Datagedreven werken is niet meer weg te denken uit de verzekeringssector. Het analyseren van grote hoeveelheden data is noodzakelijk om risico’s te beoordelen, verzekeringsaanvragen te verwerken en te voldoen aan wettelijke verplichtingen zoals klantonderzoek en fraudepreventie. Profilering en geautomatiseerde besluitvorming kunnen daarbij een centrale rol spelen en stellen verzekeraars in staat om op schaal beslissingen te ondersteunen en processen efficiënt in te richten.
Tegelijkertijd grijpen deze technologieën, zoals profilering en geautomatiseerde besluitvorming, in op de relatie met de verzekerde. Zeker wanneer geautomatiseerde analyses leiden tot besluiten met merkbare gevolgen, zoals acceptatie, premiebepaling of beëindiging van een verzekering, nemen de juridische en maatschappelijke verwachtingen toe. Transparantie, zorgvuldigheid en menselijke controle zijn dan geen formaliteiten, maar randvoorwaarden voor verantwoord gebruik. Verzekeraars die deze waarborgen structureel borgen, voorkomen dat datagedreven innovatie omslaat in aansprakelijkheids- of reputatierisico’s. In dit blog bespreken wij waar de juridische aandachtspunten liggen bij profilering en geautomatiseerde besluitvorming en wat dit concreet betekent voor de praktijk van verzekeraars.
Wat is profilering
Profilering betekent dat persoonsgegevens op een (deels) geautomatiseerde manier worden gebruikt om iets te zeggen over een persoon. Het gaat daarbij niet alleen om het verzamelen van gegevens, maar vooral om het trekken van conclusies of het doen van voorspellingen. In de verzekeringspraktijk wordt profilering bijvoorbeeld gebruikt bij het bepalen van premies, het beoordelen van aanvragen of het inschatten van fraudegevoeligheid. Vaak worden hiervoor gegevens uit verschillende bronnen gecombineerd om een profiel te vormen dat iets zegt over iemands huidige of toekomstige gedrag.
Niet iedere vorm van segmentatie is echter profilering. Een eenvoudige, statische indeling van klanten, bijvoorbeeld naar leeftijdscategorie, zonder dat daar conclusies of gevolgen aan worden verbonden, valt daar meestal niet onder. Het relevante punt zit juist in de beoordeling. Zodra data worden gebruikt om een oordeel te vormen over een individu of om diens kansen, risico’s of betrouwbaarheid in te schatten, is er sprake van profilering. Juist omdat zulke beoordelingen concrete gevolgen kunnen hebben voor de rechten en vrijheden van verzekerden.
Profilering en geautomatiseerde besluiten
Profilering en geautomatiseerde besluitvorming worden vaak door elkaar gehaald, maar juridisch is het onderscheid belangrijk. Profilering gaat over het analyseren en voorspellen van gedrag of risico’s op basis van data. Geautomatiseerde besluitvorming gaat een stap verder: daarbij wordt zonder menselijke tussenkomst een besluit genomen dat gevolgen heeft voor een persoon, bijvoorbeeld een afwijzing van een verzekering of een hogere premie.
Voor verzekeraars zit het grootste risico in deze combinatie. Profilering mag in veel gevallen, maar zodra de uitkomst zonder menselijke tussenkomst leidt tot een besluit, gelden strengere spelregels. In de praktijk ontstaat dit vaak geleidelijk: wat begint als een ondersteunend risicomodel, kan uitgroeien tot een volledig geautomatiseerd beslissysteem. Juist daarom is het belangrijk dat verzekeraars scherp hebben waar data-analyse stopt en besluitvorming begint.
Vereisten bij profilering
Voor verzekeraars is profilering onder de Algemene verordening gegevensbescherming (‘AVG’) geen vrij speelveld. De Autoriteit Persoonsgegevens (‘AP’) benadrukt dat profileren alleen is toegestaan wanneer dit zorgvuldig en proportioneel gebeurt. In de praktijk houdt dit in dat verzekeraars voor profilering over een duidelijke rechtsgrond moeten beschikken, de AVG-beginselen in acht moeten nemen en aandacht moeten hebben voor het doel, de impact op de verzekerde en de beveiliging van persoonsgegevens.
Transparantie speelt daarbij een centrale rol. Verzekerden moeten kunnen begrijpen dat er gebruik wordt gemaakt van profilering, welke gegevens daarvoor worden ingezet en wat de mogelijke gevolgen zijn. Profilering mag geen onzichtbaar proces zijn dat zich volledig achter de schermen afspeelt. Juist omdat uit profileringsmodellen conclusies kunnen voortkomen die een grote invloed hebben, verwacht de AP dat verzekeraars hier open en zorgvuldig over communiceren via bijvoorbeeld een beschikbare privacyverklaring.
Daarnaast geldt dat profilering niet verder mag gaan dan noodzakelijk. De inzet van grote hoeveelheden data of externe databronnen is niet automatisch gerechtvaardigd, ook niet wanneer dit technisch mogelijk is. Verzekeraars moeten steeds afwegen of de gekozen aanpak in verhouding staat tot het beoogde doel en of de belangen en rechten van de verzekerde voldoende worden beschermd.
Kortom, profilering is toegestaan en vaak onmisbaar binnen de verzekeringspraktijk, maar vraagt om duidelijke keuzes, heldere communicatie en voortdurende aandacht voor proportionaliteit en zorgvuldigheid. Verzekeraars die deze uitgangspunten structureel borgen, verkleinen het risico dat datagedreven werken omslaat in privacy- of complianceproblemen.
Wat moet een verzekeraar concreet regelen?
Profilering en geautomatiseerde besluitvorming vragen om een zorgvuldige inrichting van datagedreven processen. Voor verzekeraars betekent dit dat zij niet alleen technisch, maar ook juridisch en organisatorisch de juiste keuzes moeten maken. De belangrijkste aandachtspunten waar verzekeraars rekening mee moeten houden zijn:
- Voer een Data Protection Impact Assessment (‘DPIA’) uit
Profilering kan een hoog risico opleveren voor de privacy van verzekerden en vereist daarom een DPIA. Zo’n beoordeling helpt om risico’s vroegtijdig te signaleren en passende maatregelen te treffen. Voor het uitvoeren van een DPIA vind je hier meer informatie.
- Zorg voor transparantie richting verzekerden
Verzekeraars moeten in hun privacyverklaring duidelijk uitleggen dat en hoe profilering of geautomatiseerde besluitvorming wordt ingezet, welke gegevens daarbij worden gebruikt en wat de mogelijke gevolgen zijn.
- Borg het recht op een menselijke blik
Wanneer besluiten volledig automatisch worden genomen en merkbare gevolgen hebben, moeten verzekerden kunnen rekenen op een menselijke beoordeling.
- Beoordeel de noodzaak van een functionaris gegevensbescherming (‘FG’)
In sommige gevallen is het aanstellen van een FG verplicht of in ieder geval sterk aan te raden, zeker wanneer profilering structureel onderdeel is van de bedrijfsvoering. Verzekeraars kunnen deze rol intern beleggen of kiezen voor ondersteuning door een externe FG. Hier lees je meer over onze ondersteuning als FG.
- Gebruik juiste en actuele gegevens
Beslissingen mogen alleen worden gebaseerd op juiste en actuele gegevens. Onjuiste gegevens zorgen zowel voor juridische risico’s als voor onbegrijpelijke en onrechtvaardige uitkomsten.
- Zorg voor passende informatiebeveiliging
Gegevens die worden gebruikt moeten goed worden beveiligd. Dit geldt temeer wanneer gevoelige of grootschalige datasets worden verwerkt.
- Respecteer de rechten van betrokkenen
Verzekerden moeten hun privacyrechten, zoals inzage, correctie en bezwaar, eenvoudig in de praktijk kunnen uitoefenen.
Hoe wij hierbij kunnen ondersteunen
Wij begeleiden verzekeraars bij het juridisch toekomstbestendig inrichten van datagedreven processen. Denk aan DPIA-vraagstukken, transparante privacyinformatie en effectieve menselijke controle bij geautomatiseerde besluitvorming, evenals governance, toezichtseisen en de werkbare toepassing van de AVG.
Meer weten over hoe jouw organisatie profilering en geautomatiseerde besluitvorming zorgvuldig kan inzetten binnen de geldende juridische kaders? Neem dan contact met ons op.
Contact opnemen
