Begrijpen van AVG Artikel 22: Uw rechten tegen geautomatiseerde besluitvorming
GDPR Artikel 22 gaat over een concept dat 'gegevensprofilering' wordt genoemd – in wezen een methode die wordt gebruikt om de persoonlijkheid van een individu te profileren uitsluitend via geautomatiseerde data-analyse, die de kans heeft hen juridisch of financieel te beïnvloeden (bijvoorbeeld kredietscores en hypotheekaanvragen).
Op grond van artikel 22 hebben individuen het recht om niet op een dergelijke manier te worden geprofileerd, tenzij dit uitdrukkelijk is overeengekomen door middel van een contract tussen de betrokkene en de organisatie die de profilering uitvoert.
AVG Artikel 22 Wettelijke tekst
EU AVG-versie
Geautomatiseerde individuele besluitvorming, inclusief profilering
- De betrokkene heeft het recht om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, inclusief profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of die hem op vergelijkbare wijze aanzienlijk treffen.
- Lid 1 is niet van toepassing indien het besluit:
- noodzakelijk is voor het aangaan of uitvoeren van een contract tussen de betrokkene en een verwerkingsverantwoordelijke;
- is toegestaan op grond van het recht van de Unie of de lidstaten waaraan de verwerkingsverantwoordelijke onderworpen is en dat tevens voorziet in passende maatregelen om de rechten en vrijheden en legitieme belangen van de betrokkene te beschermen; of
- is gebaseerd op de uitdrukkelijke toestemming van de betrokkene.
- In de in lid 2, punten a) en c), bedoelde gevallen treft de verwerkingsverantwoordelijke passende maatregelen om de rechten, vrijheden en legitieme belangen van de betrokkene te beschermen, in ieder geval het recht op menselijke tussenkomst van de kant van de betrokkene. voor de verwerking verantwoordelijke, om zijn of haar standpunt kenbaar te maken en om het besluit aan te vechten.
- De in lid 2 bedoelde besluiten mogen niet worden gebaseerd op de bijzondere categorieën persoonsgegevens als bedoeld in artikel 9, lid 1, tenzij artikel 9, lid 2, onder a) of g), van toepassing is en er passende maatregelen zijn genomen om de rechten van de betrokkene te beschermen. en vrijheden en legitieme belangen zijn aanwezig.
Britse AVG-versie
Geautomatiseerde individuele besluitvorming, inclusief profilering
- De betrokkene heeft het recht om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, inclusief profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of die hem op vergelijkbare wijze aanzienlijk treffen.
- Lid 1 is niet van toepassing indien het besluit:
- noodzakelijk is voor het aangaan of uitvoeren van een contract tussen de betrokkene en een verwerkingsverantwoordelijke;
- vereist of toegestaan is door de nationale wetgeving, die ook voorziet in passende maatregelen om de rechten en vrijheden en legitieme belangen van de betrokkene te beschermen; of
- is gebaseerd op de uitdrukkelijke toestemming van de betrokkene.
- In de in lid 2, punten a) en c), bedoelde gevallen treft de verwerkingsverantwoordelijke passende maatregelen om de rechten, vrijheden en legitieme belangen van de betrokkene te beschermen, in ieder geval het recht op menselijke tussenkomst van de kant van de betrokkene. voor de verwerking verantwoordelijke, om zijn of haar standpunt kenbaar te maken en om het besluit aan te vechten.
- 3A. Artikel 14 van de Wet van 2018, en de regelgeving op grond van dat artikel, voorzien in voorzieningen om de rechten, vrijheden en legitieme belangen van betrokkenen te beschermen in gevallen die vallen onder punt (b) van lid 2 (maar niet onder punt (a) of (c)) van die paragraaf).
- 4. De in lid 2 bedoelde besluiten worden niet gebaseerd op bijzondere categorieën persoonsgegevens als bedoeld in artikel 9, lid 1, tenzij artikel 9, lid 2, onder a) of g), van toepassing is en er passende maatregelen zijn genomen om de gegevens te beschermen de rechten, vrijheden en legitieme belangen van de betrokkene zijn aanwezig.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
Technisch commentaar
strekking
Over het algemeen is artikel 22 niet relevant als besluiten betrekking hebben op meerdere betrokkenen, of groepen individuen die met elkaar verbonden zijn door bepaalde variabelen – bijvoorbeeld leeftijd, geslacht, locatie.
In plaats daarvan concentreert de wet zich op de rechten van het individu – dat wil zeggen één persoon – om niet zonder hun toestemming te worden onderworpen aan profilering.
Wat is een 'beslissing'
Ondanks dat dit het voornaamste onderwerp is, vormen beslissingen een soort grijs gebied. De wet is onduidelijk wat een besluit is. Deze kunnen variëren van een besluit van een overheidsinstantie tot iets dat gemakkelijker herkenbaar is, zoals een kredietscore of acties die zijn ondernomen op basis van een hypotheekaanvraag.
Om de zaken nog vager te maken: beslissingen kunnen ook een houding of mening ten opzichte van een betrokkene inhouden, op basis van diens gegevens, maar alleen als de kans bestaat dat daar actie op wordt ondernomen.
Juridische gevolgen
Een 'rechtsgevolg' is een bindende handeling jegens een persoon. Beslissingen zijn scenario's zoals een uitkeringsaanvraag, een belastingaangifte of een zorgaanslag.
Hoewel sommige of al deze factoren de juridische basisstatus van een persoon misschien niet specifiek veranderen, kunnen ze toch een diepgaand effect hebben op het leven van die persoon, waaronder:
- het veranderen van de omstandigheden van een persoon of de keuzes die voor hem beschikbaar zijn;
- heeft een langdurig effect op een persoon in de loop van zijn leven;
- (in bepaalde omstandigheden) leidend tot discriminatie of onrechtvaardig handelen jegens iemand.
ISO 27701 clausule 7.2.2 en EU AVG artikel 22
In deze sectie praten we over AVG-artikelen 22 (2)(a), 22 (2)(b), 22 (2)(c), 22 (4)
Een wettelijke basis identificeren
Om een rechtsgrondslag te vormen voor de verwerking van PII moeten organisaties hun handelingen documenteren en:
- toestemming vragen;
- een contract opstellen, of contacten;
- voldoen aan eventuele andere wettelijke verplichtingen;
- de ‘vitale belangen’ beschermen van de individuen en groepen over wie zij gegevens bewaren;
- ervoor te zorgen dat zij in het algemeen belang opereren en een legitiem belang vormen.
Organisaties moeten in hun gegevensclassificatieschema ook rekening houden met 'speciale categorieën' van PII die betrekking hebben op hun organisatie (zie ISO 27701 clausule 7.2.8) (classificaties kunnen van regio tot regio verschillen).
Als organisaties veranderingen ervaren in hun onderliggende redenen voor het verwerken van PII, moet dit onmiddellijk worden weerspiegeld in hun gedocumenteerde rechtsgrondslag.
Ondersteunende ISO 27701-clausules
- ISO 27701 7.2.8
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
ISO 27701 clausule 7.3.10 en EU AVG artikel 22
In deze sectie praten we over AVG-artikelen 22 (1) en 22 (3)
Geautomatiseerde besluitvorming
Organisaties moeten rekening houden met verschillen in jurisdictie bij geautomatiseerde besluitvorming met betrekking tot PII.
Organisaties moeten het recht van een individu respecteren om bezwaar te maken en om menselijke tussenkomst te verzoeken in plaats van geautomatiseerde procedures.
Index van gekoppelde EU AVG-artikelen en ISO 27701-clausules
| AVG-artikel | ISO 27701-clausule | ISO 27701 Ondersteunende clausules |
|---|---|---|
| EU AVG Artikelen 22 (2)(a), 22 (2)(b), 22 (2)(c), 22 (4) | ISO 27701 7.2.2 | ISO 27701 7.2.8 |
| EU AVG Artikelen 22 (1) en 22 (3) | ISO 27701 7.3.10 | Geen |
Hoe ISMS.online helpt
Door een PIMS toe te voegen aan uw ISMS op het ISMS.online-platform blijft uw beveiligingspositie op één plek en vermijdt u duplicatie waar de standaarden elkaar overlappen.
Omdat uw PIMS direct toegankelijk is voor geïnteresseerde partijen, is het nog nooit zo eenvoudig geweest om met één klik op de knop te monitoren, rapporteren en auditen op basis van zowel ISO 27701 als ISO 27001.
Ontdek hoeveel tijd en geld u bespaart op uw reis naar een gecombineerde ISO 27701- en ISO 27001-certificering met ISMS.online door een demo boeken.
