Maak gebruik van uw rechten - artikel 22 - laat u beschermen tegen geautomatiseerde besluitvorming!

Wist u dat de GDPR uw persoonsgegevens ook beschermt tegen onterechte toepassing van een geautomatiseerd besluit? Als u denkt dat dit relevant kan zijn voor een beslissing die over u is genomen (bv. een bank die een hypotheek weigert of uw lidmaatschap van een sportschool geweigerd), of als u meer wilt weten, lees dan verder om te weten te komen hoe u uw recht op bescherming tegen geautomatiseerde besluitvorming kunt uitoefenen..

Deze pagina werd helaas alleen automatisch in het Nederlands vertaald. U kunt ook overschakelen op het Engelse origineel.

Uw recht om beschermd te worden tegen geautomatiseerde besluitvorming!

Wat is geautomatiseerde besluitvorming?

Geautomatiseerde besluitvorming (of ADM) is het nemen van beslissingen met technologische middelen, zoals een algoritme of computer. De GDPR verbiedt personen om te worden onderworpen aan besluiten die "uitsluitend op geautomatiseerde verwerking berusten". Dit betekent dat bedrijven, autoriteiten en andere entiteiten in bepaalde omstandigheden geen besluiten over personen mogen nemen met gebruikmaking van uitsluitend technologie en zonder menselijke tussenkomst

De gegevens die in ADM worden gebruikt, kunnen op verschillende manieren worden verzameld: de gegevens kunnen rechtstreeks door de personen worden verstrekt, bijvoorbeeld via een vragenlijst, door personen te observeren, door locatiegegevens te verzamelen via een app op uw telefoon, of door gegevens af te leiden uit een profiel dat u al hebt aangemaakt of dat over u is aangemaakt

Enkele voorbeelden van gevallen waarin u aan ADM kunt worden onderworpen: uw bank weigert een lening op basis van een algoritme in een computerprogramma, een telecomaanbieder aanvaardt u niet als klant omdat een kredietwaardigheidsagentschap een negatief resultaat over u heeft teruggestuurd, of de exploitant van een platform wordt door een algoritme gesanctioneerd omdat hij verschillende verzoeken heeft geweigerd.

ADM mag niet worden verward met profilering. Profilering houdt in dat persoonsgegevens worden verwerkt om persoonlijke aspecten, bijvoorbeeld de kenmerken of gedragspatronen van personen, te evalueren. Dit wordt vaak gedaan om personen in bepaalde categorieën in te delen en zo hun gedrag verder te analyseren of te voorspellen. Profilering leidt niet altijd tot ADM, en ADM wordt niet altijd genomen op basis van profilering

Stap 1: Bepaal welk recht u wilt uitoefenen

Stap 2: Contactgegevens van de controleur

Stap 3: Stel uw verzoek op

Stap 4: Antwoord van de verantwoordelijke voor de verwerking

Stap 5: Wat als de verantwoordelijke voor de verwerking mijn verzoek afwijst?

In welke gevallen is het verboden om ADM te gebruiken om beslissingen over mij te nemen?

Het recht om beschermd te worden tegen ADM verschilt enigszins van de andere rechten van de betrokkene in de GDPR, omdat het een bescherming betreft die zal bestaan ongeacht of een persoon een verzoek indient bij de verantwoordelijke voor de verwerking of een rechtsvordering instelt. Dit recht verbiedt het gebruik van ADM.

Het gebruik van ADM is verboden wanneer:

Het besluit uitsluitend is gebaseerd op een geautomatiseerd besluitDit zijn meestal situaties waarin het besluit zonder menselijke tussenkomst wordt genomen. De menselijke tussenkomst moet komen van iemand met de autoriteit en bevoegdheid om het besluit zo nodig te wijzigen. Een voor de verwerking verantwoordelijke kan niet proberen het verbod te omzeilen door een minimale of zeer losse menselijke betrokkenheid te verzinnen
Het besluit heeft rechtsgevolgen of soortgelijke significante gevolgen
- Onder rechtsgevolgen worden resultaten verstaan die gevolgen hebben voor de wettelijke rechten of de rechtspositie van een persoon. Het kan bijvoorbeeld gaan om de ontbinding van een contract, de weigering van een uitkering of van bepaalde rechten, zoals het instellen van een rechtsvordering of het uitbrengen van een stem, of de weigering van een wijziging van het staatsburgerschap of de burgerlijke staat
- Gelijksoortigesignificante gevolgen zijn gevolgen met een vergelijkbare ernst als de bovengenoemde juridische gevolgen. Het kan bijvoorbeeld gaan om de weigering van een online kredietaanvraag, een e-recruitingproces zonder menselijke tussenkomst, de onmogelijkheid om toegang te krijgen tot gezondheidsdiensten of onderwijs, de weigering van arbeidskansen, of discriminatie in een van deze processen

Zijn er uitzonderingen op dit verbod?

Ja. Als voor de verwerking bepaalde rechtsgrondslagen worden gebruikt, is er geen verbod op besluitvorming met alleen ADM.

Voor de verwerking verantwoordelijken kunnen alleen gebruik maken van ADM zonder menselijke tussenkomst wanneer :

Het besluit noodzakelijk is om een overeenkomst uit te voeren;
Het besluit is toegestaan op grond van EU-wetgeving of nationale wetgeving, zoals voor fraude of belastingontduiking;
U uitdrukkelijk hebt aanvaard aan een dergelijk besluit te worden onderworpen;

ADM mag geen betrekking hebben op specifieke gegevenscategorieën ("gevoelige gegevens"), behalve in bepaalde omstandigheden en mits waarborgen worden geboden

Indien u niet zeker weet welke rechtsgrondslag wordt gebruikt voor de verwerking van uw persoonsgegevens, of welke gegevens worden verwerkt voor een ADM, kunt u een verzoek om toegang tot de voor de verwerking verantwoordelijke indienen. Zij zijn wettelijk verplicht om u deze informatie te verstrekken

Geeft de GDPR mij rechten die ik kan uitoefenen met betrekking tot ADM?

Ja! Als gevolg van de automatische bescherming van de GDPR tegen ADM, hebt u het recht om bepaalde informatie te ontvangen en hebt u recht op verschillende beschermingsmaatregelen.

Informatie. In gevallen waarin een ADM van kracht is, heb je recht op de volgende informatie

zinvolle uitleg over hoe het besluit tot stand is gekomen, zoals de betrokken logica en de gegevens die zijn gebruikt om tot het besluit te komen
de betekenis van de verwerking: de voor de verwerking verantwoordelijke moet uitleggen waarom het besluit is genomen en wat de reden daarvoor was
de beoogde gevolgen voor u als gevolg van de verwerking, d.w.z. wat de voor de verwerking verantwoordelijke van plan is te doen met de resultaten van de ADM.

Waarborgen Indien een voor de verwerking verantwoordelijke uw persoonsgegevens verwerkt voor de ADM op grond van een van de bovenstaande uitzonderingen, dan moet hij bepaalde waarborgen toepassen en u een aantal rechten geven:

Het recht op menselijke tussenkomst (bv. een mens met echte macht om het besluit te wijzigen moet tussenbeide komen);
Het recht om uw standpunt kenbaar te maken (b.v. een persoon moet luisteren naar de argumenten tegen de beslissing);
Het recht om een verklaring te krijgen (b.v. een mens moet uitleggen hoe het besluit tot stand is gekomen);
Het recht om het besluit aan te vechten (de tussenkomende persoon moet uw standpunt horen en het besluit bevestigen of wijzigen op basis van uw argumenten).

Hoe kan ik deze rechten uitoefenen?

Stap 1: Bepaal welk recht u wilt uitoefenen

Als u niet zeker weet welk recht u moet uitoefenen, kunt u door eerst een verzoek om toegang in te dienen een beter beeld krijgen van wat de voor de verwerking verantwoordelijke met uw persoonsgegevens doet en bevestigen of uw persoonsgegevens voor ADM zijn gebruikt. Dit kan u helpen te beslissen wat u vervolgens wilt doen. In een dergelijk geval deelt u de voor de verwerking verantwoordelijke mee dat u informatie wenst die de rechtsgrondslag voor de verwerking en het bestaan van ADM bevestigt, alsook de logica, het belang en de gevolgen van die verwerking
Indien u van mening bent dat u aan een ADM bent onderworpen ondanks het verbod om dat te doen, kunt u de voor de verwerking verantwoordelijke vragen om het gebruik van een ADM stop te zetten (volg stap 2 hieronder) of een klacht indienen bij een gegevensbeschermingsautoriteit
Om uw recht op de waarborgen uit te oefenen wanneer een ADM rechtmatig wordt gebruikt, volgt u de onderstaande stappen

Stap 2: Contactgegevens verantwoordelijke

Uw verzoek om de verwerking van uw gegevens te beperken, moet worden gericht aan de verantwoordelijke voor de verwerking (de organisatie/entiteit/administratie/onderneming die uw gegevens verwerkt)

Dit kan per e-mail , brief, fax of door middel van een formulier, zolang u maar een schriftelijke aantekening van het verzoek hebt

Het relevante e-mailadres is gewoonlijk te vinden in de rubriek "privacybeleid" of "contact met ons opnemen" van de website van de voor de verwerking verantwoordelijke. Het zal meestal een naam hebben zoals privacy@company.com of legal@publicauthority.eu. Als dit moeilijk te vinden is, of als er geen specifiek adres is waarnaar u uw verzoek kunt sturen, is dat de fout van de voor de verwerking verantwoordelijke, niet de uwe - de GDPR vereist dat voor de verwerking verantwoordelijken deze informatie gemakkelijk toegankelijk maken. Als er geen specifiek e-mailadres is, kunt u de algemene contactgegevens van de voor de verwerking verantwoordelijke gebruiken.

Stap 3: Stel uw verzoek op

Geef aan dat u bevestiging wenst dat uw persoonsgegevens worden gebruikt voor ADM-doeleinden en welke waarborgen u in verband met de ADM wenst te laten gelden Een voorbeeld van een zin waarin waarborgen zou als volgt kunnen luiden: "op grond van mijn rechten als betrokkene op grond van artikel 22 van EU-verordening 2016/679 zoek ik menselijke tussenkomst in verband met het besluit/om uw standpunt kenbaar te maken/om het besluit aan te vechten en op welke gronden/om uitleg te krijgen over het besluit." U kunt verschillende of slechts één van deze rechten opnemen.
Specificeer uwnaam of een andere identificatiecode die door de voor de verwerking verantwoordelijke wordt gebruikt(bijvoorbeeld een gebruikersnaam van een account)Om de voor de verwerking verantwoordelijke te helpen uw verzoek efficiënter in te willigen, dient uinformatieop te gevenwaarmee uw account kan worden geïdentificeerd, zoals uw telefoonnummer (als u dat hebt opgegeven toen u zich aanmeldde), gebruikersnaam of accountnaam, of IP-adres. Dit is vooral nuttig als u een gemeenschappelijke voor- en achternaam hebt.
Vermeld de datumin de tekst als u uw verzoek in een bijlage bij de e-mail of in een brief doet. Dit verduidelijkt de termijn waarbinnen de voor de verwerking verantwoordelijke de informatie moet verstrekken.

Stap 4: Antwoord van de controleur

Zodra de verantwoordelijke voor de verwerking uw verzoek heeft ontvangen, heeft hij éénmaand de tijd om te antwoorden. Deze periode kan slechts één keer met maximaal twee maanden worden verlengd, in geval van complexe of meervoudige verzoeken

De verantwoordelijke voor de verwerking kan u in geval van twijfel om aanvullende informatie vragen om uw identiteit te bevestigen. Een dergelijk verzoek moet echter beperkt blijven tot de aanvullende informatie die nodig is om te bevestigen wie u bent. De aanvullende informatie mag niet onevenredig zijn, gelet op de context van de verwerking van uw gegevens (bv. een winkel die u om een kopie van uw paspoort vraagt om het adres van een klantenkaart te wijzigen, zou onevenredig zijn)

In het algemeen moet deze informatie schriftelijk aan u worden verstrekt, maar dit kan ook langs elektronische weg, bijvoorbeeld via e-mail, of mondeling indien u daarom verzoekt.

Stap 5: wat als de voor de verwerking verantwoordelijke mijn verzoek weigert?

Als de voor de verwerking verantwoordelijke:

uw verzoek afwijst zonder een bevredigende verklaring,
u ongerechtvaardigde kosten in rekening probeert te brengen voor uw verzoek,
niet antwoordt na een maand of na de verlengde termijn (maximaal 3 maanden in totaal),

hebt u het recht een klacht in te dienen bij een gegevensbeschermingsautoriteit (bv. de gegevensbeschermingsautoriteit waar u woont of werkt), en moet de voor de verwerking verantwoordelijke u daarvan op de hoogte brengen

Als u hulp nodig hebt bij het beoordelen van de juridische elementen van het antwoord van een voor de verwerking verantwoordelijke, kunt u contact met ons opnemen opinfo@noyb.euom verdere stappen te bespreken.

Terug naar Uw rechten uitoefenen

Steun ons!

noyb financieringsdoel

74.26 %

Lid worden

Volg ons!

Media Coverage

U.S. tech giant Meta has been hit with a record €1.2 billion fine for not complying with the EU’s privacy rulebook.

Apple hits back at European activist complaints against tracking tool

An Austrian privacy advocacy group drew a strongly critical response from Apple on Monday after it said an online tracking tool used in its devices breached European law.

101 Unternehmen leiten noch immer Daten an die USA weiter

Der Datenschutz-Verein noyb brachte 101 Beschwerden gegen den Datentransfer in die USA ein.

ZDF Magazin Royale vom 10. Dezember 2021

Expertentalk mit Datenschützer und Facebookbezwinger Max Schrems

Irish regulator proposes 36 mln euro Facebook privacy fine - document

The complaint, lodged by Austrian privacy activist Max Schrems, concerned the lawfulness of Facebook's processing of personal data, specifically around its terms of service.