AVG-regels voor profilering

Voorwaarden profilering

U mag alleen profilering toepassen als u aan van deze 4 voorwaarden voldoet:

1. U heeft als organisatie uitdrukkelijke toestemming gekregen van de betrokkene voor de profilering en daarmee voor de verwerking van de persoonsgegevens van de betrokkene. 
   De betrokkene moet vrijwillig, specifiek, geïnformeerd en ondubbelzinnig toestemming hebben gegeven.
2. Profilering is nodig om een contract met de betrokkene uit te voeren of om vóór het sluiten van een contract maatregelen te nemen.
3. Profilering is nodig om aan de wet te voldoen. 
4. Profilering is nodig om op te komen voor de belangen van de betrokkene of van iemand anders.

Eisen bij grote gevolgen profilering

Daarnaast stelt de AVG eisen aan profilering wanneer dit grote gevolgen heeft voor de betrokkene. Bijvoorbeeld of iemand wel of niet een hypotheek krijgt, waardoor diegene wel of niet een huis kan kopen.

Als profilering grote gevolgen voor de betrokkene heeft, moet u als organisatie:

• Duidelijke informatie geven over dat u profilering gebruikt, waarom u dit doet en wat de gevolgen zijn voor de betrokkene.
• Bij geautomatiseerde besluiten de betrokkene het recht op een menselijke blik geven. Dit betekent dat de betrokkene een nieuw, door een persoon genomen besluit kan vragen als diegene een geautomatiseerd besluit van u heeft ontvangen.
• Ervoor zorgen dat de gegevens die u gebruikt voor profilering nauwkeurig zijn. En dat u goede maatregelen neemt om de privacyrechten van de betrokkenen te beschermen.

Verplichte DPIA en FG

Maakt u als organisatie gebruik van profilering, dan bent u verplicht een DPIA uit te voeren. Ook kunt u verplicht zijn een FG aan te stellen.

DPIA bij profilering

Wilt u profilering toepassen, dan bent u altijd verplicht eerst een DPIA uit te voeren. Profilering staat namelijk op de lijst van de AP van verwerkingen waarvoor een DPIA verplicht is.

FG bij profilering

U moet een FG aanstellen als u op grote schaal profilering toepast én profilering een kernactiviteit is van uw organisatie. In de AVG wordt dit ‘regelmatige en stelselmatige observatie op grote schaal van betrokkenen’ genoemd. Hieronder valt bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen.

Lees meer over grootschalige verwerkingen en over de FG

Overige AVG-verplichtingen

Natuurlijk moet u bij profilering ook voldoen aan alle andere eisen uit de AVG. U moet bijvoorbeeld een grondslag hebben voor de verwerking en de persoonsgegevens goed beveiligen.

Lees De AVG in het kort

AVG-guidelines profilering

Voor meer informatie, lees de Guidelines geautomatiseerde besluitvorming en profilering van de EDPB.

Nieuwe regels voor profilering

De nieuwe Digital Services Act (DSA) bevat 2 verboden op het gebruik van profilering om reclames te tonen op online platforms. De DSA is hierin dus strenger dan de AVG. Die verboden zijn: 

• profilering op basis van bijzondere persoonsgegevens
• profilering van kinderen. 

Sinds 17 februari 2024 geldt de DSA (in het Nederlands: digitaledienstenverordening) voor alle online marktplaatsen, sociale netwerken, zoekmachines, cloudaanbieders, online reis- en accommodatieplatforms, internetproviders en platforms om content te delen, zoals videoplatforms. 

In Nederland wordt de DSA geïmplementeerd in de Uitvoeringswet digitaledienstenverordening. Zodra dit is gebeurd, gaat de AP toezicht houden op de 2 verboden op het gebruik van profilering.

Meer informatie over de DSA

• Advies van de AP over de Uitvoeringswet digitaledienstenverordening
• Ambtsbericht AP over de Uitvoeringswet digitaledienstenverordening
• Brief punten van aandacht Digital Services Act (DSA)