Wat is geautomatiseerde besluitvorming?
Geautomatiseerde besluitvorming houdt in dat een systeem een besluit neemt over een persoon zonder enige betekenisvolle menselijke betrokkenheid. Denk aan software die automatisch een leningaanvraag afwijst op basis van een kredietscore, of een algoritme dat sollicitanten uitfiltert voordat iemand hun cv bekijkt.
Artikel 22 van de GDPR (in Nederland ook bekend als de AVG) geeft personen het recht om niet onderworpen te worden aan een besluit dat uitsluitend op geautomatiseerde verwerking is gebaseerd - inclusief profilering - dat rechtsgevolgen of vergelijkbare ingrijpende gevolgen heeft.
De kernwoorden zijn “uitsluitend” en “rechtsgevolgen of vergelijkbare gevolgen.” Beide voorwaarden moeten vervuld zijn voordat artikel 22 van toepassing is.
Profilering vs geautomatiseerde besluitvorming
Deze twee begrippen zijn verwant maar verschillend.
Profilering is de geautomatiseerde analyse van persoonsgegevens om bepaalde aspecten van een persoon te evalueren - werkprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, betrouwbaarheid, gedrag of locatie.
Geautomatiseerde besluitvorming is het handelen op basis van die analyse zonder menselijke tussenkomst.
Profilering alleen is niet verboden onder artikel 22. Je mag analytics gebruiken om klanten te segmenteren of leads te scoren. De beperking treedt in werking wanneer je die profilering gebruikt om een besluit te nemen dat rechtsgevolgen of significante gevolgen heeft - en er geen mens op een betekenisvolle manier bij betrokken is.
Wanneer is artikel 22 van toepassing?
Artikel 22 is van toepassing wanneer alle drie de voorwaarden vervuld zijn:
- Het besluit is uitsluitend gebaseerd op geautomatiseerde verwerking (geen betekenisvolle menselijke beoordeling)
- De verwerking omvat profilering of geautomatiseerde analyse
- Het besluit heeft rechtsgevolgen of vergelijkbare ingrijpende gevolgen
| Scenario | Uitsluitend geautomatiseerd? | Significant gevolg? | Artikel 22 van toepassing? |
|---|---|---|---|
| Leningaanvraag automatisch afgewezen door kredietscoring-algoritme | Ja | Ja - geen toegang tot krediet | Ja |
| AI screent cv’s en wijst kandidaten automatisch af | Ja | Ja - geen kans op baan | Ja |
| Verzekeringspremie volledig bepaald door risicoprofilering-algoritme | Ja | Ja - financieel gevolg | Ja |
| Fraudedetectie blokkeert automatisch een bankrekening | Ja | Ja - geen toegang tot geld | Ja |
| Productaanbevelingsengine suggereert artikelen | Ja | Nee - geen rechtsgevolg of significant gevolg | Nee |
| AI screent cv’s, maar een recruiter neemt de uiteindelijke beslissing | Nee | N.v.t. - mens in het proces | Nee |
| Contentpersonalisatie op een website | Ja | Nee - geen significant gevolg | Nee |
| ChatGPT stelt een brief op die een persoon beoordeelt en verstuurt | Nee | N.v.t. - mens neemt het besluit | Nee |
Drie uitzonderingen waarbij geautomatiseerde besluiten zijn toegestaan
Zelfs wanneer artikel 22 normaal gesproken van toepassing zou zijn, is geautomatiseerde besluitvorming toegestaan in drie gevallen:
1. Noodzakelijk voor een overeenkomst
Het geautomatiseerde besluit is noodzakelijk voor het sluiten of uitvoeren van een overeenkomst met de persoon. Bijvoorbeeld een directe kredietbeslissing bij een online aankoop, waarbij handmatige beoordeling de dienst onpraktisch zou maken.
2. Toegestaan bij wet
EU- of lidstaatwetgeving staat de geautomatiseerde besluitvorming expliciet toe. De wet moet passende waarborgen bevatten voor de rechten van de persoon.
3. Op basis van uitdrukkelijke toestemming
De persoon heeft uitdrukkelijke toestemming gegeven voor de geautomatiseerde besluitvorming. Deze toestemming moet specifiek, geinformeerd en vrij gegeven zijn - niet verstopt in de algemene voorwaarden.
Vereiste waarborgen - ook bij uitzonderingen
Zelfs wanneer een van de drie uitzonderingen van toepassing is, moet je nog steeds deze waarborgen bieden:
- Recht op menselijke tussenkomst - de persoon kan vragen dat iemand het besluit beoordeelt
- Recht om een standpunt kenbaar te maken - de persoon kan de eigen situatie toelichten
- Recht om het besluit aan te vechten - de persoon kan de uitkomst betwisten
Je mag ook geen geautomatiseerde besluitvorming toepassen op basis van bijzondere categorieen persoonsgegevens (gezondheid, etniciteit, politieke opvattingen, enz.), tenzij je uitdrukkelijke toestemming hebt of een zwaarwegend algemeen belang met passende waarborgen.
Wanneer is een DPIA vereist?
Een Data Protection Impact Assessment (DPIA, ook wel gegevensbeschermingseffectbeoordeling) is vereist wanneer geautomatiseerde besluitvorming een hoog risico oplevert. Dit omvat doorgaans:
- Systematische profilering met significante gevolgen voor personen
- Grootschalige geautomatiseerde verwerking van persoonsgegevens
- Combineren van datasets op manieren die personen redelijkerwijs niet verwachten
- Verwerking van gevoelige gegevens via geautomatiseerde systemen
Als je AI-tools gebruikt om personen te evalueren, scoren of categoriseren, is een DPIA vrijwel zeker vereist.
Wat dit in de praktijk betekent voor je bedrijf
Als je een mkb-bedrijf runt en AI-tools of geautomatiseerde systemen gebruikt, controleer dan het volgende:
Stap 1: Breng je geautomatiseerde processen in kaart
Maak een lijst van elke tool of elk systeem dat besluiten neemt over personen. Denk aan wervingstools, kredietcontroles, fraudedetectie, klantscoring en alle AI-gestuurde automatisering.
Stap 2: Controleer of er een mens betekenisvol betrokken is
Een mens “in het proces” telt alleen als die persoon het besluit daadwerkelijk beoordeelt en de bevoegdheid heeft om het te wijzigen. Het simpelweg goedkeuren van de output van een algoritme is geen betekenisvolle menselijke beoordeling.
Stap 3: Beoordeel de gevolgen
Heeft het geautomatiseerde proces rechtsgevolgen (een contract geweigerd, een dienst beeindigd) of vergelijkbare ingrijpende gevolgen (financiele impact, een kans ontzegd)? Zo ja, en er is geen mens betrokken, dan is artikel 22 van toepassing.
Stap 4: Implementeer waarborgen
Voor elk proces waarop artikel 22 van toepassing is:
- Voeg daadwerkelijke menselijke beoordeling toe voor definitieve besluiten
- Creeer een procedure waarmee personen besluiten kunnen aanvechten
- Documenteer je rechtsgrondslag (overeenkomst, wet of uitdrukkelijke toestemming)
- Informeer personen dat er geautomatiseerde besluitvorming plaatsvindt
- Neem deze informatie op in je privacybeleid
Stap 5: Overweeg een DPIA
Als de verwerking profilering met significante gevolgen omvat, voer dan een DPIA uit voordat je begint.
Veelgemaakte fouten
- Aannemen dat “een mens klikt op goedkeuren” een betekenisvolle beoordeling is - de persoon moet de zaak daadwerkelijk beoordelen, niet alleen de aanbeveling van het systeem bevestigen
- Vergeten om mensen te informeren - je privacybeleid moet geautomatiseerde besluitvorming uitleggen, de gebruikte logica en de mogelijke gevolgen
- AI-tools gebruiken zonder rekening te houden met artikel 22 - als een AI-tool namens jou besluiten neemt over personen, gelden de GDPR-verplichtingen nog steeds voor jouw bedrijf
- Transparantie over profilering negeren - zelfs wanneer artikel 22 niet van toepassing is, moet je op grond van artikelen 13 en 14 nog steeds transparant zijn over profilering in je privacybeleid
GDPRWise scant je privacyinrichting en signaleert waar regels voor geautomatiseerde besluitvorming op je bedrijf van toepassing kunnen zijn.