De stichtingen Privacy First en Platform Bescherming Burgerrechten starten samen met een aantal andere maatschappelijke organisaties een bodemprocedure tegen het gebruik van het profilingsysteem Systeem Risico Indicatie (SyRI) van het Ministerie van Sociale Zaken en Werkgelegenheid. De privacy zou onvoldoende gewaarborgd zijn. Het ministerie gebruikt SyRI om fraude met uitkeringen op te sporen en te voorkomen. SyRI koppelt vele verschillende datasets, analyseert deze en geeft een risicoprofiel van burgers en bedrijven. Hoe ver mag de overheid gaan met deze vorm van profiling?
Hoe profiling door de overheid werkt
Het geautomatiseerd analyseren van grote hoeveelheden gegevens – over u en over mij – is één van de belangrijkste ontwikkelingen voor de overheid de komende jaren. Overheden zijn hiermee in staat om voorspellingen te doen over ons (toekomstig) frauduleus handelen. Met Machine Learning en Artificial Intelligence stelt de overheid op basis van informatie over uw economische situatie, gezondheid, interesses, locatie en dergelijke automatisch een profiel op. Op basis van uw profiel kunnen beslissingen worden genomen. De scoring van uw profiel bepaalt bijvoorbeeld of u extra wordt gecontroleerd, of niet. In het geval van SyRI kan de overheid naar aanleiding van een risicomelding maatregelen treffen waarbij ze boetes oplegt, uitkeringen intrekt of een strafrechtelijke procedure start. Kortom, vergaande consequenties. De overheid kan door profiling veel gerichter en dus efficiënter te werk gaan bij het tegengaan van fraude, maar het roept ook de vraag op of uw privacy nog wel gewaarborgd is.
Profiling door bedrijven
Niet alleen de overheid gebruikt profiling. Ook organisaties als Bol.com gebruiken profiling. Als u producten via de website bestelt en ervoor kiest om te betalen met een factuur achteraf, dan houdt Bol.com bij hoe snel u betaalt. Betaalt u een paar keer niet binnen de betaaltermijn, dan wordt deze optie niet meer gegeven bij uw volgende bestelling en zult u voortaan vooraf moeten betalen via iDeal. Maar u kunt ook denken aan de volgende situatie. Als sollicitant kunt u worden afgewezen op basis van een automatische analyse van uw online activiteiten op Facebook, Twitter en Instagram… of op basis van uw betaalgedrag bij een online winkel. Met profiling kunnen bedrijven dus hun risico’s beter beheersen en zelfs marktsegmenten blijven aanspreken, die ze anders hadden vermeden. Maar ook hier rijst de vraag of uw privacy nog wel gewaarborgd is.
Bezwaren tegen profiling
Een belangrijk bezwaar tegen profiling is de onmogelijkheid te achterhalen hoe uw profiel tot stand is gekomen. Dat speelt met name als vele bronnen zijn gebruikt voor een profiel, zoals Facebook, internetgebruik, datasets van derden en dergelijke. Als niet duidelijk is welke gegevens zijn gebruikt bij het nemen van een beslissing, is het natuurlijk heel lastig om u hiertegen te verweren. Mogelijk zijn onbetrouwbare bronnen gebruikt of verouderde of verkeerde gegevens, vertrouwelijke gegevens of gegevens die verkeerd zijn geïnterpreteerd. U wordt dan gedwongen te bewijzen dat de beslissing niet op juiste gronden is genomen. In de praktijk komt dit dus neer op een omkering van de bewijslast. Om die reden is het opbouwen van profielen en met name het nemen van beslissingen op basis van profiling aan diverse voorwaarden verbonden.
Algemene verordening gegevensbescherming (AVG / GDPR)
Maar wat is profiling (in de AVG profilering genoemd) nu precies? Er is sprake van profiling wanneer bepaalde persoonlijke aspecten van een natuurlijke persoon geautomatiseerd worden geëvalueerd. U kunt dan denken aan het analyseren van gegevens over beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen waarop voorspellingen worden gedaan. Wanneer een organisatie profiling toepast, dan zal de organisatie met een aantal zaken rekening moeten houden.
Zo moet de organisatie de personen waarvan zij profielen opbouwen (de betrokkene) informeren. Zo moet de organisatie de betrokkene onder andere informeren over welke informatie wordt gebruikt, voor welk doel de profielen worden gebruikt en de manier waarop de profielen worden opgebouwd. Ook heeft de betrokkene verschillende rechten als er sprake is van profiling. Zo kan de betrokkene de organisatie vragen inzicht te geven in de gegevens die worden gebruikt en de betrokkene kan bezwaar maken tegen de profiling.
Ook mag de organisatie geen beslissingen nemen op basis van de opgebouwde profielen zonder de menselijke maat daarin mee te nemen. Kortom, niet alleen de computer bepaalt wat er gebeurt, maar ook het gezonde verstand van de mens is belangrijk.
De organisatie moet verder maatregelen treffen om onjuistheden in persoonsgegevens, die bij profiling worden betrokken, tegen te gaan en voordat profiling wordt gebruikt moet een risicoanalyse worden uitgevoerd, de zogenaamde gegevensbeschermingseffectbeoordeling (ook wel Privacy Impact Assessment of PIA genoemd).
Profiling mag dus, maar wel op een manier dat de privacy van de betrokkene wordt beschermd. Wilt u ook profiling toepassen? Neem dan contact op voor een scan van uw situatie en advies hoe u privacy proof profiling kunt toepassen.