Handhaving en boetes AP

Wat zijn de regels rondom profilering en geautomatiseerde besluitvorming voor kleine bedrijven?

Eva de Vries Eva de Vries
· · 8 min leestijd

Stel je even voor: je hebt een kleine onderneming. Misschien een leuke webshop, een lokaal café of een creatief bureau.

Inhoudsopgave
  1. Wat is het eigenlijk? De basis in gewone taal
  2. Waarom zijn er regels voor? Het belang van vertrouwen
  3. De AVG en jouw kleine bedrijf
  4. De regels rondom profilering
  5. De regels rondom geautomatiseerde besluitvorming
  6. Hoe pas je dit toe zonder technische kopzorgen?
  7. Praktische stappen voor kleine ondernemers
  8. Veelvoorkomende valkuilen vermijden
  9. Conclusie: Het is een kwestie van gezond verstand

Je bent druk met van alles: klanten helpen, producten inkopen en zorgen dat je boekhouding klopt.

Dan hoor je van die termen als 'profilering' en 'geautomatiseerde besluitvorming'. Het klinkt ingewikkeld, duur en misschien zelfs een beetje eng. Alsof het alleen is voor de giganten in Silicon Valley.

Maar hier is het geheime wapen: als je een website hebt met een contactformulier, een klantenbestand bijhoudt in Excel of een e-maillijst gebruikt, ben je er al mee bezig. En ja, dan gelden er regels voor jou.

Geen paniek, het is minder spannend dan het klinkt. Laten we het samen uitzoeken, zonder ingewikkeld jargon en met een flinke dosis helderheid.

Wat is het eigenlijk? De basis in gewone taal

Voordat we de diepte in duiken, moeten we weten waar we het over hebben. We hebben het hier over twee dingen die vaak hand in hand gaan.

Profilering is eigenlijk niet meer dan een digitale inschatting maken van iemand. Stel je voor dat je een klant hebt, Piet, die altijd hondenriemen koopt. Op basis van die aankopen denkt jouw systeem: "Piet heeft waarschijnlijk een hond." Dat is profilering.

Profilering: Het digitale etiket

Je groept mensen in op basis van hun gedrag, interesses of eigenschappen.

Dit doe je vaak onbewust. Als je een spreadsheet bijhoudt met wie welke producten koopt, en je gebruikt die informatie om ze een persoonlijke aanbieding te sturen, dan ben je aan het profileren. Het doel is meestal om beter aan te sluiten bij wat de klant wil. Het is niet direct iets kwaads, maar het kan wel gevoelig liggen omdat het gaat over persoonlijke gegevens.

Geautomatiseerde besluitvorming: De robot aan het roer

Dit klinkt futuristischer dan het is. Geautomatiseerde besluitvorming betekent simpelweg dat een computer, zonder dat er een mens direct naar kijkt, een beslissing neemt.

Denk aan een systeem dat automatisch een herinneringsmail stuurt als een factuur niet op tijd is betaald. Of een tool die op basis van postcode bepaalt of je wel of geen bestellingen naar een bepaald gebied stuurt. Als je software gebruikt die dit soort keuzes voor je maakt, dan is dat geautomatiseerde besluitvorming. Het gaat erom dat de beslissing niet door een persoon wordt gemaakt op dat moment, maar door een algoritme.

Waarom zijn er regels voor? Het belang van vertrouwen

De wereld draait op data. Bedrijven verzamelen informatie om beter te worden.

Maar als bedrijven te ver gaan, schiet het tekort in privacy. De regels zijn er niet om jou het leven zuur te maken, maar om de mensen die bij jou kopen te beschermen.

Denk aan het voorkomen van discriminatie. Stel je voor dat een systeem automatisch besluit om iemand geen lening te geven op basis van zijn woonplaats of surfgedrag, terwijl dat onterecht is. Dat wil je niet als bedrijf, en dat wil de klant niet. De belangrijkste wet hierachter is de Algemene Verordening Gegevensbescherming (AVG). Ja, die wet. Iedereen kent hem, maar weinig kleine ondernemers weten precies wat het voor hen betekent in de praktijk van alledag.

De AVG en jouw kleine bedrijf

De AVG is de Europese wet die privacy regelt. Als je persoonsgegevens verwerkt – en dat doe je bijna altijd als je klanten hebt – dan val je onder deze wet.

Het maakt niet uit of je eenmanszaak bent of een groot concern. De regels zijn hetzelfde, alleen de hoeveelheid werk verschilt. Voor kleine bedrijven is het vooral belangrijk om transparant te zijn.

Wat zijn persoonsgegevens?

Denk niet alleen aan namen en adressen. Een IP-adres, een e-mailadres of zelfs een cookie-ID valt eronder.

Als je met tools werkt zoals Google Analytics of een e-mailmarketingtool zoals Mailchimp, verwerk je deze gegevens. Vergeet ook niet om het gebruik van AI-tools in je verwerkingsregister te documenteren.

Als je deze data gebruikt om profielen te maken (bijvoorbeeld: "deze bezoeker houdt van tuinieren"), dan valt dit onder profilering. Je moet kunnen uitleggen wat je doet en waarom.

De regels rondom profilering

Profilering mag, maar het mag niet zomaar. De kernregel is dat je een eerlijke reden moet hebben en dat je dit duidelijk moet vertellen aan je klanten. Je kunt niet stiekem een dossier opbouwen zonder dat iemand het weet.

Je moet je klanten informeren over wat je doet. Dit doe je via je privacyverklaring op je website.

De plicht om te informeren

Schrijf dit in helder Nederlands, niet in juridisch jargon. Leg uit: "Wij gebruiken uw aankoopgeschiedenis om u persoonlijke aanbiedingen te sturen." Als je dit doet, moet je ook een manier bieden om hiertegen bezwaar te maken.

Een klant moet kunnen zeggen: "Nee, ik wil niet dat je mijn gedrag analyseert voor marketingdoeleinden." Er is een speciale categorie gegevens: bijzondere persoonsgegevens. Dit zijn gegevens over ras, religie, gezondheid of politieke voorkeur.

Wanneer is profilering riskant?

Het is verboden om profielen te maken op basis van deze gegevens, tenzij je daar expliciete toestemming voor hebt of een hele specifieke wettelijke reden hebt.

Voor de meeste kleine bedrijven is dit niet aan de orde, tenzij je bijvoorbeeld een medische webshop runt. Check ook de regels voor je website en wees hier voorzichtig mee.

De regels rondom geautomatiseerde besluitvorming

Dit is een onderdeel waar veel kleine bedrijven overheen kijken. De AVG bepaalt dat je niet zomaar belangrijke beslissingen mag overlaten aan een computer als dit gevolgen heeft voor mensen, zeker nu de AI Act voor kleine bedrijven nieuwe kaders stelt.

Wat is een 'belangrijk' besluit?

Een belangrijk besluit is iets dat grote impact heeft op iemands leven of portemonnee.

De menselijke maat behouden

Denk aan het weigeren van een bestelling, het opzeggen van een abonnement of het bepalen van een prijs op basis van profielinformatie. Als je software hebt die automatisch beslist om een klant te blokkeren omdat hij te vaak een product retourneert, is dat een geautomatiseerd besluit. De hoofdregel is: als een computer een beslissing neemt die impact heeft, moet er altijd een mens naar kunnen kijken.

Je kunt niet zeggen: "De computer heeft besloten, dus ik kan niets doen." Je moet in staat zijn om de beslissing handmatig te heroverwegen. Dit betekent niet dat je elke dag achter je computer moet zitten om elke automatische handeling te controleren. Het betekent wel dat er een procedure is waarbij een klant kan vragen om een menselijke blik op hun zaak.

Hoe pas je dit toe zonder technische kopzorgen?

Je hoeft geen IT-expert te zijn om dit goed te regelen. Het gaat om bewustwording en simpele stappen.

Gebruik je software van grote partijen? Denk aan Shopify voor je webshop, of een boekhoudprogramma zoals Exact. Deze bedrijven hebben vaak al veel veiligheidsmaatregelen ingebouwd.

Kies de juiste tools

Zij zijn verantwoordelijk voor de technische beveiliging, jij bent verantwoordelijk voor hoe je de data gebruikt.

Lees de voorwaarden van deze tools. Zij bieden vaak opties om profilering in te schakelen of uit te zetten. Wees selectief. Maak het jezelf niet moeilijker dan nodig is.

Transparantie is je beste vriend

Wees eerlijk tegen je klanten. Zeg wat je doet.

Als je een e-maillijst hebt en je stuurt automatisch gepersonaliseerde nieuwsbrieven, vermeld dit dan.

Geef mensen de keuze om zich af te melden (een 'opt-out'). Dit bouwt vertrouwen op en beschermt je tegen klachten.

Praktische stappen voor kleine ondernemers

Laten we het concreet maken. Wat moet je nu doen?

  1. Check je data: Welke gegevens heb je van klanten? Ligt er een spreadsheet met e-mailadressen en aankopen? Wees je hier bewust van.
  2. Update je privacyverklaring: Zorg dat deze up-to-date is en uitlegt wat je doet met profilering en automatische beslissingen. Gebruik heldere taal.
  3. Test je systemen: Als je een webshop hebt, test dan of de automatische processen (zoals het blokkeren van accounts) correct werken en of er ruimte is voor menselijke tussenkomst.
  4. Reageer op verzoeken: Als een klant vraagt om zijn gegevens in te zien of om een menselijke beoordeling, moet je hier snel en netjes op reageren.

Veelvoorkomende valkuilen vermijden

Er zijn een paar fouten die kleine bedrijven vaak maken. Ten eerste denken ze dat de regels niet voor hen gelden omdat ze 'te klein' zijn.

Dat is niet waar. Ten tweede vertrouwen ze te veel op hun software zonder na te denken over de implicaties. Als je een tool gebruikt voor e-mailmarketing, kijk dan of je de profielen kunt uitschakelen als je die niet nodig hebt.

Een andere valkuil is het kopen van adressenlijsten. Dit is vaak in strijd met de AVG, vooral als je deze gebruikt voor profilering zonder toestemming.

Blijf bij je eigen verzamelde data en zorg dat je toestemming hebt.

Conclusie: Het is een kwestie van gezond verstand

Regels rondom profilering en geautomatiseerde besluitvorming zijn er om het speelveld eerlijk te houden en privacy te beschermen.

Voor kleine bedrijven betekent dit vooral: wees transparant, wees voorzichtig met data en houd altijd een menselijke controleknop achter de hand. Je hoeft geen juridisch expert te worden, maar een beetje basiskennis helpt je om met vertrouwen je bedrijf te runnen. Gebruik gezond verstand, kies betrouwbare tools en communiceer open met je klanten. Dan zit je altijd goed.

Lees ook
Wat doet de Autoriteit Persoonsgegevens precies en hoe werkt het toezicht in 2026? Hoe start de AP een onderzoek naar een bedrijf en wanneer ben jij aan de beurt? Wat zijn de hoogste AVG-boetes die de AP heeft opgelegd aan Nederlandse bedrijven? Welke sectoren krijgen de meeste boetes van de AP en waarom? Wat zijn de meest voorkomende overtredingen waarvoor de AP kleine bedrijven aanpakt? Hoe groot is de kans dat de AP jou als ZZP'er of klein bedrijf controleert?
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Handhaving en boetes AP

Bekijk alle 28 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat doet de Autoriteit Persoonsgegevens precies en hoe werkt het toezicht in 2026?
Lees verder →