Datakeuzes met Impact: Privacy, Profiling en AI in de Datapraktijk

De roep om datagedreven werken klinkt in vrijwel iedere organisatie. Business intelligence (BI)-teams, datastrategen en commerciële afdelingen bouwen steeds complexere modellen op basis van klant-, gedrags- en omgevingsdata. Datagedreven werken belooft waardevolle inzichten en efficiëntere besluitvorming. Maar met die groeiende datastromen groeit ook de verantwoordelijkheid: hoe zorg je dat keuzes niet alleen slim, maar ook rechtmatig en ethisch zijn?

De kernvraag is fundamenteel: hoe pas je de AVG en ethische kaders concreet toe in datapipelines, AI-toepassingen en datagedreven besluitvorming?

Persoonsgegevens herkennen in de praktijk

Een naam of e-mailadres herkennen we allemaal als persoonsgegevens. Maar in de praktijk gaat het vaak subtieler. Locatiedata, gedragsprofielen of combinaties van datasets kunnen net zo goed herleidbaar zijn tot een individu. Overweging 26 AVG en de European Data Protection board (EDPB) benadrukken dat het criterium “alle middelen die redelijkerwijs ingezet kunnen worden” leidend is .

Zelfs de hoogste rechters hebben hier moeite mee. Recent oordeelde de Raad van State dat meldingen die aanleiding waren voor een huisbezoek geen persoonsgegevens zouden zijn van de hoofdbewoner. Dat schuurt met de lijn van het Hof van Justitie in Nowak (C-434/16), dat oordeelde dat informatie “over” een persoon gaat wanneer deze qua inhoud, doel of gevolg met die persoon verbonden is.

Onder de streep maakte het voor de eiseres misschien niet uit – de informatie werd in de onderliggende zaak niet verstrekt, mede ter bescherming van de melders – maar het had de Raad gesierd als zij het begrip persoonsgegeven juist had toegepast. Dit illustreert hoe complex de materie is, en hoe belangrijk het is dat organisaties zélf scherp kijken wat er in hun datapipeline zit.

Pseudonimiseren, anonimiseren & relatieve herleidbaarheid

Veel organisaties zien pseudonimisering nog steeds als een vorm van anonimiseren. Dat is een hardnekkige misvatting: pseudonieme data blijft persoonsgegevens zolang herleiding mogelijk is .

Toch heeft het Hof van Justitie recent een belangrijk nuancepunt toegevoegd in EDPS v. SRB/GAR (C-413/23 P). Het Hof bevestigt dat gepseudonimiseerde gegevens relatief herleidbaar kunnen zijn: voor de verstrekker blijven het persoonsgegevens, maar voor de ontvanger niet noodzakelijkerwijs.

Dit betekent dat pseudonimisering geen zwart-witkwestie is, maar afhankelijk van de omstandigheden: welke technische en organisatorische middelen heeft de ontvanger om data alsnog te herleiden? En beschikt die partij over juridische toegang tot aanvullende gegevens?

De uitdaging voor organisaties is nu dubbel: enerzijds ontstaat ruimte om gepseudonimiseerde gegevens rechtmatig te delen, anderzijds vraagt dit om zorgvuldiger documenteren van aannames en risico’s. Het risico verschuift van de techniek naar de governance.

Dataminimalisatie en doelbinding

Een van de krachtigste beginselen van de AVG is dataminimalisatie: verwerk niet méér dan nodig is. In combinatie met doelbinding dwingt dit organisaties scherp te formuleren waarvoor data wordt gebruikt, en niet méér.

Het gevaar van function creep – dat data ongemerkt voor nieuwe doelen worden ingezet – is reëel. Denk aan dashboards die na verloop van tijd uitgebreid worden met nieuwe databronnen, of AI-modellen die worden toegepast buiten hun oorspronkelijke context. De AVG vraagt om bewuste keuzes: elk doel moet expliciet zijn, met heldere grenzen.

Praktijkvoorbeeld: een marketingtool die wijkinformatie koppelt aan gedragskenmerken per postcodegebied. Op zichzelf geaggregeerde data, maar in combinatie met klantadressen kan dit leiden tot indirecte herleidbaarheid. De proportionaliteitstoets maakt dan duidelijk dat geaggregeerde data zonder gedragskenmerken vaak volstaat.

Transparantie & accountability

De AVG vraagt niet alleen om rechtmatig handelen, maar ook om aantoonbaarheid. Een verwerkingsregister, DPIA of vaststelling van formele besluitvorming zijn geen bureaucratische lasten, maar bouwstenen van accountability.

Bij AI en profiling gaat transparantie nog verder. Het Hof benadrukt steeds vaker dat de “redelijke verwachtingen” van betrokkenen zwaar wegen. Betrokkenen moeten in begrijpelijke taal kunnen snappen wat er met hun data gebeurt – ook als het gaat om complexe modellen of profilering.

Het onderscheid tussen interne documentatie en externe verantwoording is cruciaal. Waar een toezichthouder volledige inzage kan vragen, volstaat voor een klant vaak een begrijpelijke uitleg over welke data worden gebruikt en waarom.

AI, profiling & ethiek

AI-modellen kunnen segmenteren, voorspellen en zelfs beslissen. Maar dat roept juridische en ethische vragen op:

• Juridisch: artikel 22 AVG beperkt geautomatiseerde besluitvorming met rechtsgevolgen.

• Procedureel: bij AI die aanzienlijke impact op individuen heeft, is een DPIA verplicht.

• Ethisch: bias en representativiteit. Welke groepen vallen buiten beeld omdat ze niet in de dataset voorkomen?

De recente EDPB-opinie over AI-modellen benadrukt bovendien dat anonimiteit van een model niet snel mag worden aangenomen . Voor BI-teams en datastrategen betekent dit dat juridische toetsing en ethische reflectie niet optioneel zijn, maar integraal onderdeel van het ontwerpproces.

Samenwerking over de silo’s heen

Veel misverstanden ontstaan doordat disciplines anders kijken naar dezelfde data. Waar een marketeer denkt aan relevantie, ziet een jurist risico’s en een data scientist vooral modelnauwkeurigheid.

De oplossing ligt in samenwerking. Door vanaf het begin juridische en ethische checks mee te nemen, worden datagedreven projecten niet afgeremd, maar juist versterkt. De AVG blijkt dan geen rem, maar een ontwerpkader voor innovatie .

Conclusie

Datagedreven werken vraagt om bewuste datakeuzes waarin juridische, ethische en commerciële belangen samenkomen. Recente uitspraken – van de Raad van State tot het Hof van Justitie – laten zien dat zelfs rechters worstelen met kernbegrippen als persoonsgegeven en pseudonimisering.

Voor organisaties is de boodschap helder: investeer in kennis, documenteer keuzes en werk samen over disciplines heen. Alleen zo benut je de kracht van data én blijf je in control.