GDPR Artikel 22 gaat over een concept dat 'gegevensprofilering' wordt genoemd – in wezen een methode die wordt gebruikt om de persoonlijkheid van een individu te profileren uitsluitend via geautomatiseerde data-analyse, die de kans heeft hen juridisch of financieel te beïnvloeden (bijvoorbeeld kredietscores en hypotheekaanvragen).
Op grond van artikel 22 hebben individuen het recht om niet op een dergelijke manier te worden geprofileerd, tenzij dit uitdrukkelijk is overeengekomen door middel van een contract tussen de betrokkene en de organisatie die de profilering uitvoert.
Geautomatiseerde individuele besluitvorming, inclusief profilering
Geautomatiseerde individuele besluitvorming, inclusief profilering
Over het algemeen is artikel 22 niet relevant als besluiten betrekking hebben op meerdere betrokkenen, of groepen individuen die met elkaar verbonden zijn door bepaalde variabelen – bijvoorbeeld leeftijd, geslacht, locatie.
In plaats daarvan concentreert de wet zich op de rechten van het individu – dat wil zeggen één persoon – om niet zonder hun toestemming te worden onderworpen aan profilering.
Ondanks dat dit het voornaamste onderwerp is, vormen beslissingen een soort grijs gebied. De wet is onduidelijk wat een besluit is. Deze kunnen variëren van een besluit van een overheidsinstantie tot iets dat gemakkelijker herkenbaar is, zoals een kredietscore of acties die zijn ondernomen op basis van een hypotheekaanvraag.
Om de zaken nog vager te maken: beslissingen kunnen ook een houding of mening ten opzichte van een betrokkene inhouden, op basis van diens gegevens, maar alleen als de kans bestaat dat daar actie op wordt ondernomen.
Een 'rechtsgevolg' is een bindende handeling jegens een persoon. Beslissingen zijn scenario's zoals een uitkeringsaanvraag, een belastingaangifte of een zorgaanslag.
Hoewel sommige of al deze factoren de juridische basisstatus van een persoon misschien niet specifiek veranderen, kunnen ze toch een diepgaand effect hebben op het leven van die persoon, waaronder:
In deze sectie praten we over AVG-artikelen 22 (2)(a), 22 (2)(b), 22 (2)(c), 22 (4)
Om een rechtsgrondslag te vormen voor de verwerking van PII moeten organisaties hun handelingen documenteren en:
Organisaties moeten in hun gegevensclassificatieschema ook rekening houden met 'speciale categorieën' van PII die betrekking hebben op hun organisatie (zie ISO 27701 clausule 7.2.8) (classificaties kunnen van regio tot regio verschillen).
Als organisaties veranderingen ervaren in hun onderliggende redenen voor het verwerken van PII, moet dit onmiddellijk worden weerspiegeld in hun gedocumenteerde rechtsgrondslag.
In deze sectie praten we over AVG-artikelen 22 (1) en 22 (3)
Organisaties moeten rekening houden met verschillen in jurisdictie bij geautomatiseerde besluitvorming met betrekking tot PII.
Organisaties moeten het recht van een individu respecteren om bezwaar te maken en om menselijke tussenkomst te verzoeken in plaats van geautomatiseerde procedures.
| AVG-artikel | ISO 27701-clausule | ISO 27701 Ondersteunende clausules |
|---|---|---|
| EU AVG Artikelen 22 (2)(a), 22 (2)(b), 22 (2)(c), 22 (4) | ISO 27701 7.2.2 | ISO 27701 7.2.8 |
| EU AVG Artikelen 22 (1) en 22 (3) | ISO 27701 7.3.10 | Geen |
Door een PIMS toe te voegen aan uw ISMS op het ISMS.online-platform blijft uw beveiligingspositie op één plek en vermijdt u duplicatie waar de standaarden elkaar overlappen.
Omdat uw PIMS direct toegankelijk is voor geïnteresseerde partijen, is het nog nooit zo eenvoudig geweest om met één klik op de knop te monitoren, rapporteren en auditen op basis van zowel ISO 27701 als ISO 27001.
Ontdek hoeveel tijd en geld u bespaart op uw reis naar een gecombineerde ISO 27701- en ISO 27001-certificering met ISMS.online door een demo boeken.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
