principes uit de privacywetgeving:

    • dataminimalisatie (gebruik niet meer gegevens dan noodzakelijk voor het doel);
    • doelbinding (gebruik gegevens niet voor een ander doel dan waarvoor ze zijn verzameld);
    • transparantie (informeer mensen welke gegevens worden verzameld en waarvoor).
  • Wat zijn de privacyrisico’s van profiling?

    Met profiling kan een organisatie het gedrag van mensen voorspellen of een beslissing over hen nemen. Iemand kan op die manier – op basis van een algemeen gedrags- of risicoprofiel – individueel beoordeeld worden. Met alle gevolgen van dien. Bijvoorbeeld dat diegene in eerste instantie niet de gevraagde lening krijgt en moeite moet doen om de organisatie te overtuigen dat het profiel niet klopt. Of dat die persoon niet wordt uitgenodigd voor een sollicitatiegesprek.

    Extra risico: bijzondere of gevoelige persoonsgegevens

    De risico’s van profiling gelden des te meer als organisaties hierbij bijzondere of gevoelige persoonsgegevens verwerken.

    • Bijzondere persoonsgegevens zijn onder meer gegevens over iemands politieke of ideologische overtuigingen, ras, gezondheid of strafrechtelijk verleden.
    • Gevoelige persoonsgegevens zijn bijvoorbeeld financiële gegevens, locatiegegevens of gegevens over kijk- of surfgedrag.

    Bijzondere persoonsgegevens kunnen door big data en profiling ook worden afgeleid uit 'gewone' persoonsgegevens. Bijvoorbeeld als iemands gezondheid wordt afgeleid uit zijn boodschappen.

    Verkeerd profiel

    Door het gebruik van onjuiste of verouderde gegevens bij profiling kan een verkeerd beeld van iemand ontstaan.

    Daarnaast gaat het bij big data om een statistisch model, waarbij per definitie een deel van de voorspellingen onjuist is.

    Dus zelfs als de oorspronkelijke gegevens juist en actueel zijn, kan iemand onterecht in een bepaald profiel zijn ingedeeld.

    Stigmatisering

    Door profiling kunnen individuen of groepen mensen in een bepaald hokje worden geplaatst. En op basis daarvan anders worden behandeld of mogelijk zelfs gediscrimineerd.

    Geautomatiseerde besluitvorming

    Profiling gebeurt meestal geautomatiseerd, op basis van ingewikkelde rekenformules.

    Ook de besluitvorming kan geautomatiseerd verlopen. De computer neemt dan een beslissing over iemand in plaats van een persoon.

    Hierin schuilt het gevaar dat iemand ‘gevangen’ zit in een (verkeerd) profiel, omdat de menselijke tussenkomst ontbreekt.

    Beïnvloeding, minder keuzevrijheid en uitsluiting

    Van beïnvloeding kan bijvoorbeeld sprake zijn als software een voorselectie maakt van berichten die aansluiten op iemands vermeende interesses.

    En dat websites vervolgens alleen die berichten of resultaten tonen. Hierdoor heeft die persoon dus minder keuzevrijheid.

    Uitsluiting kan bijvoorbeeld optreden als een algoritme bepaalt dat bepaalde sollicitatiebrieven niet meer gelezen of behandeld worden.

    Bovenmatige gegevensverwerking

    Dit houdt in dat er bij profiling meer gegevens over iemand worden verwerkt dan strikt noodzakelijk is voor het doel (bijvoorbeeld beslissen of iemand voor een lening in aanmerking komt).

  • Onder welke voorwaarden mag een organisatie profiling toepassen?

    Organisaties moeten zich bij profiling aan de privacywetgeving houden. Voor het bedrijfsleven en de overheid gelden niet altijd dezelfde privacyregels. Risicoprofilering door politie en justitie voor politietaken en opsporing (waaronder grenscontrole op luchthaven Schiphol door de Koninklijke Marechaussee) mag wanneer daarvoor een wettelijke basis bestaat.

    De belangrijkste privacyverplichtingen voor organisaties zijn als volgt.

    Toestemming

    Organisaties moeten in beginsel toestemming aan mensen vragen voor profiling.

    Dit toestemmingsvereiste geldt in het bijzonder voor het verzamelen van hun (persoons)gegevens via trackingcookies of andere volgtechnieken op internet. En voor het verdere gebruik van deze gegevens voor profiling.

    Andere mogelijke grondslagen zijn: noodzakelijk om een overeenkomst uit te voeren of omdat er een wettelijke verplichting bestaat.

    Doelen

    Organisaties moeten van tevoren duidelijke en begrijpelijke doelen aangeven waarvoor zij de verschillende soorten gegevens van mensen gebruiken.

    Geeft een organisatie de gegevens aan een andere organisatie door met het doel om deze gegevens te combineren voor profiling? Dan moet de organisatie dit als apart doeleinde vermelden.

    Privacyverklaring

    Organisaties moeten zorgen voor een leesbare, begrijpelijke en toegankelijke privacyverklaring. Hierin moet de volgende informatie staan:

    • de doelen van profiling;
    • de verschillende soorten gegevens die de organisatie daarvoor gebruikt;
    • hoe lang de organisatie deze gegevens bewaart;
    • de logica die ten grondslag ligt aan het toekennen en toepassen van een profiel.

    Privacyrechten

    Organisaties moeten mensen de mogelijkheid geven om:

    • hun eigen gegevens in te zien;
    • deze gegevens te laten corrigeren of verwijderen;
    • verzet aan te tekenen tegen het gebruik van die gegevens;
    • hun toestemming voor het gebruik van hun gegevens in te trekken.

    Besluit door persoon

    Organisaties moeten beslissingen op basis van een profiel over iemands kredietwaardigheid, betrouwbaarheid of gedrag in principe laten nemen door een persoon.

    Geautomatiseerde systemen mogen zij alleen als hulpmiddel gebruiken.

  • Hoe kan ik profiling herkennen?

    Profiling is een relatief onbekende en onzichtbare activiteit. Profiling gebeurt meestal geautomatiseerd, op basis van ingewikkelde rekenformules. Soms worden daarbij zelfs beslissingen over iemand genomen zonder menselijke tussenkomst. In de praktijk informeren organisaties ook niet altijd dat er in een bepaalde situatie sprake is van profiling. Profiling is dan ook niet makkelijk te herkennen.

    Wel zijn in de privacyverklaring of in andere informatie van een organisatie soms aanwijzingen te vinden voor profiling. U kunt letten op woorden en zinnen als:

    • (risico)profiel;
    • gedragsanalyse;
    • persoonlijke/gepersonaliseerde aanbiedingen;
    • op basis van uw (surf)gedrag of (surf)gedrag van anderen;
    • interesse-gebaseerd;
    • gebaseerd op uw voorkeuren;
    • segmentering/segment(en);
    • online behavioural advertising/targeting.

    Bij een overheidsorganisatie kunt u letten op het gebruik van woorden als:

    • risico-inschatting;
    • risicogericht controleren.
  • Moet ik als organisatie inzage geven in de logica van mijn systeem?

    Ja. Als een betrokkene erom vraagt, moet u de logica uitleggen die ten grondslag ligt aan de geautomatiseerde verwerking van zijn persoonsgegevens. Dit staat in artikel 35, vierde lid, van de Wet bescherming persoonsgegevens.

  • Wat kan ik doen als ik een vraag of klacht heb over profiling?

    Ga met uw vragen of klachten altijd eerst naar de organisatie die profiling toepast.

    Heeft u een klacht en komt u er samen met de organisatie niet uit? Dan zijn er vervolgstappen die u kunt zetten.

    Vraag of klacht over cookies?

    De Autoriteit Consument & Markt (ACM) houdt toezicht op het vereiste dat websites hun bezoekers moeten informeren en om toestemming vragen voordat zij een cookie plaatsen. U leest hierover meer bij Cookies op de website van de ACM.

    Heeft u een klacht over zogeheten tracking cookies? Dan kunt u uw vragen hierover ook aan de Autoriteit Persoonsgegevens (AP) stellen. Voor meer informatie over de verwerking van persoonsgegevens via cookies, zie het AP-dossier Cookies.

Hulpmiddelen voor de burger