Wanneer profilering en geautomatiseerde besluitvorming van toepassing zijn, en wat je daarna doet
Kort antwoord
Profilering en geautomatiseerde besluitvorming zijn van toepassing wanneer een SaaS-workflow persoonsgegevens gebruikt om mensen te beoordelen, gedrag te voorspellen, risico te rangschikken, behandeling te beinvloeden of besluiten te nemen.
Voor wie dit geldt: SaaS-founders, compliance leads, securityteams, operations managers en engineering leaders
Wat je nu moet doen
- Breng workflows, systemen of leveranciersrelaties in kaart waar profilering en geautomatiseerde besluitvorming al spelen.
- Definieer eigenaar, trigger, beslismoment en minimaal bewijs.
- Leg de eerste praktische wijziging vast voor de volgende audit, klantreview of lancering.
Wanneer profilering en geautomatiseerde besluitvorming van toepassing zijn, en wat je daarna doet
Profilering en geautomatiseerde besluitvorming zijn van toepassing wanneer een SaaS-workflow persoonsgegevens gebruikt om mensen te beoordelen, gedrag te voorspellen, risico te rangschikken, behandeling te beinvloeden of besluiten over individuen te nemen. De praktische reactie is niet elke productidee stopzetten, maar de workflow classificeren, impact begrijpen, een eigenaar aanwijzen en passende waarborgen toevoegen.
Onder de GDPR is profilering geautomatiseerde verwerking van persoonsgegevens om persoonlijke aspecten te evalueren. Geautomatiseerde besluitvorming is een besluit met technologische middelen zonder menselijke tussenkomst. Artikel 22 is smaller en vooral relevant bij uitsluitend geautomatiseerde besluiten met juridische of vergelijkbaar significante gevolgen.
Een score, flag, ranking of aanbeveling kan controles vereisen, ook zonder artikel 22. Zie de veelgemaakte fouten en de praktische gids.
De trigger-vraag
Gebruikt deze workflow persoonsgegevens om een persoon te beoordelen, scoren, rangschikken, voorspellen, classificeren, aanbevelen, goedkeuren, afwijzen, schorsen, prioriteren, routeren of beprijzen?
Bij ja of misschien open je een review. Die kan kort zijn bij laag risico. Hij moet dieper worden wanneer toegang, eligibility, handhaving, prijs, werkgerelateerde beoordeling, finance, onderwijs, gezondheid, veiligheid of belangrijke kansen worden geraakt.
Wanneer het meestal geldt
Het geldt meestal wanneer een systeem een persoon beoordeelt of iets over die persoon afleidt: frauderisico, trust score, gedragssegmentatie, churnvoorspelling, lead scoring, workplace analytics, customer health scores met benoemde contacten, identiteitsrisico, moderatie, security ranking, gepersonaliseerde prijzen of AI-output die personen classificeert.
Het systeem hoeft niet het eindbesluit te nemen. Als een mens de score gebruikt, kan nog steeds sprake zijn van profilering.
Wanneer artikel 22 kan gelden
Artikel 22 kan gelden wanneer het besluit uitsluitend geautomatiseerd is, een persoon betreft en juridische of vergelijkbaar significante gevolgen heeft.
Menselijke betrokkenheid moet betekenisvol zijn. Iemand die machine-output alleen accepteert zonder context, tijd, bevoegdheid of wijzigingsmogelijkheid is zwak bewijs. Bij artikel 22 zijn een toegestane route en waarborgen nodig, zoals menselijke interventie, standpunt kunnen geven en betwisting.
Wat je eerst documenteert
Begin met doel, betrokkenen, data-inputs, systeem of leverancier, eigenaar, output, gebruikers van de output, mogelijke impact, rechtsgrond, retentie, security en bewijsplek.
Classificeer daarna: gewone automatisering, profilering met menselijk gebruik, geautomatiseerde beslisondersteuning of uitsluitend geautomatiseerd besluit met significante impact. Impact is centraal.
Wat je daarna doet
Laag risico: eigenaar, inputs, doel, transparantie, retentie en reviewtrigger. Middelgroot risico: privacyreview, leverancier, datakwaliteit, support, klachten en monitoring. Hoog impact: DPIA, juridische review, bias- en accuratesse-tests, sterke menselijke review, overrides en geplande monitoring.
Bij artikel 22 ontwerp je interventie, betwisting, uitleg en decision record voor lancering.
FAQ
Wanneer geldt dit voor SaaS-teams?
Wanneer een product, interne workflow of leverancier persoonsgegevens gebruikt om individuen te scoren, classificeren, voorspellen, markeren, aanbevelen, goedkeuren, afwijzen, schorsen, prioriteren of routeren.
Wat documenteer je eerst?
Eigenaar, inputs, output, beslisgebruik, waarschijnlijke impact, classificatie, menselijke review, transparantie en bewijsplek.
Lost een menselijke reviewer het op?
Alleen als de review betekenisvol is en de persoon context, tijd, bevoegdheid en wijzigingsmogelijkheid heeft.
Bronnen
- Europese Unie, Algemene verordening gegevensbescherming.
- European Data Protection Board, guidance over automated decision-making and profiling.
- Information Commissioner's Office, guidance over automated decision-making and profiling.
- Information Commissioner's Office, Rights related to automated decision making including profiling.
Belangrijke termen in dit artikel
Primaire bronnen
- General Data Protection RegulationEuropean Union · Geraadpleegd 21 mei 2026
- Automated decision-making and profilingEuropean Data Protection Board · Geraadpleegd 21 mei 2026
- Automated decision-making and profilingInformation Commissioner's Office · Geraadpleegd 21 mei 2026
- Rights related to automated decision making including profilingInformation Commissioner's Office · Geraadpleegd 21 mei 2026
Verken gerelateerde hubs
Gerelateerde artikelen
Gerelateerde glossariumtermen
Klaar om je compliance te borgen?
Wacht niet tot overtredingen je bedrijf raken. Ontvang je uitgebreide compliance-rapport in enkele minuten.
Scan je website nu gratis