Robo-advies, i.e. beleggingsadvies of vermogensbeheer waarbij persoonsgegevens op geautomatiseerde wijze worden verwerkt, zal onder het verbod bepaald in artikel 22 van de algemene verordening gegevensbescherming vallen. Dit op voorwaarde dat de verwerking van de persoonsgegevens op uitsluitend geautomatiseerd wijze plaatsvindt, dus zonder dat een persoon in het (beslissings)proces tussenkomt. Robo-advies houdt immers steeds een besluit in dat gebaseerd is op geautomatiseerde verwerking, waaraan voor cliënt rechtsgevolgen zijn verbonden of hem anderszins in aanmerkelijke mate treft.

Echter, artikel 22 van de algemene verordening gegevensbescherming omvat ook drie uitzonderingen: ofwel is het geautomatiseerd besluit noodzakelijk voor de uitvoering of de totstandkoming van een overeenkomst, ofwel is het geautomatiseerd besluit toegestaan bij een wettelijke bepaling, ofwel berust het geautomatiseerd besluit op de uitdrukkelijke toestemming van de cliënt. Indien de gereglementeerde onderneming gebruik kan maken van een van deze uitzonderingen, zal het verbod niet meer van toepassing zijn.

RESUME

Les conseils robotisés, c'est-à-dire les conseils d'investissement ou la gestion d'actifs dans lesquels les données personnelles sont converties d'une façon automatisée, relèveront de l'interdiction énoncée à l'article 22 du règlement général sur la protection des données. Ceci à condition que le traitement des données personnelles se fasse exclusivement de manière automatisée, donc sans qu'aucune personne n'intervienne dans le processus (décisionnel). Les conseils robotisés impliquent toujours une décision fondée sur un traitement automatisé, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire.

Cependant, l'article 22 du règlement général sur la protection des données contient également trois exceptions: soit la décision automatisée est nécessaire à la conclusion ou à l'exécution d'un contrat, soit la décision est autorisée par le droit, soit la décision est fondée sur le consentement explicite de la personne concernée. Si l'entreprise réglementée peut faire usage de l'une de ces exceptions, l'interdiction ne s'appliquera plus.

Inleiding

1.De opkomst van het gebruik van algoritmes binnen de financiële sector heeft een nieuw fenomeen met zich meegebracht: het robo-advies. Hierbij gebruiken gereglementeerde ondernemingen [2] geautomatiseerde tools die middels algoritmes bepaalde cliëntendata verwerken en analyseren, zodoende een advies, aanbeveling of beslissing te genereren. Dergelijk digitaal advies kan aangewend worden met betrekking tot verschillende soorten financiële dienstverleningen, zoals onder meer bij het verstrekken van kredieten, bij het aanbieden van verzekeringen of bij het verkopen van beleggingsproducten. In deze bijdrage wordt er evenwel onder robo-advies het verstrekken van beleggingsdiensten middels (semi)geautomatiseerde systemen, verstaan.

Aangezien robo-advies een geautomatiseerde verwerking van persoonsgegevens inhoudt, heeft de nieuwe privacywetgeving een niet te onderschatten impact hierop. Artikel 22 van de algemene verordening gegevensbescherming (hierna genoemd “AVG”) [3] in het bijzonder bepaalt dat de betrokkene het recht heeft niet onderworpen te worden aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft.

2.Deze bijdrage brengt de invloed van de privacywetgeving op het gebruik van robo-advies door gereglementeerde ondernemingen in kaart, aan de hand van de volgende vraag: is het voor gereglementeerde ondernemingen mogelijk om robo-advies binnen de beleggingssector te gebruiken, rekening houdend met artikel 22 van de algemene verordening gegevensbescherming? Meer concreet wordt er in deze bijdrage aangetoond dat hoewel robo-advies onder het verbod van artikel 22 AVG valt, dit niet in de weg staat dat robo-advies alsnog kan aangewend worden binnen de beleggingssector.

Om tot deze vaststelling te komen, wordt in het eerste deel het algemene kader van deze bijdrage besproken, waarbij het concept robo-advies wordt afgebakend en het belang van de verwerking van persoonsgegevens bij het aanbieden van de beleggingsdiensten verder wordt toegelicht. In het tweede deel wordt het toepassingsgebied van artikel 22 AVG ontleed. Hierbij wordt er vooreerst stilgestaan bij de vraag wat het “recht om niet onderworpen te worden” precies inhoudt. Daarna wordt ingegaan op de begrippen “geautomatiseerde verwerking” en “profilering”. Vervolgens wordt nagegaan wanneer er voor de betrokkene “rechtsgevolgen” aan een besluit zijn verbonden of wanneer een besluit “anderszins de betrokkene in aanzienlijke mate treft” en wanneer er sprake is van “uitsluitend” geautomatiseerde besluitvorming. In het derde, en tevens laatste deel, worden de drie uitzonderingsgronden onder artikel 22 AVG behandeld. Ten eerste zal de verwerkingsverantwoordelijke geautomatiseerde verwerking mogen toepassen indien dit noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst. Ten tweede zal deze verwerking mogen plaatsvinden indien dit is toegestaan bij een wettelijke bepaling die op de verwerkingsverantwoordelijke van toepassing is. Ten derde zal het verbod geen toepassing kunnen vinden indien de betrokkene zijn uitdrukkelijke toestemming heeft gegeven. In deze bijdrage zal worden vastgesteld dat twee (van de drie) uitzonderingsgronden de gereglementeerde onderneming toch wel wat ruimte bieden om zich daar op te beroepen. Dit kan er met andere woorden toe leiden dat het verbod van artikel 22 AVG niet van toepassing zal zijn op de onderneming die robo-advies hanteert.

Robo-advies [4]

2.1.

Begripsomschrijving

3.Aangezien er nog geen sluitende (wettelijke) [5] definitie bestaat omtrent wat er onder robo-advies dient te worden verstaan, is het momenteel nog wat tasten in het donker. Echter, om in staat te zijn de concrete invloed van de privacywetgeving op robo-advies op een duidelijke manier weer te geven, is het noodzakelijk om allereerst te bespreken wat robo-advies in het licht van deze bijdrage nu precies betekent.

Om een conceptueel kader te kunnen schetsen rond het begrip “robo-advies”, zal allereerst de aandacht worden gevestigd op drie verschillen die binnen deze begripstelling kunnen gemaakt worden.

4.Ofschoon de term “robo-advies” of “robo-advice” door velen in de mond wordt genomen in de context van de automatisering van diensten binnen de beleggingssector, situeert het aanwenden van robo-advies zich in de ruimere context van de financiële dienstverlening [6]. Ruim gezien kan robo-advies geformuleerd worden als een gepersonaliseerd financieel [7] advies dat, of een gepersonaliseerd financiële dienst die, wordt verleend aan cliënten via geautomatiseerde of semi-geautomatiseerde processen, met weinig tot geen menselijk toezicht of tussenkomst. Aan de basis van deze processen liggen algoritmes - een opeenvolging van wiskundige bewerkingen - die aan de hand van externe factoren (cijfers, beelden, woorden, gegevens, …) [8] voor een voor de cliënt op maat gemaakte dienst zorgen. Robo-advies houdt met andere woorden de verschillende wijzen in waarop de gereglementeerde onderneming [9] gebruik gaat maken van geautomatiseerde processen zodoende een financieel advies of dienst (bv. een aanbeveling om financiële producten te kopen of verkopen) te genereren, zonder (of doch met zeer beperkte) menselijke tussenkomst [10]. Zo zetten verzekeringsinstellingen bijvoorbeeld telematica (i.e. telecommunicatie en informatica) in om het rijgedrag te bepalen en te controleren van de chauffeur in kwestie. Hierbij wordt een apparaat in het voertuig geïnstalleerd dat bepaalde gegevens aangaande de chauffeur verzamelt en doorstuurt naar de verzekeraar waarna de premie hierop wordt afgestemd [11]. Bovendien gebruiken meer en meer kredietinstellingen geautomatiseerde systemen om de kredietwaardigheid van consumenten te beoordelen op basis van de door hen verkregen informatie [12].

Veelal worden de termen “robo-advies”, “robo-advice” of “robo-advisor” echter in de mond genomen wanneer het gaat om het verstrekken van geautomatiseerde beleggingsdiensten [13]. Meer bepaald zullen de gereglementeerde ondernemingen [14] desbetreffende tools aanwenden zodoende de data van hun (potentiële) beleggers op een efficiënte en snelle manier te behandelen waarna zij financiële transacties aanbevelen of uitvoeren die passen bij het profiel van de cliënt [15]. Zoals bovenstaande definiëring doet blijken, mag men zich niet laten misleiden door de term “advies”. Robo-advies dient te worden begrepen in de brede, alledaagse zin van het woord en mag niet beperkt worden tot zijn loutere juridische betekenis [16]. Beleggingsadvies wordt immers door de wet van 25 oktober 2016 [17] omschreven als het doen van gepersonaliseerde aanbevelingen aan een cliënt met betrekking tot één of meer verrichtingen in financiële instrumenten. Maar robo-advies kan tevens een grote rol spelen in het aanbieden van vermogensbeheer. Vermogensbeheer is het op discretionaire basis beheren van portefeuilles die financiële instrumenten bevatten, op grond van een door de cliënten gegeven opdracht [18]. Men dient met andere woorden een onderscheid te maken naar gelang de soort beslissing die uit de bus komt na de verwerking van de cliëntendata door het algoritme. Indien de tool enkel een gepersonaliseerde aanbeveling geeft met betrekking tot transacties in financiële instrumenten, waarna de cliënt zelf kan beslissen om al dan niet de opdracht te geven tot het uitvoeren van de bedoelde transactie, spreekt men over beleggingsadvies. Wanneer de gereglementeerde onderneming daarentegen onmiddellijk na de verwerking van de gegevens overgaat tot het stellen van daden van beschikking en financiële transacties uitvoert op basis van de uitkomst van het robo-systeem, zal er sprake zijn van vermogensbeheer [19]^, [20]. Bij beide verrichtingen, en niet enkel bij beleggingsadvies, kan evenwel gebruik worden gemaakt van de term robo-advies.

5.Er kan tevens een verschil gemaakt worden tussen robo-advies dat gebruikt wordt in de zogenaamde cliëntgerichte, front-officeprocessen en robo-advies dat gebruikt wordt binnen de andere fases van het beleggingsproces. Alvorens te kunnen beleggen in financiële instrumenten en tot het beleggingsproces te kunnen toetreden, zal de cliënt bijvoorbeeld bepaalde gegevens moeten verschaffen zodoende dat de robot kan bepalen welk risicoprofiel er bij deze cliënt past (zie infra, randnrs. 11-15). Hierbij is er dus sprake van een front-officeproces waarbij er dus contact plaatsvindt met de (potentiële) cliënt. Vervolgens zal de robo-adviseur volledig geautomatiseerd aan de slag gaan en beleggingsbeslissingen nemen die volgens de beleggingsstrategie het best passen bij de cliënt. In deze fase worden algoritmes aangewend om financiële instrumenten te zoeken die het best bij het profiel passen, waarna de robot ofwel aan geautomatiseerd vermogensbeheer zal doen en zelf aldus de beleggingsportefeuille gaat beheren (“robo-asset management”) en transacties gaat verrichten in financiële instrumenten (“robo-trading”), ofwel louter beleggingsadvies zal verschaffen waarna de cliënt de uiteindelijke beleggingsbeslissing zal nemen [21].

6.Tot slot kan er een onderscheid gemaakt worden tussen een volledig geautomatiseerd proces en een semigeautomatiseerd proces. Wanneer het gaat over een volledig geautomatiseerd proces [22], zal er geen enkel menselijk contact plaatsvinden tussen de cliënt en de instelling die werkt met robo-advies en zal robo-advies ervoor zorgen dat een volledig mens-tot-mens-proces getransformeerd wordt naar een mens-tot-computer-gegeven. De enige rol die voor de mens (i.e. een werknemer binnen de gereglementeerde onderneming) dan is weggelegd, is het ontwikkelen en updaten van de tool en het eventueel oplossen van storingen in de IT-systemen [23]. In dit geval zal de cliënt via een tool zijn gegevens inbrengen met het oog op de geautomatiseerde verwerking ervan. Wanneer er daarentegen sprake is van een semigeautomatiseerd proces zal er wel plaats zijn voor menselijke tussenkomst [24]. In dat geval zal de cliënt bijvoorbeeld niet thuis op zijn computer om de financiële dienstverlening vragen, maar zal hij zich naar de gereglementeerde onderneming zelf begeven waarna een werknemer van deze onderneming de nodige gegevens kan verzamelen en ze in geautomatiseerde tool kan onderbrengen, op grond waarvan de cliënt een beslissing zal nemen [25].

7.Deze bijdrage behandelt de invloed van de privacywetgeving op het gebruik van robo-advies, met focus op het gebruik van (semi)geautomatiseerde processen die persoonsgegevens van cliënten verwerken via algoritmes [26]. Het aanwenden van deze tools om persoonlijke data te verwerken en zodoende een financieel advies of dienst te verlenen, zal in deze context als robo-advies aanzien worden. Er zal bovendien enkel gekeken worden naar de invloed van de AVG op het verwerken van deze gegevens tijdens de front-officeprocessen, waardoor robo-trading of robo-asset-managementprocessen niet geanalyseerd zullen worden.

2.2.

Het belang van persoonsgegevens bij het aanbieden van beleggingsdiensten: het know your customer-beginsel

8.Alvorens te kunnen overgaan tot de toelichting van de invloed van de privacywetgeving op het gebruik van robo-adviseurs binnen de beleggingswereld, is het noodzakelijk een beeld te schetsen van het belang van persoonsgegevens van de cliënt bij het aanbieden van beleggingsdiensten. Meer bepaald zal er een toelichting worden gegeven over de informatie-inwinningsverplichtingen die de gereglementeerde ondernemingen moeten naleven.

De wet financieel toezicht [27], zoals gewijzigd door MiFID II [28], verplicht gereglementeerde ondernemingen [29] bij het verstrekken van bepaalde beleggingsdiensten een suitability- of een appropriateness-test uit te voeren door bepaalde informatie in te winnen bij hun cliënten [30]. Het doel van deze oefening is om te evalueren of de cliënt beleggingsproducten en -diensten verkrijgt die aansluiten bij zijn beleggersprofiel [31].

2.2.1. De begrippen beleggingsadvies en vermogensbeheer

9.Om te bepalen of een gereglementeerde onderneming al dan niet een geschiktheids- of passendheidstest moet uitvoeren, is de kwalificatie van de te verrichten beleggingsdienst van belang. De vraag of en welke informatie er bij de (potentiële) belegger dient te worden ingewonnen, hangt immers af van de soort beleggingsdienst die wordt aangeboden [32]. In deze context zijn twee soorten beleggingsdiensten van belang: het aanbieden van beleggingsadvies en het verrichten van vermogensbeheer [33]. Er zal dan ook bij elk van deze begrippen kort worden stilgestaan.

10.Zoals hierboven reeds toegelicht (zie supra, randnr. 4), wordt beleggingsadvies gedefinieerd als het doen van gepersonaliseerde aanbevelingen aan een cliënt, hetzij op diens verzoek, hetzij op initiatief van de beleggingsonderneming, met betrekking tot één of meer verrichtingen die betrekking hebben op financiële instrumenten [34]. Een beleggingsdienst kan dus pas gezien worden als beleggingsadvies wanneer de gereglementeerde onderneming een gepersonaliseerde aanbeveling doet. Dit is een aanbeveling die wordt voorgesteld als een aanbeveling die geschikt is voor de betrokken persoon, of berust op een afweging van diens persoonlijke omstandigheden [35]^, [36]. Het gaat met andere woorden over aanbevelingen die op maat van de betrokken cliënt zijn gegeven. Algemeen verspreid advies dat bijvoorbeeld via de media, kranten of de website van de onderneming wordt bekend gemaakt, voldoet niet aan de definitie [37].

Vermogensbeheer daarentegen betreft het per cliënt op discretionaire basis beheren van portefeuilles op grond van een door de cliënten gegeven opdracht, voor zover die portefeuilles één of meer financiële instrumenten bevatten [38]. Opdat het effectief over vermogensbeheer kan gaan, dient het beheren van de portefeuille aldus op discretionaire basis te gaan. De gereglementeerde onderneming heeft in dit geval de vrijheid [39] om daden van beschikking te stellen zonder dat ze daartoe telkens de toestemming dient te verkrijgen van de belegger. Hier ligt met andere woorden het initiatief tot nemen van transacties bij de gereglementeerde onderneming. Men mag evenwel niet uit het oog verliezen dat er steeds ruimte zal zijn voor de instructies van de cliënt [40].

2.2.2. Geschiktheids- en passendheidsbeoordeling

11.Volgens artikel 27ter, § 2 van de wet financieel toezicht dienen gereglementeerde ondernemingen bij het verstrekken van beleggingsadvies of het verrichten van vermogensbeheer de nodige informatie in te winnen bij de cliënt aangaande drie elementen: namelijk (i) zijn kennis en ervaring op beleggingsgebied met betrekking tot het specifieke soort product of dienst; (ii) zijn financiële situatie, met inbegrip van zijn vermogen om verliezen te dragen en (iii) zijn beleggingsdoelstellingen, met inbegrip van zijn risicotolerantie. Artikel 54, 2. van de gedelegeerde verordening nr. 2017/565 van de Commissie [41] stelt dat de gereglementeerde onderneming die beleggingsadvies of vermogensbeheer aanbiedt een geschiktheidsbeoordeling (een suitability-test) dient uit te voeren, zodoende inzicht te verkrijgen over de cliënt en er redelijkerwijs vanuit te kunnen gaan dat de specifieke transactie die zal worden aanbevolen of zal worden aangegaan:

voldoet aan de beleggingsdoelstellingen van de betrokken cliënt, inclusief de risicotolerantie van de cliënt;
van die aard is dat de cliënt alle daarmee samenhangende beleggingsrisico's financieel kan dragen;
van die aard is dat de cliënt de nodige ervaring en kennis heeft om te begrijpen welke risico's aan de transactie of aan het beheer van zijn portefeuille verbonden zijn.

Gereglementeerde ondernemingen moeten met andere woorden kunnen inschatten of de betrokken cliënt voldoende in staat is om de risico's die met een voorziene financiële transactie gepaard gaan, te begrijpen en tevens financieel wil en kan dragen. Op deze manier is het voor de gereglementeerde onderneming mogelijk een geschikt beleggingsproduct aan te bevelen of geschikt vermogensbeheer te verstrekken dat aansluit bij de persoonlijke situatie en kenmerken van de betrokken cliënt [42]. Ondernemingen zijn dan ook verplicht zich te onthouden een aanbeveling te doen of een beleggingsbeslissing te nemen met betrekking tot voor de betrokken cliënt ongeschikte beleggingsdiensten of financiële instrumenten [43]^, [44]. Wanneer zij met andere woorden een ongeschikt product zouden aanbieden aan de belegger, zal dit automatisch leiden tot een schending van de suitability-regels [45]. De gereglementeerde onderneming die overigens over geen of onvoldoende informatie beschikt, dient zich tevens te onthouden van het desbetreffende advies of beheer te verrichten [46]. Wanneer zij bijgevolg niet de vereiste informatie opvraagt of wanneer de cliënt weigert om op bepaalde vragen te antwoorden en aldus nalaat diens informatie te verstrekken aan de gereglementeerde onderneming [47], kan de onderneming in geen geval beleggingsadvies of vermogensbeheer verstrekken. In deze situatie zal het immers niet mogelijk zijn voor de onderneming om een duidelijk oordeel te vellen omtrent het al dan niet geschikt karakter van de dienst of het product [48].

12.De zaken liggen anders wanneer de gereglementeerde onderneming andere beleggingsdiensten dan beleggingsadvies of vermogensbeheer zou verrichten [49]. In dit geval dient de onderneming enkel informatie in te winnen over de ervaring en kennis van de cliënt op beleggingsgebied met betrekking tot het specifieke soort aangeboden of verlangde product om zodoende te kunnen beoordelen of dit product passend is voor de cliënt. Deze beoordeling, ook wel de passendheidsbeoordeling of appropriateness-test genoemd, is beperkter dan de geschiktheidsbeoordeling gezien het feit dat de onderneming niet de financiële situatie en beleggingsdoelstellingen van de cliënt moet nagaan [50]. Daarenboven dient de gereglementeerde onderneming louter een waarschuwing te verstrekken over het niet-passend karakter of over het feit dat zij niet in staat is om het passend karakter te kunnen vaststellen, wanneer zij op basis van de verkregen informatie oordeelt dat het product of de dienst - het voorwerp van een voorgenomen handeling - niet passend is voor de cliënt of wanneer de cliënt geen of onvoldoende informatie omtrent zijn kennis en ervaring heeft verstrekt [51]^, [52].

2.2.3. De vergaring en verwerking van cliëntengegevens

13.De vraag die rijst is in hoeverre gereglementeerde ondernemingen de informatie die ze dienen in te winnen om de geschiktheids- en passendheidsbeoordeling uit te voeren, bij de cliënt zelf moeten opvragen. Anders verwoord, zal er moeten worden nagegaan of de ondernemingen een actieve ondervragingsverplichting dienen na te leven en zich aldus bij de belegger dienen te gaan informeren of niet aan dergelijke verplichting onderhevig zijn en gebruik kunnen maken van andere (interne of externe) bronnen. Artikel 27ter, § 2 en § 3 wet financieel toezicht stelt dat de gereglementeerde onderneming de nodige informatie dient in te winnen “bij de (potentiële) cliënt”. Dit betekent dat de onderneming aan een actieve ondervragingsverplichting is onderworpen [53]. Het valt dus moeilijk te verdedigen dat de gereglementeerde onderneming enkel gebruik kan maken van informatie die niet door de cliënt is aangebracht [54]. Bijgevolg zal het niet mogelijk zijn om (semi)geautomatiseerde processen aan te wenden waarbij er big data (i.e. gegevens die de cliënt niet zelf heeft aangebracht maar die de onderneming of het algoritme heeft verzameld) in ogenschouw wordt genomen zodoende te voldoen aan de informatie-inwinningsverplichting. Indien de onderneming reeds over een (doorlopende) relatie met de cliënt beschikt, kan het evenwel zijn dat de cliënt in het verleden tijdens het gebruik van andere dan beleggingsdiensten aangeboden diensten [55] reeds relevante informatie aan de onderneming heeft doorgespeeld [56]. De wetgeving stelt niet dat de informatie moet ingewonnen worden tijdens het aanbieden van beleggingsdiensten, waardoor het eventueel ook mogelijk zou zijn om op andere momenten dergelijke informatie bij de cliënt te vergaren [57]. In welke mate die informatie zal volstaan om op een afdoende wijze de geschiktheids- of passendheidstoets uit te voeren, is weliswaar een ander gegeven. Gereglementeerde ondernemingen moeten bij het vergaren van de nodige informatie kortom beroep doen op hun cliënten als bron voor informatie. Hoewel de wet dit niet expliciet voorschrijft [58], hebben de gereglementeerde ondernemingen het gebruik gecreëerd om te werken met uitgebreide (gestandaardiseerde [59]) vragenlijsten die de cliënten dienen in te vullen of die de onderneming zelf invult met de informatie die ze van de cliënt verkrijgt tijdens een gesprek [60].

De wet bepaalt dat een gereglementeerde onderneming zich mag verlaten op de informatie die haar cliënten verstrekken waardoor zij niet telkens deze informatie grondig moet cross-checken of verifiëren [61]. Van de cliënten wordt aldus verwacht dat zij juiste, actuele en volledige informatie verstrekken [62]. MiFID II heeft wel enkele grenzen gesteld aan dit blind vertrouwen. De regulering bepaalt immers dat de onderneming de informatie van de cliënt niet mag vertrouwen wanneer zij weet dat deze duidelijk gedateerd, onnauwkeurig of onvolledig is [63]. Dit zal bijvoorbeeld het geval zijn wanneer de cliënt gedateerde financiële uittreksels voorlegt [64]. Hierdoor ontstaat er een bijkomende verificatieverplichting [65] voor de onderneming en zal zij zodoende alle redelijke maatregelen dienen te ondernemen om de betrouwbaarheid van de verkregen cliënteninformatie na te gaan [66]. Zo dienen de gereglementeerde ondernemingen bijvoorbeeld na te gaan of de verstrekte informatie geen evidente onjuistheden bevat [67]. Aangezien de wet niet stelt hoe de onderneming deze onjuistheden moet controleren, is er m.i. voldoende ruimte voor de onderneming om dit zelf in te vullen. Buiten het feit dat de onderneming de in het kader van geschiktheids- of passendheidsbeoordeling verkregen informatie van de cliënt in zijn geheel moet bezien [68], kan er in het licht van deze bijdrage tevens gedacht worden aan het toetsen van de antwoorden op de gestelde vragen aan interne bronnen [69]^, [70]. Indien de cliënt bijvoorbeeld aan de onderneming informatie heeft gegeven omtrent zijn werksituatie maar dit niet heeft gestaafd middels bepaalde documenten, zoals een loonfiche of een contract, zou het een mogelijkheid kunnen zijn voor de onderneming om het antwoord van de cliënt te verifiëren aan de hand van de gegevens die de cliënt vroeger reeds heeft meegedeeld, bijvoorbeeld in het kader van het openen van een rekening met het oog op het uitvoeren van opeenvolgende verrichtingen bij diezelfde onderneming. Zo zullen er in het kader van de antiwitwaswetgeving [71] bijvoorbeeld vragen moeten gesteld worden over de beroeps- of de professionele activiteiten [72]. Daarenboven zegt de MiFID II-wetgeving tevens niets omtrent de al dan niet toelaatbaarheid van het gebruik van aanvullende externe bronnen [73] in het kader van deze verificatieverplichting, waardoor het m.i. eveneens mogelijk is om de verkregen cliënteninformatie te toetsen aan deze gegevensbronnen.

Kortom kan, en is het desgevallend geen verplichting, de onderneming gebruik maken van interne en externe gegevensbronnen om de geschiktheids- en passendheidsbeoordeling (gedeeltelijk) uit te voeren en om de informatie die zij aangereikt krijgt van haar cliënten in het kader van de beleggingsdienst, te verifiëren.

14.Nadat de onderneming alle noodzakelijke informatie heeft ingewonnen bij de cliënt, zal er een evaluatie van deze informatie plaats moeten vinden [74]. Dergelijk evaluatiemoment zal onontbeerlijk zijn om aan de desbetreffende cliënt een geschikt of gepast beleggingsproduct of -transactie aan te bieden [75]. Zodoende te kunnen beoordelen of een bepaalde belegging geschikt of gepast is voor de cliënt, zal de onderneming met verschillende categorieën van cliënten of beleggersprofielen werken. Deze profielen kunnen gaan van (zeer) defensieve of conservatieve profielen waarbij de cliënt weinig risico's wil en/of kan nemen, naar (zeer) dynamische of speculatieve profielen waarbij de cliënt streeft naar een zeer hoog rendement en de daarmee gepaard gaande hoge risico's kan dragen [76]^, [77].

Het is in deze fase dat de automatisering in actie komt. Robo-advies wordt in de context van deze bijdrage immers gezien als het verwerken van persoonsgegevens middels geautomatiseerde of semigeautomatiseerde systemen. Robo-advies kan (in zijn zeer strikte betekenis) beschouwd worden als een tool waarin de gegevens van de potentiële belegger worden ingevuld waarna het algoritme zijn beleggersprofiel op basis van de gegeven antwoorden genereert [78]. Via (semi)geautomatiseerde wijze kan er dan beoordeeld worden of en welk bepaald beleggingsproduct of -transactie geschikt of passend is voor de (potentiële) cliënt. Dergelijke innovatie biedt aldus de mogelijkheid om op een efficiënte, goedkope en laagdrempelige manier beleggingsdiensten aan de cliënt aan te bieden [79]. In deze context stelt zich dus de vraag in hoeverre de nieuwe algemene verordening gegevensbescherming dergelijke automatisering van gegevensverwerking toelaat.

2.3.

Robo-advies binnen de beleggingssector toegepast: samengevat

15.Robo-advies in het kader van het aanbieden van beleggingsdiensten kan in twee luiken worden onderverdeeld.

Luik 1 betreft de geautomatiseerde gegevensverwerking, waarbij de gereglementeerde onderneming:

de gegevens aangaande de cliënt gaat verzamelen;
deze gegevens op geautomatiseerde wijze gaat verwerken en verifiëren;
een beleggersprofiel gaat creëren. Dit profiel zal aldus het resultaat vormen van de geautomatiseerde gegevensverwerking.

Tijdens luik 2 gaat een algoritme of een medewerker beslissen in welke beleggingsproducten er kan belegd worden of welke er kunnen geadviseerd worden aan de cliënt. Hoewel er in deze fase geen persoonsgegevens meer worden verwerkt, zal luik 2 wel een belangrijke rol spelen om de invloed van artikel 22 AVG in kaart te brengen, aangezien de afwezigheid of aanwezigheid van deze volgende stappen en de invulling ervan bepalen of al dan niet toepassing kan gemaakt worden van dit artikel (zie onder andere infra, randnrs. 27-29).

Algemene verordening gegevensbescherming

3.1.

Algemeen

16.De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht, vastgelegd in artikel 8, 1. van het handvest van de grondrechten van de Europese Unie en artikel 16, 1. van het verdrag betreffende de werking van de Europese Unie [80]. Omwille van de snelle technologische ontwikkelingen ontstaan er steeds nieuwe uitdagingen voor de bescherming van deze persoonsgegevens [81]. In het licht van deze nieuwe problematiek, heeft de EU-wetgever voor een robuustere privacyregelgeving gezorgd waardoor de nieuwe algemene verordening gegevensbescherming [82] tot stand is gekomen. De verordening beoogt dan ook om de risico's die de nieuwe technologieën met zich meebrengen in te perken zodat er steeds een consistent en een hoog beschermingsniveau aan natuurlijke personen in verband met de verwerking van hun persoonsgegevens wordt geboden [83].

Aangezien robo-advies een verwerking van persoonsgegevens middels algoritmes inhoudt, zal de AVG hier zeker en vast een grote invloed op uitoefenen. Hoewel het gebruik van deze algoritmes het een stuk eenvoudiger heeft gemaakt om beleggersprofielen op te stellen en geautomatiseerde besluiten omtrent beleggingen te nemen, mag men niet uit het oog verliezen dat dit tevens gepaard kan gaan met een aantal risico's voor de bescherming van deze persoonsgegevens [84]. Geautomatiseerde processen zijn immers niet altijd transparant, waardoor het mogelijk is dat bepaalde personen ofwel niet weten dat ze worden geprofileerd, ofwel gewoonweg niet begrijpen waarover het gaat [85]. Het kan immers zijn dat het algoritme of de wijze waarop de geautomatiseerde verwerking tot stand komt, zodanig ingewikkeld is, dat zij niet (op eenvoudige wijze) kan verklaard worden aan de betrokkene cliënt of aan de toezichthouder, of dat de uitkomsten vaak op zo'n enorme hoeveelheid gegevens gebaseerd zijn dat zij bijna onbegrijpelijk zijn om te volgen [86]^, [87]. Daarnaast bestaat de kans dat het aangewend algoritme bepaalde (gevoelige) criteria indirect in ogenschouw neemt waar men normaal geen rekening mee mag houden, zoals bijvoorbeeld iemands ras, geslacht of gezondheid. Dit kan in sommige gevallen zelfs leiden tot discriminatie en financiële exclusie [88].

17.De AVG zorgt voor de bescherming voor natuurlijke personen in verband met de verwerking van hun persoonsgegevens [89]. De verordening heeft geen betrekking op de verwerking van gegevens over rechtspersonen, zoals de naam, de rechtsvorm en de contactgegevens van de rechtspersoon. Daarnaast zal de verordening niet van toepassing zijn op persoonsgegevens van overleden personen [90]. Persoonsgegevens worden door de regelgeving omgeschreven als alle informatie over een geïdentificeerde of een identificeerbare natuurlijke persoon (i.e. de betrokkene) [91]. Persoonsgegevens worden geacht verwerkt te zijn wanneer er “een bewerking of een geheel van bewerkingen heeft plaatsgevonden met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens” [92].

18.Met betrekking tot de verwerking van persoonsgegevens voert de AVG eerst en vooral een aantal algemene vereisten in. Zo dienen persoonsgegevens bijvoorbeeld op rechtmatige, behoorlijke en transparante wijze ten aanzien van de betrokkene en enkel voor welbepaalde, uitdrukkelijke en gerechtvaardigde doeleinden te worden verwerkt en moet de verzameling van persoonsgegevens beperkt worden tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt [93]. In deze bijdrage zal er op deze algemene bepalingen niet dieper worden ingegaan [94], daar er enkel zal gekeken worden naar de afzonderlijke vereisten vervat in artikel 22 AVG aangaande geautomatiseerde individuele verwerkingen (waaronder profilering).

3.2.

Artikel 22 van de algemene verordening gegevensbescherming

19.Artikel 22 AVG bepaalt dat de betrokkene het recht heeft om niet onderworpen te worden aan een besluit dat uitsluitend is gebaseerd op geautomatiseerde verwerking (waaronder profilering) waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft, tenzij een van de in het artikel bepaalde uitzonderingsgronden van toepassing is.

Artikel 22 AVG bouwt voort op artikel 15 van de vroegere richtlijn nr. 95/46/EG [95]^, [96]. Artikel 15 bood in dit kader al enige bescherming voor betrokkenen tegen een geautomatiseerde besluitvorming aangezien het bepaalde dat eenieder het recht heeft om niet onderworpen te worden aan een besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem in aanmerkelijke mate treft en dat louter wordt genomen op grond van een geautomatiseerde gegevensverwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid, zoals beroepsprestatie, kredietwaardigheid, betrouwbaarheid, gedrag, enz. te evalueren. Een persoon kan wel aan dergelijk besluit worden onderworpen indien (i) dit besluit wordt genomen in het kader van het sluiten of uitvoeren van een overeenkomst, mits aan het verzoek van de betrokkene is voldaan of passende maatregelen zijn genomen ter bescherming van zijn rechtvaardigde belang (zoals de mogelijkheid zijn standpunt te doen gelden), of (ii) dit besluit zijn grondslag vindt in een wet waarin de maatregelen zijn omschreven die strekken tot bescherming van het gerechtvaardigde belang van de betrokkene [97]. Deze bepaling is aldus grotendeels overgenomen door artikel 22 AVG, maar beide artikelen vertonen wel enkele verschillen [98].

Om te kunnen bepalen of artikel 22 AVG een impact heeft op robo-advies (zoals bedoeld in deze bijdrage), zullen de antwoorden op volgende vragen een allesbepalende rol spelen:

wat houdt dit recht om niet onderworpen te worden precies in? Dient de cliënt een actie te ondernemen zodoende dit recht te kunnen uitoefenen? (zie infra, 3.2.1. Het recht om niet onderworpen te worden: een algemeen verbod?);
wat betekenen de begrippen geautomatiseerde verwerking en profilering? (zie infra, 3.2.2. Besluiten die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, waaronder profilering);
wanneer zijn er rechtsgevolgen aan een besluit verbonden? Wanneer zal een besluit een persoon anderszins in aanmerkelijke mate treffen? (zie infra, 3.2.3. Besluiten die rechtsgevolgen teweeg brengen of die een betrokkene anderszins in aanmerkelijke mate treffen).

Daarnaast lijst lid 2. van artikel 22 AVG een aantal uitzonderingsgronden (zie infra, 3.2.4. Uitzonderingen) op. Zo zal een geautomatiseerde individuele besluitvorming, waaronder profilering, wel mogelijk zijn wanneer dergelijke besluitvorming (i) hetzij noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst tussen de betrokkene en een verwerkingsverantwoordelijke; (ii) hetzij is toegestaan bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de verwerkingsverantwoordelijke van toepassing is en die ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene; (iii) hetzij berust op de uitdrukkelijke toestemming van de betrokkene [99].

3.2.1. Het recht om niet onderworpen te worden: een algemeen verbod?

20.Ingevolge artikel 22 AVG beschikt de betrokkene over het recht om niet onderworpen te worden aan geautomatiseerde technieken wanneer de voorwaarden in dit artikel zijn vervuld. De vraag die rijst is of dit recht om niet onderworpen te worden een recht van verzet betekent of eerder een algemeen verbod op geautomatiseerde verwerking en profilering inhoudt. Het verschil tussen beiden is dat in het eerste geval er pas sprake zal zijn van een belemmering op dergelijke verwerking wanneer de betrokkene zich daartegen zou verzetten, terwijl in het tweede geval er gewoonweg een a priori onmogelijkheid bestaat op geautomatiseerde gegevensverwerking.

21.De formulering van het artikel en het gebruik van de bewoording “recht” doen vermoeden dat de betrokkene in het geval van een individuele geautomatiseerde beslissing enkel over een recht op verzet of bezwaar beschikt. Indien dit het geval zou zijn, zal de bescherming geboden door het artikel afhangen van wat de betrokkene beslist: actie nemen en verzet uitoefenen of nalaten om dergelijke stappen te ondernemen. Dit betekent dat de verwerkingsverantwoordelijken zonder problemen geautomatiseerde beslissingen kunnen nemen, zolang de betrokkene geen bezwaar tegen deze beslissingen zou maken.

Echter, in tegenstelling tot wat het woord “recht” zou (kunnen) impliceren en tot wat hierboven beweerd wordt, houdt deze bepaling m.i. inziens helemaal niet in dat er in hoofde van de betrokkene een actief optreden vereist is. Het artikel voorziet met andere woorden in een algemeen verbod dat van toepassing zal zijn ongeacht of er al dan niet een actie heeft plaatsgevonden [100]. Deze zienswijze kan gestaafd worden door verschillende (tekstuele) argumenten. Vooreerst verduidelijkt overweging 71 van de verordening dat dergelijke besluitvorming wel mogelijk dient te zijn indien de uitzonderingsgevallen van toepassing zijn, wat impliceert dat de verwerking zoals bedoeld in artikel 22, 1. AVG in beginsel niet is toegestaan [101]. Mocht de wetgever een recht van bezwaar voor ogen gehad hebben, zou de overweging anders geformuleerd moeten zijn (bv.: “tegen dergelijke besluitvorming kan geen bezwaar aangetekend worden indien de uitzonderingsgevallen van toepassing zijn”). Daarnaast zou het intern tegenstrijdig zijn indien de betrokkene zelf stappen moet ondernemen om bezwaar te maken tegen de geautomatiseerde gegevensverwerking, aangezien de uitdrukkelijke toestemming van de betrokkene in het tweede lid van het artikel als rechtsvaardigheidsgrond kan ingeroepen worden om deze verwerking alsnog toe te laten. Mocht het de bedoeling van de wetgever zijn om een specifieke actie in hoofde van de betrokkene te verwachten, zou dit er op neer komen dat wanneer de betrokkene zijn uitdrukkelijke toestemming geeft, hij aangeeft dat dergelijke verwerking wél zou mogen, waardoor de algemene regel waarbij hij het recht heeft om zich te verzetten geen inhoud meer zou hebben. Of omgekeerd gezien zou de uitzondering in artikel 22, 2., c) AVG in dit geval geen enkele toegevoegde waarde hebben. Immers, als de betrokkene zijn toestemming zou geven, zou dit vanzelfsprekend inhouden dat deze niet van zijn recht om bezwaar te maken gebruik zou maken, dus waarom is dergelijke uitzonderingsgrond dan voorzien? Verder maakt artikel 22 AVG deel uit van de afdeling “Recht van bezwaar en geautomatiseerde individuele besluitvorming”. Deze afdeling omvat naast artikel 22 AVG nog één ander artikel, met name artikel 21 AVG dat een recht van bezwaar inhoudt [102]. Indien artikel 22 AVG ook een recht van bezwaar inhoudt, zou er in de titel geen onderscheid gemaakt worden tussen beiden en zou de wetgever geen verschillende bewoordingen in beide bepalingen hebben ingevoerd. Bovendien voert artikel 21 AVG meer gedetailleerdere bepalingen in, zoals bijvoorbeeld het feit dat dit bezwaar te allen tijde kan uitgeoefend worden en dat er in hoofde van de verwerkingsverantwoordelijke een informatieverplichting bestaat [103]. Zo dient de verwerkingsverantwoordelijke uiterlijk op het moment van eerste contact met de betrokkene dit recht uitdrukkelijk onder diens aandacht brengen. Deze informatieplicht ontbreekt in artikel 22 AVG, hetgeen opnieuw suggereert dat dit artikel niet louter een recht van bezwaar inhoudt, maar eerder over een algemeen verbod gaat [104].

22.Een besluit dat uitsluitend gebaseerd is op geautomatiseerde verwerking, waaronder profilering, zal kortom niet geoorloofd zijn indien dit besluit rechtsgevolgen teweeg brengt voor de betrokkene of hem anderszins in aanmerkelijke mate treft en de verantwoordelijke gegevensverwerking geen enkele uitzonderingsgrond kan inroepen. De betrokkene hoeft dus zelf geen actie te ondernemen om ervoor te zorgen dat hij niet onderworpen wordt aan dergelijke beslissing [105].

Het strekt volgens mij tot aanbeveling artikel 22 AVG te herformuleren als een algemeen verbod op geautomatiseerde besluitvorming (indien er niet aan de in het artikel gestelde voorwaarden is voldaan). Dergelijke bewoording komt immers ten goede aan de rechtszekerheid en zou heel wat meer helderheid scheppen, dit in tegenstelling tot de momenteel gehanteerde verwarrende bepaling die doet uitschijnen dat de cliënt louter over een bezwaarrecht beschikt, terwijl dit geenszins de bedoeling was van de Europese wetgever.

3.2.2. Besluiten die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, waaronder profilering

i. Geautomatiseerde verwerking, waaronder profilering

23.Artikel 22 AVG verbiedt besluiten die uitsluitend gebaseerd zijn op geautomatiseerde verwerking (1), waaronder profilering (2). Om aldus te kunnen bepalen wat onder dit artikel al dan niet verboden is, zal het noodzakelijk zijn om meer duidelijkheid te verschaffen over wat er precies onder de begrippen “geautomatiseerde besluitvorming” en “profilering” wordt verstaan. Er dient tussen beide concepten een duidelijk onderscheid te worden gemaakt, aangezien zij beiden een ander toepassingsgebied kunnen behelzen.

24.Artikel 4, 4) AVG definieert “profilering” als “elke vorm van geautomatiseerde [106] verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen”. Er zal met andere woorden, op basis van de persoonlijke informatie waarover de verwerkingsverantwoordelijke beschikt, een profiel van de betrokkene worden opgesteld aan de hand waarvan bepaalde analyses of voorspellingen worden gemaakt. Het eenvoudigweg indelen van personen in verschillende profielen op grond van persoonlijke kenmerken, zoals bijvoorbeeld leeftijd of geslacht, leidt evenwel niet altijd tot profilering. Het doel van de indeling zal immers allesbepalend zijn [107].

Robo-advies vereist steeds een evaluatie van de persoonlijke aspecten van een natuurlijke persoon. Indien we enkel naar de wettelijke definitie kijken, kan het beleggersprofiel dat de gereglementeerde onderneming opstelt, onder het begrip “profilering” vallen. Wanneer de gereglementeerde onderneming aldus vragen stelt aan de cliënt zodoende de geschiktheids- of passendheidstest op een afdoende wijze te kunnen uitvoeren, waarna de ingewonnen informatie op geautomatiseerde wijze wordt verwerkt en geanalyseerd, wordt de cliënt in een bepaald beleggersprofiel ingedeeld. Indien de gereglementeerde onderneming op grond van dit profiel analyses of voorspellingen maakt, zou er op basis van de wettelijke definitie sprake kunnen zijn van profilering.

25.Echter, profilering gaat veel verder dan het louter verzamelen van gegevens van de cliënt en deze te evalueren met het oog op het maken van voorspellingen of analyses. Profilering wordt immers door de Groep Artikel 29 [108], de Raad van Europa en andere rechtsleer in drie afzonderlijke technische stappen of fases opgesplitst: ten eerste vindt er een verzameling van persoonsgegevens op grote schaal plaats waarna deze verzameling ergens wordt opgeslagen. Daarna worden deze gegevens op (semi)geautomatiseerde wijze geanalyseerd en getest en zal er door middel van algoritmes en statistische hulpmiddelen worden gezocht naar bepaalde verbanden of correlaties tussen deze gegevens (zogenaamde data mining). Tijdens deze fase worden personen in verscheidene categorieën of profielen ingedeeld. In de laatste fase zal de vastgestelde correlatie worden toegepast op het geïdentificeerd individu, zodoende vroegere, huidige of toekomstige karakteristieken of gedragswijzen vast te stellen. De gegevensverwerker zal met andere woorden personen in verschillende categorieën indelen op basis van bepaalde waarneembare kenmerken, met het oog op de analyse of voorspelling van wat hun toekomstige activiteit of interesses zullen zijn [109]. Volgens de Raad van Europa moet er een onderscheid gemaakt worden tussen de profileringstechnieken en de andere hulpmiddelen die worden aangewend bij besluitvorming. Het indelen van individuen in bepaalde categorieën op basis van hun werkelijke en accurate kenmerken ziet de Raad niet als profilering [110]. Dit proces zal bestaan uit het opvragen van statistisch verifieerbare en objectieve gegevens en aldus steeds nauwkeurige resultaten opleveren. Profilering zal volgens de Raad daarentegen wél gepaard kunnen gaan met bepaalde fouten aangezien dit hand in hand gaat met een subjectief waardeoordeel dat wordt verleend aan de verzamelde gegevens. Het is immers een proces van statistische extrapolatie dat gedeeltelijk nauwkeurige en ook gedeeltelijk onnauwkeurige resultaten kan opleveren [111].

Profilering zal dus steeds méér (i.e. het gebruik van statistiek en het vaststellen van correlaties tussen gegevens van verscheidende personen) inhouden dan wat de definitie in de wet stelt, waardoor het m.i. ten eerste favorabel lijkt om deze definitie in de wet verder te verfijnen en concreet te bepalen wat er nu precies onder het begrip profilering valt. Ten tweede zal deze vaststelling leiden tot het feit dat het louter opstellen van een beleggersprofiel niet zozeer als een profileringstechniek kan beschouwd worden. Zoals hierboven reeds aangehaald (zie supra, randnr. 13), legt de wetgever immers een actieve ondervragingsverplichting op waarbij de gereglementeerde onderneming enkel de informatie die zij bij de cliënt zelf heeft opgevraagd [112], kan gebruiken om de geschiktheids- of passendheidstest uit te voeren. Aangezien de onderneming dus een beleggersprofiel opstelt aan de hand van de informatie die zij bij de cliënt zelf heeft opgevraagd, zal dit profiel ook steeds nauwkeurig zijn, aangezien er hier geen externe gegevens en data mining worden gehanteerd en er daardoor ook weinig ruimte zal zijn voor fouten [113]. Dit alles houdt in dat robo-advies in het kader van de suitability- en appropriateness-test volgens deze beschrijving niet als profilering kan aanzien worden.

26.Ondanks dat bovenstaande doet besluiten dat robo-advies as sich niet als een profileringstechniek kan beschouwd worden, kan er desalniettemin nog steeds tot de vaststelling gekomen worden dat robo-advies onder artikel 22 AVG valt, aangezien er nog een tweede categorie van geautomatiseerde gegevensverwerking bestaat: de geautomatiseerde (individuele) besluitvorming. Geautomatiseerde besluitvorming en profilering kunnen verschillende toepassingsgebieden behelzen [114]. Beiden houden weliswaar een geautomatiseerde verwerking van persoonsgegevens in en waar geautomatiseerde besluitvorming inderdaad met profilering kan overlappen [115], kan geautomatiseerde besluitvorming ook plaatsvinden zonder profilering of kan er tevens sprake zijn van profilering zonder dat dit moet uitmonden in een besluit [116]. Geautomatiseerde verwerking van persoonsgegevens kan bijgevolg tot drie mogelijk situaties leiden:

geautomatiseerde besluitvorming zonder profilering (met of zonder menselijke tussenkomst);
geautomatiseerde besluitvorming op basis van profilering (met of zonder menselijke tussenkomst);
geautomatiseerde profilering zonder besluitvorming (met of zonder menselijke tussenkomst).

Categorie a en categorie b zullen onder het verbod van artikel 22 AVG vallen, indien zij rechtsgevolgen teweeg brengen of de betrokkene anderszins in aanzienlijke mate treffen [117], zij uitsluitend geautomatiseerd zijn [118] én de in het tweede lid bepaalde uitzonderingsgevallen niet van toepassing zijn [119]. Dan rest ons nog enkel de vraag of robo-advies kan beschouwd worden als een geautomatiseerde besluitvorming. Aangezien dergelijke besluitvorming plaatsvindt wanneer er omtrent een persoon bepaalde geautomatiseerde beslissingen worden genomen via technologische middelen die op basis van verschillende soorten gegevens [120] persoonlijke aspecten van de betrokkene evalueert [121], kan deze vraag ongetwijfeld positief beantwoord worden, waardoor robo-advies onder het toepassingsgebied van artikel 22 AVG zal vallen, indien het tenminste gaat om uitsluitend geautomatiseerde besluitvorming (zie infra).

ii. Uitsluitend geautomatiseerde verwerking

27.Zoals in de paragraaf hierboven reeds kort aangehaald, dient er te worden nagegaan of er sprake is van een uitsluitend geautomatiseerde verwerking teneinde te kunnen besluiten of een bepaalde vorm van geautomatiseerde verwerking onder artikel 22 AVG zou kunnen vallen. Om van een uitsluitend geautomatiseerde verwerking te kunnen spreken, mag geen enkele vorm van menselijke tussenkomst hebben plaatsgevonden in het besluitvormingsproces. Hierbij is het van belang dat deze menselijke tussenkomst een daadwerkelijke invloed heeft op het besluitvormingsproces [122].

De vraag die hierbij rijst is wanneer dergelijke daadwerkelijke menselijke invloed zal plaatsvinden. Aangezien artikel 22 AVG voortbouwt op het vroegere artikel 15 van de richtlijn van 1995, kunnen we een antwoord vinden op dit interpretatievraagstuk in de wetgevende geschiedenis van deze vroegere privacyrichtlijn. Wanneer we naar de Europese voorbereidende documenten kijken, blijkt dat het de bedoeling is geweest van de wetgever om de betrokkene te beschermen tegen beslissingen van menselijke besluitvormers die hun besluit uitsluitend (“solely”) op geautomatiseerde verwerking baseren waarbij er geen echt menselijk oordeel aan te pas is gekomen (“the strict appliction by the user”) [123]. Om al dan niet te kunnen besluiten tot uitsluitend geautomatiseerde verwerking, zal het dus van belang zijn na te gaan of dit menselijk oordeel met betrekking tot de geautomatiseerde besluitvorming zinvol is en niet slechts een symbolische handeling vormt. Dit betekent dat het niet mogelijk zal zijn om aan het verbod van geautomatiseerde verwerking te ontsnappen door gewoonweg een persoon toe te voegen aan het besluitvormingsproces, zonder dat deze een toegevoegde waarde zou hebben [124]. Volgens de Groep Artikel 29 [125] dient deze menselijke tussenkomst overigens uitgevoerd te worden door iemand die over afdoende bekwaamheid beschikt en bevoegd is om het besluit te veranderen. Deze persoon moet bovendien alle relevante gegevens in zijn analyse betrekken [126]. De tussenkomende persoon dient met andere woorden het resultaat van de verwerking actief te bestuderen voorafgaand aan de formalisering van de beslissing. Bijgevolg zal een geautomatiseerd proces niet onder artikel 22 AVG vallen wanneer dit louter als een ondersteunend hulpmiddel (“een basis voor de beslissing”) wordt beschouwd en het iets produceert dat louter als “aanbeveling” wordt aanzien. De persoon die verantwoordelijk is om uiteindelijke beslissingen te nemen, dient kortom de resultaten van het geautomatiseerd proces te bestuderen en af te wegen alvorens tot een eigenlijke beslissing te komen, in plaats van deze gewoon blind en automatisch te aanvaarden [127]^, [128].

Wanneer het algoritme een beleggersprofiel creëert en de werknemer bij de gereglementeerde onderneming zich baseert op dit profiel (i.e. de output van de machine) om een beslissing te nemen, zonder daartoe een eigen analyse en mening daaromtrent te vormen, zal het verbod van artikel 22 AVG van toepassing zijn. De tussenkomst van deze persoon zal in dit geval een loutere formaliteit zijn zonder substantiële invloed op de beslissing uit te oefenen. Bijvoorbeeld: een algoritme produceert een defensief profiel waarin staat dat deze persoon louter aanspraak maakt op een bepaalde categorie van beleggingsproducten. De werknemer bij de gereglementeerde onderneming past automatisch deze uitkomst van het algoritme toe op de desbetreffende cliënt en beslist om een beleggingsproduct te adviseren die binnen die categorie valt, en dit zonder een zinvolle controle uit te oefenen [129]. Wanneer deze werknemer daarentegen in de categorie van beleggingsproducten er de twee uithaalt die het beste passen bij het individuele profiel van de cliënt, zal er geen sprake zijn van een uitsluitend geautomatiseerd besluit, aangezien de werknemer in deze situatie wel een waardevol toezicht heeft uitgeoefend. Waar in de eerste situatie artikel 22 AVG van toepassing kan zijn, is dit niet het geval voor de laatste situatie.

3.2.3. Besluiten die rechtsgevolgen teweeg brengen of die een betrokkene anderszins in aanmerkelijke mate treffen

28.Artikel 22 AVG vindt toepassing op besluiten die rechtsgevolgen teweeg brengen of die een betrokkene anderszins in aanmerkelijke mate treffen. De AVG heeft geen definitie ingevoerd van wat er onder dergelijke besluiten moet begrepen worden. De bewoording maakt wel duidelijk dat het verbod van dit artikel enkel beslissingen treft die ernstige, aanzienlijke effecten met zich meebrengen [130]. Bovendien heeft dit verbod enkel betrekking op de besluiten zelf en niet op de geautomatiseerde verwerking van de persoonsgegevens an sich die vooraf gaat aan dergelijk beslissingen [131]^, [132].

Artikel 22 AVG specifieert bovendien niet of de beslissing waartegen de betrokkene beschermd is de eindbeslissing van het verwerkingsproces dient te zijn of ook een tussenbesluit kan omvatten [133]. Wanneer de gereglementeerde onderneming een beleggersprofiel creëert, dan stelt zich de vraag of dit als een besluit zoals bepaald in artikel 22 AVG kan gezien worden. In dit kader dient er een verschil te worden gemaakt tussen de formele besluitvorming zoals bedoeld in artikel 22 AVG en de andere stappen in het beslissingsproces die het eigenlijke besluit als het ware voorbereiden, zoals bijvoorbeeld het plannen, het in kaart brengen van verschillende opties, enz. [134]. Een besluit betekent gewoonlijk het aannemen van een bepaalde houding, mening of opvatting ten aanzien van de persoon op wie het besluit betrekking heeft [135]. Deze houding dient evenwel een bindende werking te hebben, wat betekent dat het besluit bij de persoon op wie de beslissing van toepassing is naar alle waarschijnlijkheid een bepaalde reactie zal moeten opwekken [136]. Het besluit moet met andere woorden een bepaalde concrete toepassing hebben op een individueel persoon, waarna deze persoon al dan niet beslist om een bepaalde actie te ondernemen.

Het opstellen van een beleggersprofiel middels geautomatiseerde gegevensverwerkingsprocessen zal eerder aanzien worden als een loutere voorbereiding op het eigenlijke werk (i.e. de beleggingsdienst). Kortom, indien er niets wordt ondernomen met het beleggersprofiel, zal er door de gereglementeerde onderneming geen besluit genomen zijn [137]. De beslissing waarbij de gereglementeerde onderneming naar aanleiding van het opstellen van dit profiel tot de vaststelling komt dat deze geen geschikt beleggingsadvies of vermogensbeheer kan verrichten [138] en zich onthoudt deze beleggingsdiensten uit te voeren, zal wel als een besluit zoals bepaald in artikel 22 AVG kunnen beschouwd worden. Naar aanleiding van deze onthouding kan de cliënt immers al dan niet beslissen om zich tot een andere onderneming te wenden en daar te vragen naar beleggingsadvies of vermogensbeheer. De beslissing tot onthouden zal bijgevolg een bindende werking hebben op (het gedrag van) de cliënt. Indien de gereglementeerde onderneming in het kader van passendheidstest een waarschuwing verstrekt over het niet-passend karakter van de belegging [139], zal er door de onderneming tevens een besluit genomen zijn. De waarschuwing zal de cliënt immers de kans geven om al dan niet op de desbetreffende belegging in te gaan, wat betekent dat deze waarschuwing een bepaalde reactie bij de cliënt zal uitlokken en dus een concrete toepassing en impact op hem heeft.

29.Het dient echter niet enkel om een besluit te gaan, maar om een besluit dat ofwel rechtsgevolgen voor de betrokkene met zich meebrengt, ofwel de betrokkene anderszins in aanmerkelijke mate treft. Een besluit met rechtsgevolgen omvat alle besluiten die de wettelijke of juridische rechten, plichten en/of status (geheel of gedeeltelijk) van de betrokkene bepalen of wijzigen [140]. Indien de gereglementeerde onderneming op basis van het automatisch gegenereerde beleggersprofiel een geschikt beleggingsproduct aanbeveelt of beslist tot het uitvoeren van geschikt vermogensbeheer, dan stelt zich de vraag of hierdoor de cliënt een bepaald recht verkrijgt, bijvoorbeeld het recht op adequaat advies of vermogensbeheer. Aangezien er nog veel discussie heerst in de rechtsleer omtrent het vraagstuk van de privaatrechtelijke werking van de MiFID-regelen (i.e. prudentiële regelen) [141], zal hier niet verder op in worden gegaan. Wel is het eventueel mogelijk om een sprong te maken naar het aansprakelijkheidsrecht waarvan de cliënt gebruik kan maken indien hij bepaalde financiële verliezen of ander soort schade zou lijden ingevolge een fout van de gereglementeerde onderneming. Men zou dus kunnen stellen dat het besluit een rechtsgevolg voor de cliënt kan teweeg brengen, indien de gereglementeerde onderneming haar verplichting om op een behoorlijke manier de geschiktheids- of passendheidsbeoordeling uit te voeren, miskent, waardoor de cliënt recht heeft op schadevergoeding. Daarnaast rust op de onderneming die beheer of advies uitvoert, een inspanningsverbintenis en dient zij zich bijgevolg te gedragen zoals een normaal zorgvuldig en omzichtig beleggingsadviseur of vermogensbeheerder zich zou gedragen in diezelfde omstandigheden, waardoor de cliënt eveneens schadeloosstelling zou kunnen verkrijgen indien hij bewijst dat de onderneming niet op dergelijke manier heeft gehandeld [142].

Wanneer een besluit geen invloed uitoefent op iemands rechtspositie en dus niets verandert aan diens rechten en plichten, zal dit besluit nog steeds onder artikel 22 AVG kunnen vallen wanneer deze de betrokkene anderszins in aanmerkelijke mate treft en de betrokkene met andere woorden in zodanige mate wordt getroffen dat de bescherming zoals bepaald in artikel 22 AVG vereist is [143]. Waar er in artikel 15 van de oude richtlijn nr. 95/46/EG geen sprake was van het woord “anderszins”, is dit in artikel 22 AVG wel het geval [144]. Door de toevoeging van deze term, zal een beslissing zonder rechtsgevolgen pas onder het toepassingsgebied vallen wanneer deze de persoon in diezelfde aanmerkelijke mate treft dan wanneer hij zou getroffen zijn door een besluit waaraan een rechtsgevolg is verbonden. De effecten moeten dus afdoende belangrijk en niet triviaal zijn voor de betrokkene [145]^, [146]. Dit houdt in dat het besluit aanmerkelijke gevolgen met zich mee dient te brengen voor het gedrag, de omstandigheden of de keuzes van de betrokkene. Daarnaast zullen de besluiten die een langdurig of een blijvend effect hebben tevens onder het toepassingsgebied van artikel 22 AVG vallen [147]. Besluiten die de financiële situatie van de betrokkene beïnvloeden, kunnen bijgevolg onder artikel 22 AVG vallen [148]. Mocht men tot de conclusie komen dat de verrichte geschikte of passende beleggingsdienst geen rechtsgevolgen voor de desbetreffende cliënt met zich meebrengt, zal dit nog steeds een onder dit artikel verboden besluit inhouden die de cliënt anderszins in aanzienlijke mate treft, aangezien dit kenmerkende gevolgen heeft voor de financiële situatie van de cliënt. Indien de onderneming zich ervan onthoudt beleggingsadvies te geven of vermogensbeheer uit te oefenen doordat zij geen geschikte beleggingsproducten kan aanbieden, of een waarschuwing aan de cliënt geeft met betrekking tot het niet-passend karakter van de belegging, kan men tot diezelfde conclusie komen aangezien beide beslissingen afdoende belangrijke effecten teweeg brengen. In dit geval zal er weliswaar voor de cliënt geen onmiddellijk rechtsgevolg teweeg worden gebracht ten gevolge van de beslissing (diens rechten of plichten zullen met andere woorden niet gewijzigd worden), maar zal er wel een significante invloed geschieden op zijn situatie en keuzes [149]. De onthouding of waarschuwing vanwege de onderneming zal de cliënt er immers toe aanzetten een bepaalde actie te ondernemen (zoals bv. het aankloppen bij een andere gereglementeerde onderneming om aldaar wel desbetreffende beleggingsdienst te verkrijgen of het negeren van de waarschuwing en alsnog met de belegging in dat desbetreffend product door te gaan) of juist niets te ondernemen (en gewoonweg geen enkele beleggingsactiviteit uit te voeren), waardoor er minstens even belangrijke gevolgen als rechtsgevolgen ontstaan die hem op vergelijkbare wijze aanmerkelijk treffen. Met andere woorden, hoewel de gevolgen niet rechtstreeks uit het besluit volgen, zijn ze er wel degelijk [150].

30.Dit alles betekent dat zowel het aanbieden van een geschikte of passende beleggingsdienst als het niet aanbieden van deze dienst, voor de cliënt afdoende belangrijke gevolgen met zich meebrengt waardoor al deze besluiten onder het toepassingsgebied van artikel 22 AVG vallen. Dit betekent bijgevolg dat het voor de onderneming in se verboden is om op volledig geautomatiseerde wijze deze beslissingen te nemen.

3.2.4. Uitzonderingen

31.Waar lid 1. van artikel 22 AVG (naar mijn mening) in een algemeen verbod voorziet, bepaalt het lid 2. drie uitzonderingsgevallen. Ten eerste zal de verwerkingsverantwoordelijke dergelijke geautomatiseerde verwerking mogen toepassen indien dit noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst tussen de betrokkene en een verwerkingsverantwoordelijke (art. 22, 2., a) AVG). Ten tweede zal deze verwerking mogen plaatsvinden indien dit is toegestaan bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de verwerkingsverantwoordelijke van toepassing is en deze bepaling ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en de gerechtvaardigde belangen van de betrokkene (art. 22, 2., b) AVG). Ten derde zal het verbod geen toepassing kunnen vinden indien de betrokkene zijn uitdrukkelijke toestemming heeft gegeven (art. 22, 2., c) AVG).

i. Noodzakelijk voor de totstandkoming of uitvoering van een overeenkomst

32.Het verbod vervat in lid 1. vindt geen toepassing wanneer het geautomatiseerd besluit noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst tussen de betrokkene en een verwerkingsverantwoordelijke [151]. Om zich op deze uitzondering te kunnen beroepen, dient er aldus een duidelijke link te bestaan tussen het geautomatiseerd besluit en de overeenkomst. De vraag is hoe het concept “noodzakelijkheid” precies moet worden ingevuld [152].

Deze noodzakelijkheidsvereiste moet strikt worden geïnterpreteerd. Dit betekent dat indien de (geautomatiseerde) verwerking van bepaalde gegevens onder de overeenkomst valt, dit niet automatisch inhoudt dat deze verwerking ook noodzakelijk is voor de uitvoering ervan. Er dient met andere woorden een direct en objectief verband te bestaan tussen de (geautomatiseerde) verwerking en het doel van de uitvoering van de overeenkomst [153]. Het doel en de inhoud van de overeenkomst en het bepalen van de exacte achterliggende reden van de overeenkomst zullen dus bij de invulling van het begrip een belangrijke rol spelen [154]. Bijvoorbeeld: een cliënt koopt een aantal artikelen bij een online detailhandelaar. Deze online detailhandelaar bepaalt in kleine letters in de overeenkomst dat hij gebruik maakt van profilering. Echter, de uitvoering van deze overeenkomst (i.e. koop-verkoopovereenkomst) is niet afhankelijk van de opbouw van een profiel betreffende de smaken en levensstijlkeuzes van de koper op basis van zijn bezoeken aan de website. Dit houdt in dat de handelaar zich niet op deze uitzondering kan beroepen, zelfs al worden deze verwerkingsactiviteiten vermeld in de kleine lettertjes van de overeenkomst. Een verwerking van persoonsgegevens kan in dit geval wel noodzakelijk zijn indien deze verwerking de creditcardgegevens en het adres van de koper betreft, aangezien dit nodig is om de betaling - en dus de overeenkomst - uit te voeren [155].

Het kan evenwel zijn dat de verwerkingsverantwoordelijke gebruik maakt van geautomatiseerde besluitvorming omdat zij dit de meest doeltreffende manier vindt om het resultaat zoals bepaald in de overeenkomst met de betrokkene te bereiken, en dit omdat de routinematige menselijke tussenkomst door een te grote hoeveelheid te verwerken gegevens als onpraktisch of onmogelijk wordt beschouwd. Geautomatiseerde verwerking kan de verwerker aldus in staat stellen snellere besluiten te nemen en de doeltreffendheid op exponentiële wijze te vergroten. Natuurlijk zal het loutere feit dat het verwerken van een immense hoeveelheid gegevens door personen onpraktisch is, niet volstaan om zich op deze uitzondering te beroepen. De verwerkingsverantwoordelijke zal moeten aantonen dat er geen enkele andere doeltreffende methode bestaat die minder nadelig is voor de gegevensbescherming. Indien het doel op een andere doeltreffende en redelijke manier die minder impact heeft op de gegevensbescherming van de betrokkene [156], kan worden bereikt, dan zal de geautomatiseerde verwerking niet noodzakelijk zijn en zal het verbod nog steeds zijn werking hebben [157].

33.Indien we deze uitzondering toepassen op het concept robo-advies, zal het doel van de overeenkomst die de betrokkene (i.e. de cliënt) met de gegevensverwerker (i.e. de gereglementeerde onderneming) is aangegaan, het uitvoeren van het vermogensbeheer of het beleggingsadvies zijn. Om dit te kunnen verwezenlijken zal de onderneming bepaalde gegevens over de cliënt moeten verzamelen en verwerken en een beleggersprofiel samenstellen. In dit geval is het logisch en essentieel om gegevensverwerking van persoonsgegevens te verrichten en kan de verwerking aldus als noodzakelijk aanzien worden om de overeenkomst te sluiten en/of uit te voeren. Zonder het verwerken van deze gegevens kan men immers nooit achterhalen of een bepaalde belegging geschikt of passend is voor de cliënt. Of aan de noodzakelijkheidsvoorwaarde zal worden voldaan in het kader van een geheel geautomatiseerde gegevensverwerking is een stuk minder eenduidig. Hier mag er immers geen enkele andere doeltreffende methode bestaan die minder nadelig is voor wat betreft gegevensbescherming om hetzelfde doel te bereiken. Het zal voor de gereglementeerde onderneming niet eenvoudig zijn om te bewijzen dat men de geschiktheids- en passendheidsbeoordeling enkel kan uitvoeren via het gebruik van algoritmes zonder enige (daadwerkelijke) menselijke tussenkomst en dat er voor de gereglementeerde onderneming geen andere minder privacy-ingrijpende maatregelen om handen zijn.

De vraag die men zich in dit geval kan stellen is of een gereglementeerde onderneming die enkel en alleen online beleggingsdiensten via geautomatiseerde middelen aan hun cliënten aanbiedt en van deze geautomatiseerde besluitvorming gebruik maakt, zich op deze uitzondering kan beroepen. Haar businessmodel bestaat er immers in om louter volledig geautomatiseerde diensten aan te bieden, waardoor zij in dit geval geen minder privacy-ingrijpende doch even doeltreffende methodes ter beschikking heeft, dan deze die uitsluitend geautomatiseerd zijn. Zonder deze geautomatiseerde verwerking zal zij haar businessmodel anders onmogelijk kunnen handhaven. Enerzijds, zal een verkozen businessmodel en een geliefde manier van werken op zich niet volstaan om zich te onttrekken aan een wettelijk verbod. Anderzijds, zal een strikte toepassing van dit artikel, samen met haar uitzonderingsgronden, een verregaande inperking van de vrijheid van handel met zich meebrengen, zeker met het oog op de veelvuldige technologische evoluties. Het kan m.i. niet de bedoeling geweest zijn van de Europese wetgever om volledig geautomatiseerd robo-advies gehanteerd door gereglementeerde ondernemingen [158] per definitie onmogelijk te maken. Een tijdige evaluatie van artikel 22 AVG zal zich met andere woorden opdringen, waarbij de wetgever er eventueel voor kan opteren om bovenstaande situatie expliciet onder de uitzonderingsgronden te brengen.

ii. Wettelijk toegestaan

34.Geautomatiseerde besluitvorming, waaronder profilering, zal ook kunnen toegepast worden door de verwerkingsverantwoordelijke wanneer een Unierechtelijke of lidstaatrechtelijke bepaling de toepassing ervan toestaat en deze bepaling tevens voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en de gerechtvaardigde belangen van de betrokkene. Overweging 71 stelt dat dit het geval zal zijn wanneer de geautomatiseerde verwerking wordt verricht ten behoeve van de controle en de voorkoming van belastingfraude en -ontduiking (i.e. in het kader van de antiwitwaswetgeving; zie supra, vn. 55) of wanneer dergelijke verwerking wordt uitgevoerd om te zorgen voor de veiligheid en betrouwbaarheid van een dienst die door de verwerkingsverantwoordelijke wordt verleend.

Aangezien geen enkele wetsbepaling in het kader van beleggingsdiensten (noch in MiFID II-regulering, noch in de wet financieel toezicht) geautomatiseerde verwerking oplegt of uitdrukkelijk toelaat, zal de gereglementeerde onderneming zich niet op deze uitzondering kunnen beroepen. De wet bepaalt immers enkel dat de onderneming een geschikt of passend product moet aanbevelen en niet dat dit moet of mag geschieden via geautomatiseerde processen of profileringstechnieken [159]. Om een gereglementeerde onderneming, die enkel en alleen volledig geautomatiseerde beleggingsdiensten aanbiedt, op de markt toe te laten, kan er ook geopteerd worden voor een aanpassing in de MiFID II-regulering, waarbij dergelijke verwerking dan expliciet wordt toegelaten.

iii. Uitdrukkelijke toestemming

35.Ten slotte voorziet artikel 22, 2. nog in een derde uitzonderingsgrond. Indien de betrokkene uitdrukkelijk heeft toegestemd met geautomatiseerde besluitvorming, dan zal het desbetreffende besluit toegelaten zijn. Deze toestemming dient te worden gegeven vooraleer de persoonsgegevens worden verwerkt [160]. De verwerkingsverantwoordelijke draagt hierbij steeds de bewijslast en zal moeten kunnen aantonen dat de uitdrukkelijke toestemming van de betrokkene is bekomen [161].

Net zoals de uitzonderingsbepaling in artikel 22, 2., a) (i.e. de geautomatiseerde verwerking is noodzakelijk voor de totstandkoming of de uitvoering van een overeenkomst), is de uitzondering aangaande de toestemming ook een algemene rechtsgrond voor verwerking zoals bepaald in artikel 6, 1., a). Er dient evenwel een onderscheid te worden gemaakt tussen de verwerkingen waarvoor “gewone” of “regelmatige” toestemming dient te worden gegeven en de verwerkingen die “uitdrukkelijke” toestemming vereisen, waaronder de individuele geautomatiseerde besluitvorming.

a. (“gewone”) Toestemming

36.Toestemming wordt door de algemene verordening gegevensbescherming omschreven als “elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt” [162]. Een toestemming zal met andere woorden pas geldig zijn indien zij (i) vrij, (ii) specifiek, (iii) op informatie berustend en (iv) ondubbelzinnig is. Zij dient gegeven te worden door middel van een verklaring of door het stellen van een duidelijke actieve handeling [163].

37.De toestemming wordt geacht vrij te zijn gegeven wanneer de betrokkene een werkelijke keuze heeft verkregen en zich niet gedwongen voelt (door de verantwoordelijke voor de verwerking) om diens toestemming te geven, doch ook geen negatieve gevolgen ondervindt wanneer hij geen toestemming zou geven of zijn toestemming zou intrekken [164]. Er mag bijgevolg geen duidelijke wanverhouding tussen de betrokkene en de verwerkingsverantwoordelijke bestaan, waardoor er een ongepaste druk of invloed op de betrokkene wordt gevoerd [165]. Zo mag er ook absoluut geen bedrog, intimidatie of dwang plaatsvinden. De verwerkingsverantwoordelijke moet daarnaast kunnen aantonen dat de betrokkene geen enkel nadeel zal lijden wanneer hij zijn toestemming weigert te geven of intrekt, zoals bijvoorbeeld het feit dat het intrekken van de toestemming niet leidt tot extra kosten voor de betrokkene [166].

De toestemming voor een verwerking van persoonsgegevens zal bovendien niet vrij zijn verleend wanneer de uitvoering van de overeenkomst afhankelijk is van die toestemming maar dergelijke toestemming niet noodzakelijk [167] is voor die uitvoering [168]. Toestemming mag niet beschouwd worden als een niet-onderhandelbaar onderdeel van de voorwaarden van de overeenkomst [169]. Wanneer de (geautomatiseerde) verwerking van persoonsgegevens niet noodzakelijk is om de overeenkomst uit te voeren en de betrokkene weigert zijn toestemming te geven voor dergelijke verwerking waardoor de uitvoering van de overeenkomst aan de betrokkene wordt ontzegd, zal er geen sprake zijn van een toestemming die vrijelijk is verleend [170]. De betrokkene mag met andere woorden niet het risico lopen dat de door hem gevraagde diensten niet worden verstrekt wanneer hij zijn toestemming niet geeft om zijn gegevens te verwerken voor andere redenen dan diegene die noodzakelijk zijn om de overeenkomst uit te voeren [171]. Aangezien het in vele gevallen voor de onderneming moeilijk zal zijn om aan te tonen dat de geautomatiseerde verwerking noodzakelijk is om de overeenkomst te kunnen uitvoeren (zie supra, randnr. 33), zal de dienst niet kunnen geweigerd worden wanneer de betrokkene zijn toestemming voor geautomatiseerde verwerking van diens gegevens niet geeft. De toestemming mag aldus geen voorwaarde vormen om aanspraak op een beleggingsdienst te kunnen maken. Wanneer de betrokkene weigert zijn toestemming te geven, zal de gereglementeerde onderneming ervoor moeten zorgen dat zij de beleggingsdienst verstrekt op een niet-(uitsluitend) geautomatiseerde manier, waardoor dit een (wellicht door de wetgever niet voorzien of onbedoeld) effect heeft dat de onderneming eigenlijk haar businessmodel (i.e. het louter aanbieden van volledig geautomatiseerde diensten) nooit kan uitvoeren [172]. In dit geval zal bovenstaande aanbeveling, waarbij de wetgever in de toekomst het noodzakelijkheidsvereiste een andere, bijkomstige invulling zal moeten invullen (zie supra, randnr. 33), tevens van groot belang zijn.

38.Daarnaast is het vereist dat de toestemming specifiek is. Volgens artikel 6, 1., a) dient de betrokkene immers zijn toestemming te geven voor de verwerking van zijn persoonsgegevens voor één of meerdere specifieke doeleinden. Persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en verwerkt (i.e. de zogenaamde doelbinding) [173]. De toestemming kan bijgevolg geen algemeen voorwerp hebben, maar moet betrekking hebben op de verwerking van gegevens voor een duidelijk omschreven doel [174]. Wanneer de betrokkene toestemming heeft gegeven voor de verwerking van diens gegevens met het oog op het bereiken van een bepaald doel, zullen alle verwerkingsactiviteiten die met dat specifiek doeleinde verbonden zijn, als rechtmatig beschouwd kunnen worden [175]. Opdat er sprake kan zijn van specifieke toestemming dient er wel voor elk doeleinde een aparte toestemming te worden gegeven [176].

Om aan deze vereiste te voldoen, zal de gereglementeerde onderneming de cliënt moeten informeren over het doel van de gegevensverwerking (i.e. het uitvoeren van geschiktheids- of passendheidstest) en welke gegevens zij precies nodig heeft zodoende dit doel te bereiken. Aangezien het hier waarschijnlijk enkel over één specifiek doeleinde zal gaan, zal het volstaan dat de cliënt één keer zijn toestemming geeft.

39.De AVG bepaalt daarenboven dat de betrokkene geïnformeerde toestemming moet geven. Dit houdt in dat de gegevensverwerker op een begrijpelijke manier alle nodige informatie aan de betrokkene dient te verstrekken om deze in staat te stellen om op afdoende wijze een geïnformeerde beslissing te nemen en aldus precies te begrijpen waarmee (onder meer de risico's en de voordelen die de beoogde verwerking heeft) ze precies instemt [177]. Hierbij dient minimum de volgende informatie aan de betrokkene medegedeeld te worden: de identiteit van de verwerkingsverantwoordelijke [178], het doel van elk van de verwerkingen waarvoor toestemming wordt gevraagd [179], welke soort gegevens er worden verzameld en gebruikt, het bestaan van het recht om toestemming in te trekken [180], informatie over het gebruik van de gegevens voor geautomatiseerde besluitvorming, informatie over de risico's die dergelijke doorgiften bij ontstentenis van een adequaatheidsbesluit en van de passende waarborgen, zoals beschreven in artikel 46 AVG [181]. Aangezien de AVG niet bepaalt op welke manier deze informatie moet worden verstrekt, staat het de verwerkingsverantwoordelijke vrij om de vorm te kiezen, bijvoorbeeld via audio- of videoberichten, op voorwaarde dat de informatie op heldere wijze en in klare taal aan de betrokkene wordt gepresenteerd. Een gemiddeld persoon, en niet enkel juridisch geschoolde personen, moet met andere woorden de informatie kunnen begrijpen, wat betekent dat de gegevensverwerker geen bepalingen mag gebruiken die met technisch of juridisch vakjargon doorspekt zijn [182]. Artikel 7, 2. AVG bepaalt bovendien dat indien er sprake is van een schriftelijke verklaring van toestemming die ook op andere aangelegenheden betrekking heeft, het verzoek om toestemming duidelijk dient onderscheiden te zijn van deze andere aangelegenheden. Het onderwerp toestemming moet zodoende in de overeenkomst afzonderlijk en gescheiden van alle andere zaken weergegeven worden en niet als loutere paragraaf opgenomen zijn in de algemene voorwaarden [183].

Teneinde zich te kunnen beroepen op de toestemmingsexceptie, zal de gereglementeerde onderneming aldus haar cliënt dienen te informeren over de bepaalde aspecten van de gegevensverwerking, waaronder het doel van de verwerking (i.e. het uitvoeren van geschiktheids- en passendheidstest), welke gegevens er zullen worden verzameld (i.e. informatie over kennis en ervaring, financiële situatie en beleggingsdoelstellingen van de cliënt [184]), het feit dat het besluit wordt genomen op basis van volledig geautomatiseerde processen, enz.

40.Tot slot moet de toestemming op ondubbelzinnige wijze aan de gegevensverwerker te kennen worden gegeven. Het zal om een ondubbelzinnige wilsuiting dienen te gaan die de betrokkene via een verklaring of via een duidelijke actieve handeling [185] bekend maakt [186]. De betrokkene moet aldus een opzettelijke, positieve handeling hebben uitgevoerd waaruit zonder enige twijfel blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van diens persoonsgegevens instemt [187]. Noch het stilzwijgen, noch de inactiviteit van de betrokkene kan dus als toestemming beschouwd worden [188]. Het aanwenden van standaardopties (zoals reeds aangevinkte vakjes of andere opt-outconstructies) die de betrokkene moet wijzigen om de verwerking te weigeren is bovendien onrechtmatig [189]. De verwerkingsverantwoordelijke moet ervoor zorgen dat de betrokkene geen dubbelzinnige toestemming kan geven en dat hij op de hoogte is van de precieze handelingen die ervoor zorgen dat toestemming wordt gegeven [190].

De gereglementeerde onderneming dient er dus voor te zorgen dat de cliënt op ondubbelzinnige wijze diens toestemming heeft gegeven door middel van een actieve handeling of een verklaring. Aangezien het hier eerder zal gaan over een dienst die volledig online ter beschikking wordt gesteld, zal de onderneming er op moeten toezien dat er geen gebruik wordt gemaakt van reeds aangevinkte vakjes of andere opt-outconstructies waarbij de betrokkene dus een handeling moet stellen om zijn toestemming in te trekken in plaats van deze te geven [191].

b. Uitdrukkelijke toestemming

41.De in artikel 22 AVG betreffende geautomatiseerde individuele besluitvorming, waaronder profilering, vereist het bekomen van een uitdrukkelijke toestemming en niet louter van een gewone of regelmatige toestemming. In dit geval doet er zich immers een ernstig risico voor gegevensbescherming voor, waardoor een voldoende aangepast niveau van de individuele controle over persoonsgegevens meer dan noodzakelijk is [192]. Waar een regelmatige toestemming kan bekomen worden door gewoonweg een opzettelijke, actieve en duidelijke handeling uit te voeren, veronderstelt een uitdrukkelijke toestemming een door de betrokkene gegeven uitdrukkelijke verklaring waarbij deze duidelijk stelt dat hij zijn toestemming geeft voor een bepaalde verwerking.

Deze uitdrukkelijke toestemming heeft aldus betrekking op de wijze waarop de toestemming door de betrokkene tot uiting wordt gebracht [193]. De standaarden voor de uitdrukkelijke toestemming zijn strenger dan deze voor de regelmatige, ondubbelzinnige (“gewone”) toestemming waardoor deze toestemming dan ook aan hogere eisen moet voldoen [194]. Deze uitdrukkelijke toestemming kan bijvoorbeeld verkregen worden door een schriftelijke en ondertekende verklaring te verkrijgen van de betrokkene waarin hij zijn toestemming bevestigt, maar kan tevens ook bekomen worden door de betrokkene een elektronisch formulier te laten invullen, de betrokkene een e-mail te laten versturen, de betrokkene een gescand document waarop diens handtekening staat te laten uploaden, enz. Een mondelinge verklaring van toestemming zou ook kunnen volstaan, maar in dat geval zal het voor de verwerkingsverantwoordelijke moeilijker aan te tonen zijn dat zij dergelijke toestemming heeft verkregen [195].

De gereglementeerde onderneming zal er kortom voor moeten zorgen dat zij deze uitdrukkelijke toestemming van haar cliënten verkrijgt indien zij uitsluitend geautomatiseerd robo-advies zou aanbieden. Wanneer haar cliënt deze toestemming verleent, zou de onderneming zich met andere woorden op deze uitzonderingsgrond kunnen beroepen. Men dient er wel rekening mee te houden dat tevens de bovenstaande voorwaarden aangaande de regelmatige toestemming (zie supra, randnrs. 36-40) steeds ingevuld moeten worden.

Besluit

42.Robo-advies wordt in het licht van deze bijdrage gezien als de geautomatiseerde gegevensverwerking van de cliënten in het kader van de geschiktheids- en passendheidstest die de gereglementeerde onderneming naar aanleiding van het aanbieden van beleggingsdiensten dient uit te voeren. De geautomatiseerde gegevensverwerking wordt evenwel door de algemene verordening gegevensbescherming beteugeld, meer bepaald door artikel 22 AVG. Ingevolge dit artikel is het voor de gereglementeerde onderneming verboden om haar cliënt te onderwerpen aan een besluit dat uitsluitend is gebaseerd op geautomatiseerde verwerking, waaronder profilering, waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft.

43.Op basis van voorgaande motivatie, kan er m.i. besloten worden dat robo-advies onder het toepassingsgebied van artikel 22 AVG valt. Robo-advies wordt als een uitsluitend op geautomatiseerde verwerking gebaseerd besluit aanzien, dat rechtsgevolgen met zich meebrengt of de cliënt anderszins in aanmerkelijke mate treft. Robo-advies houdt ten eerste steeds een geautomatiseerde verwerking in, aangezien er omtrent een persoon bepaalde geautomatiseerde beslissingen worden genomen via technologische middelen die op basis van verschillende soorten gegevens persoonlijke aspecten van de betrokkene evalueren. Het antwoord op de vraag of robo-advies tevens als profilering (i.e. de evaluatie van persoonlijke aspecten van de cliënt met het oog op het maken van bepaalde voorspellingen of analyses over diezelfde persoon) kan aanschouwd worden, hangt af van het feit of we enkel de definitie van de wet volgen. Naar mijn oordeel zal profilering echter steeds meer zijn dat wat de wet bepaalt, waardoor robo-advies nooit een profileringstechniek zal kunnen inhouden. Er zal immers pas sprake kunnen zijn van profilering indien de gereglementeerde onderneming gebruik maakt van statistiek en van externe, niet tot de cliënt behorende, gegevens. En net bij dat laatste wringt de schoen: volgens MiFID II-regulering is het de onderneming ten strengste verboden om in het kader van de suitability- of appropriateness-test gebruik te maken van externe gegevens, die niet bij de cliënt zelf zijn opgevraagd.

Robo-advies vormt bovendien een besluit dat rechtsgevolgen teweegbrengt voor de cliënt of dat de cliënt anderszins in aanmerkelijke mate treft, wanneer er op basis van het op geautomatiseerde wijze gecreëerde beleggersprofiel, een beleggingsdienst (i.e. beleggingsadvies of vermogensbeheer) wordt verricht aan de cliënt. De uitkomst van het robo-advies zal immers een bepaalde reactie bij de cliënt veroorzaken (waarna hij al dan niet over gaat tot het uitvoeren van een handeling), alsook zijn situatie op een significante manier wijzigen [196]. Indien de gereglementeerde onderneming zich ervan zou onthouden beleggingsproducten aan te bieden of vermogensbeheer te verrichten of wanneer zij een waarschuwing aan de cliënt geeft aangaande het niet-passend karakter van de belegging, zal dit ook als een besluit zoals bepaald in artikel 22 AVG kunnen worden beschouwd. Hoewel deze onthouding of waarschuwing een bindende invloed op (het gedrag van) de cliënt heeft, heeft dergelijke beslissing geen impact op diens rechten of plichten. De onthouding of waarschuwing vanwege de onderneming zal de cliënt er enkel toe bewegen een bepaalde handeling uit te voeren of juist niet uit te voeren, waardoor er geen rechtsgevolgen ontstaan, maar wel belangrijke gevolgen die hem op vergelijkbare wijze aanmerkelijk treffen. Tot slot vindt het verbod van artikel 22 AVG pas toepassing wanneer robo-advies op een volledig geautomatiseerde wijze tot stand komt. Indien de onderneming beslist om een werknemer in te zetten die de uitkomsten van de algoritmes analyseert en grondig beoordeelt, zal er geen sprake zijn van een uitsluitend geautomatiseerde gegevensverwerking. Deze tussenkomst moet weliswaar meer zijn dan een loutere formaliteit en moet een substantiële invloed op de beslissing uitvoeren. Wanneer zij geen gebruik maakt van haar werknemers om in het proces van robo-advies deel te nemen, of hen louter inzet op een symbolische manier, zal deze uitsluitend geautomatiseerde verwerking onder artikel 22 AVG vallen. Hier zullen de ondernemingen die enkel en alleen op geautomatiseerde wijze robo-advies aanbieden, evenwel geen gebruik van kunnen maken.

Schema 1. Weergave toepassing artikel 22 AVG op het concept robo-advies

44.Zoals reeds gesteld valt het aanwenden van (uitsluitend geautomatiseerd) robo-advies binnen de beleggingssector onder het toepassingsgebied van artikel 22 AVG. De gereglementeerde onderneming kan er evenwel voor opteren om een van zijn werknemers in te zetten waarbij zij de uitkomsten (i.e. het uitvoeren van geschikt vermogensbeheer en beleggingsadvies of van een passend beleggingsorder voor de cliënt) van het robo-advies daadwerkelijk evalueert alvorens een bepaald beleggingsproduct al dan niet aan te bieden. In dit geval zal de daadwerkelijke menselijke tussenkomst ervoor zorgen dat de onderneming aan het verbod van artikel 22 AVG ontsnapt aangezien er geen sprake is van een uitsluitend geautomatiseerde besluitvorming.

Wanneer de onderneming kiest voor een uitsluitend geautomatiseerde verwerking van de persoonsgegevens, kan zij tevens aan dit verbod ontsnappen wanneer zij zich op een van de drie uitzonderingsgronden beroept (zie supra, randnrs. 31-41). Het zal niet mogelijk zijn om de uitzonderingsgrond aangaande de wettelijke bepaling in te roepen. Er bestaat immers geen enkele wetsbepaling die in het kader van beleggingsdiensten de geautomatiseerde verwerking van persoonsgegevens oplegt of uitdrukkelijk toelaat.

Minder eenduidig is of een gereglementeerde onderneming gebruik kan maken van het noodzakelijkheidsvereiste. Indien een gereglementeerde onderneming haar businessmodel er bijvoorbeeld in bestaat om louter geautomatiseerde diensten aan te bieden en zij kan bewijzen dat zij geen enkele andere minder privacy-ingrijpende doch even doeltreffende methodes dan deze die uitsluitend geautomatiseerd zijn, ter beschikking heeft, zou zij eventueel van deze uitzonderingsgrond gebruik kunnen maken. In dit geval kan men argumenteren dat een uitsluitend geautomatiseerde verwerking immers noodzakelijk is om de overeenkomst met de cliënt tot stand te laten komen of uit te voeren. Hier kan men zich de vraag stellen of het mogelijk is zich te onttrekken van een wettelijk bepaald verbod louter door voor een bepaald businessmodel te opteren [197]. M.i. inziens zou het favorabel zijn mocht de wetgever dergelijke ondernemingen de ruimte laten om zich op deze uitzonderingsgrond te beroepen. De uitsluitend geautomatiseerde robo-adviezen volledig uitsluiten van de markt, lijkt mij immers een ongewenst effect van deze bepaling.

Tot er meer duidelijkheid heerst omtrent de afbakening van het toepassingsgebied van het noodzakelijkheidsvereiste, lijkt het mij de meeste duidelijke (en heilzame) oplossing om zich als onderneming te steunen op de uitzonderingsgrond van de uitdrukkelijke toestemming. Het verkrijgen van deze toestemming zal voor de onderneming evenwel geen gemakkelijke taak zijn. De toestemming moet eerst en vooral vrij, specifiek, op informatie berustend en ondubbelzinnig zijn. Dit houdt in dat de toestemming voor de geautomatiseerde gegevensverwerking niet afhankelijk mag zijn voor het uitvoeren van de dienst die de onderneming verricht. Wanneer de cliënt aldus zijn toestemming niet geeft, moet hij wel nog steeds in de mogelijkheid zijn om de beleggingsdienst (op een niet(-uitsluitend) geautomatiseerde manier) te verkrijgen. De onderneming moet tevens de cliënt informeren over het doel van deze geautomatiseerde verwerking, over welke gegevens zij daartoe nodig zal hebben, over welke risico's er daarmee gepaard gaan, over het feit dat de geschiktheids- of passendheidstest volledig geautomatiseerd zal verlopen, enz. Bovendien mag de onderneming de gegevens van de cliënt niet gebruiken voor andere doeleinden dan voor het uitvoeren van de geschiktheids- of passendheidsbeoordeling. Daarenboven moet deze toestemming door de cliënt gegeven worden door een uitdrukkelijke akkoordverklaring. De onderneming dient er aldus voor te zorgen dat de cliënt uitdrukkelijk stelt dat hij zijn toestemming voor de geautomatiseerde gegevensverwerking in het kader van de desbetreffende beleggingsdiensten verstrekt. Bijgevolg zal de cliënt die louter de overeenkomst uitvoert, niet zijn uitdrukkelijke toestemming hebben gegeven.

Schema 2. Ontsnappen aan het verbod in artikel 22 AVG

45.Dus, staat de gereglementeerde onderneming nu volledig met haar rug tegen de (privacy)muur? Neen, niet helemaal. Het aanwenden van robo-advies zal voor de gereglementeerde onderneming nog steeds geoorloofd zijn wanneer deze geautomatiseerde procedure op zo een manier wordt georganiseerd dat deze ofwel gepaard gaat met een daadwerkelijke menselijke tussenkomst, ofwel met de uitdrukkelijke toestemming van de cliënten uitgevoerd wordt. Daarnaast kan het voor bepaalde gereglementeerde ondernemingen ook mogelijk zijn om te bewijzen dat de uitsluitend geautomatiseerde besluitvorming noodzakelijk is voor de totstandkoming of uitvoering van de overeenkomst. Zo bestaan er voor de gereglementeerde onderneming dus nog steeds enkele alternatieven waarvan zij in het kader van geautomatiseerde individuele besluitvorming gebruik kan maken.

Schema 3. Besluitend overzicht

Bibliografie

Amankwah, J., “Nieuwe technologische ontwikkelingen in verzekeringen” in C. Van Schoubroeck en I. Samoy, Themis 106 - Aansprakelijkheids- en verzekeringsrecht, Brugge, die Keure, 2018, 77-106.

Autoriteit Financiële Markten, Visie op robo-advies. Kansen, zorgplicht en aandachtspunten, 15 maart 2018, 25 p., online te vinden op: www.afm.nl/nl-nl/professionals.

Bygrave, L., “Automated profiling: minding the machine: article 15 of the EC Data Protection Directive and automated profiling”, Computer Law & Security report 2001, Vol. 17, nr. 1, 17-24.

Colaert, V. en Van Dyck, T., “MiFID en de gedragsregels. Een nieuw juridisch kader voor diensten van vermogensbeheer, beleggingsadvies en orderuitvoering”, TBH 2008, 226-279.

Colaert, V., “De impact van MIFID II”, BFW 2018, nr. 1, 33-36.

Colaert, V., “De MiFID-geschiktheidsbeoordeling: naar een beter georganiseerde kennis van cliënt én product”, BFR 2012, nr. 5, 235-269.

Colaert, V., “RegTech as a response to regulatory expansion in the financial sector”, RISF 2018, nr. 3, 56-77.

Colaert, V., De rechtsverhouding financiële dienstverlener-belegger, Brugge, die Keure-la Charte, 2011, 698 p.

Commissie Economische en Monetaire zaken, Verslag over fintech: de invloed van technologie op de toekomst van de financiële sector, 4 april 2017, A8-0176/2017, 31 p., online te vinden op: www.europarl.europa.eu/portal/nl.

Commission of the European Communities, Amended proposal for a Council Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data, COM(92) 422 final, SYN 287, 15 oktober 1992, 130 p.

De Bot, D., “De gevolgen van de Algemene Verordening Gegevensbescherming voor de verzekeringssector. Enkele kritische bedenkingen”, T.Verz. 2016, afl. 2, 127-152.

De Bot, D., “De uitvoering van de Algemene Verordening Gegevensbescherming. Enkele bemerkingen bij de Belgische context”, TVW 2016, nr. 3, 218-234.

De Bot, D., Verwerking van persoonsgegevens, Antwerpen, Kluwer, 2001, 403 p.

Dejonghe, S., “De aansprakelijkheid van de vermogensbeheerder” (noot onder Kh. Gent 28 november 2000), Bank Fin.R. 2001, 190-193.

Eloot, O. en Tilley, H., “Beleggersbescherming in MiFID II en MiFIR. Een overzicht en toetsing van enkele recente nationale beleggersbeschermende maatregelen”, DBF 2014, 200.

European Banking Authority, Report on innovative uses of consumer data by financial institutions, 28 juni 2017, 19 p., online te vinden op: www.eba.europa.eu/.

European Banking Authority, Report on the prudential risks and opportunities arising for institutions from FinTech, 3 juli 2018, 55 p., online te vinden op: www.eba.europa.eu/.

European Banking Authority, Report on the prudential risks and opportunities arising for institutions from FinTech, 3 juli 2018, 5-6, online te vinden op: www.eba.europa.eu/.

European Commission, Staff Working Paper - Impact Assessment, Accompanying the document: Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) and Directive of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data, SEC(2012) 72 final, 25 januari 2012, 153 p.

European Securities and Market Authority, Richtsnoeren met betrekking tot bepaalde aspecten van de MiFID II-geschiktheidseisen, 6 november 2018, ESMA35-43-1163, 34 p., online te vinden op: www.esma.europa.eu.

European Securities and Market Authority, Questions and Answers On MiFID II and MiFIR investor protection and intermediaries topics, 3 October 2018, ESMA35-43-349, 105 p., online te vinden op: www.esma.europa.eu.

European Supervisory Authorities (ESAs), Joint Committee Discussion paper on automation in financial advice, 4 december 2015, JC/2015/080, 35 p., online te vinden op: www.esas-joint-committee.europa.eu.

European Supervisory Authorities (ESAs), Joint Committee Discussion Paper on the Use of Big Data by Financial Institutions, 2016, JC/2016/86, 36 p., online te vinden op: www.esas-joint-committee.europa.eu.

Fein, M.L., “Robo-Advisors: A Closer Look”, 33 p., 30 juni 2015, online te vinden op: www.ssrn.com/abstract=2658701.

Financial Stability Board, Artificial intelligence and machine learning in financial services: Market developments and financial stability implications, 1 november 2017, 41 p., online te vinden op: www.fsb.org.

Fry, H., Algoritmes aan de macht. Hoe blijf je menselijk in een geautomatiseerde wereld?, Amsterdam, De Geus, 2018, 272 p.

Goens, D., Data protection bij financiële instellingen, Mortsel, Intersentia, 2018, 858 p.

Groep Gegevensbescherming Artikel 29, Advies 06/2014 over het begrip "gerechtvaardigd belang van de voor de gegevensverwerking verantwoordelijke" in artikel 7 van Richtlijn 95/46/EG, WP 217, 9 april 2014, 82 p., online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl.

Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, WP 251, 3 oktober 2017, 47 p., online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl.

Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679, WP 259, 28 november 2017, 6, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl.

Jung, D., Dorner, V., Glaser, F. en Morana, S., “Robo-Advisory. Digitalization and Automation of Financial Advisory”, Business & Information Systems Engineering 2018, Vol. 60, 81-86.

Jung, D., Glaser, F. en Köpplin, W., “Robo-Advisory: Opportunities and Risks for the Future of Financial Advisory: Recent Findings and Practical Cases” in N. Nissen, Advances in Consulting Research Recent Findings and Practical Cases, Zwitserland (Cham), Springer, 2019, 405-427.

Kruithof, M., “De privaatrechtelijke werking van de MiFID 2004-gedragsregels: een analyse van de mate waarin zij de wederzijdse rechten en plichten van dienstverlener en cliënt kunnen aanvullen en beperken” in Instituut Financieel Recht (ed.), Financiële regulering in de kering, Antwerpen, Intersentia, 2012, 273-356.

Leenes, R., van Brakel, R., Gutwirth, S. en De Hert, P., Data protection and privacy: the age of intelligent machines, Oxford, Hart Publishing, 2017, 253 p.

Mendoza, I. en Bygrave, L., “The Right Not to Be Subject to Automated Decisions Based on Profiling”, in T. Synodinou, P. Jougleux, C. Markou en T. Prastitou (eds.), EU Internet Law: Regulation and Enforcement, Zwitserland (Cham), Springer, 2017, 77-98.

Ministerie van Justitie en Veiligheid, Handleiding Algemene verordening gegevensbescherming en Uitvoeringswet Algemene verordening en Uitvoeringswet Algemene verordening gegevensbescherming, januari 2018, 98 p., online te vinden op: www.autoriteitpersoonsgegevens.nl.

O'Neil, C., Weapons of Math Destruction: How Big Data Increases Inequality and Threatens Democracy, New York, Crown Publishers, 2016, 209 p.

Raad van Europa, The protection of individuals with regard to automatic processing of personal data in the context of profiling, Recommendation CM/Rec (2010)13 and explanatory memorandum, 23 november 2010, 55 p., online te vinden op: www.coe.int/en/web/portal/home.

Steennot, R., “Informatieverplichtingen als beschermingstechniek bij de verwerving van beleggingsdiensten door consumenten” in E. Wymeersch (ed.), Van alle markten. Liber amicorum Eddy Wymeersch, Mortsel, Intersentia, 2008, 783-802.

Steennot, R., “Precontractuele informatieverplichtingen als beschermingstechniek bij de bescherming van de zwakkere partij in het financieel recht” in H. Daems, I. De Meuleneere, R. Feltkamp en R. Steennot (eds.), Bescherming van de consument in het financieel recht - La protection du consommateur en droit financier, Antwerpen-Limal, Intersentia-Anthemis, 2012, 91-122.

Stevens, O., “Het begrip beleggingsadvies 'gescreend': Post-versus Pre-MiFID”, RDC-TBH 2013, afl. 7, 645-649.

Tison, M. “The civil law effects of MiFID in a comparative law perspective” in S. Grundmann, B. Haar en H. Merkt (eds.), Unternehmen, Markt und Verantwortung. Festschrift für Klaus J. Hopt zum 70. Geburtstag am 24. August 2010, Berlijn, de Gruyter, 2010, 2621-2639.

Van De Velde, A., Inleiding tot het financiewezen, Brugge, die Keure-la Charte, 2012, 802 p.

Vandevoorde, W., “De bescherming van de belegger herbekeken. Een commentaar bij enkele institutionele en transactionele innovaties van de Belgische bepalingen tot omzetting van richtlijn 2004/39/EG (“de MiFID-richtlijn”) en richtlijn 2006/73/EG”, BFR 2007, nr. 6, 367-395.

Verhaeghe, D., “(Data) privacy waarborgen bij toepassing van 'Big Data', 'Data mining' en 'profilering' in de financiële sector”, BFW 2016, nr. 2, 145-160.

Wachter, S., Mittelstadt, B. en Floridi, L., “Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation”, International Data Privacy Law 2017, Vol. 7, nr. 2, 76-99.

[1]	Assistent, Instituut Financieel Recht, UGent.
[2]	Zie infra, vn. 28.
[3]	Verordening (EU) nr. 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn nr. 95/46/EG (algemene verordening gegevensbescherming), Pb. L. 4 mei 2016, afl. 119, 1-88.
[4]	Er is gekozen om de term “robo-advies” in deze bijdrage te hanteren, aangezien deze bewoording tegenwoordig door de rechtsleer veelvuldig wordt gebruikt.
[5]	De European Supervisory Authorities hebben evenwel getracht te definiëren wat er volgens hen onder robo-advies kan worden verstaan: “The various ways in which consumers can use automated tools (typically websites) to receive financial advice (for example a recommendation to buy or sell financial products), without (or with very limited) human intervention.” M.i. kan robo-advies ruimer beschouwd worden en omvat het niet enkel de verschillende manieren waarop consumenten geautomatiseerde hulpmiddelen gaan gebruiken om financieel advies te verkrijgen zonder menselijke tussenkomst, maar ook de verschillende manieren waarop gereglementeerde ondernemingen (of andere instellingen) deze hulpmiddelen gaan inzetten om een dienst voor de consument te verrichten.
[6]	D. Jung, V. Dorner, F. Glaser en S. Morana, “Robo-Advisory. Digitalization and Automation of Financial Advisory”, Business & Information Systems Engineering 2018, Vol. 60, 81.
[7]	Nog ruimer gezien, kan men stellen dat dergelijke tools ook ingezet kunnen worden in andere sectoren dan de financiële sector (zoals bv. in de gezondheidssector of in het belastingwezen). Echter deze vaststelling zal in het kader van deze bijdrage niet relevant zijn.
[8]	Voor een meer uitgebreide toelichting omtrent de ingewikkelde materie aangaande algoritmes, artificiële intelligentie en machine learning, zie: H. Fry, Algoritmes aan de macht. Hoe blijf je menselijk in een geautomatiseerde wereld?, Amsterdam, De Geus, 2018, 272 p.
[9]	Doorheen deze bijdrage zal de term “gereglementeerde onderneming” worden gehanteerd. Onder gereglementeerde ondernemingen vallen onder meer de kredietinstellingen en beleggingsondernemingen (zie infra, vn. 28) en worden aldus de ondernemingen verstaan die beleggingsdiensten zullen aanbieden en robo-advies in de context van beleggingen zullen aanwenden. Dit concept, en niet bv. de concepten “bank” of “financiële instellingen”, wordt hier gebruikt aangezien het tevens in regulering omtrent beleggingsdiensten wordt gehanteerd.
[10]	D. Jung, F. Glaser en W. Köpplin, “Robo-Advisory: Opportunities and Risks for the Future of Financial Advisory: Recent Findings and Practical Cases” in V. Nissen, Advances in Consulting Research Recent Findings and Practical Cases, Zwitserland (Cham), Springer, 2019, 405-427; D. Jung, V. Dorner, F. Glaser en S. Morana, “Robo-Advisory. Digitalization and Automation of Financial Advisory”, Business & Information Systems Engineering 2018, Vol. 60, 83.
[11]	J. Amankwah, “Nieuwe technologische ontwikkelingen in verzekeringen” in C. Van Schoubroeck en I. Samoy, Themis 106 - Aansprakelijkheids- en verzekeringsrecht, Brugge, die Keure, 2018, (77) 78-80.
[12]	European Supervisory Authorities (ESAs), Joint Committee Discussion paper on automation in financial advice, 4 december 2015, JC/2015/080, online te vinden op: www.esas-joint-committee.europa.eu/, 6; V. Colaert, “RegTech as a response to regulatory expansion in the financial sector”, RISF 2018, nr. 3, 66.
[13]	Zie onder meer: www.investopedia.com/terms/r/roboadvisor-roboadviser.asp#what-is-a-robo-advisor, laatst geraadpleegd op 21 november 2019.
[14]	Zie infra, vn. 28.
[15]	European Supervisory Authorities (ESAs), Joint Committee Discussion paper on automation in financial advice, 4 december 2015, JC/2015/080, online te vinden op: www.esas-joint-committee.europa.eu/, 7.
[16]	Het gaat hier met andere woorden niet over een zogenaamd “robo-beleggingsadvies”.
[17]	Wet van 25 oktober 2016 betreffende de toegang tot het beleggingsdienstenbedrijf en betreffende het statuut van en het toezicht op de vennootschappen voor vermogensbeheer en beleggingsadvies.
[18]	Art. 2, 8° van de wet van 25 oktober 2016.
[19]	Robo-advies zou tevens een rol kunnen spelen in het louter uitvoeren van orders die de cliënt doorgeeft, de zogenaamde execution-only-diensten, afhankelijk of de gereglementeerde onderneming al dan niet de verplichting heeft om bepaalde informatie in te winnen bij de cliënt. Aangezien de gereglementeerde onderneming in het kader van execution-only-diensten in vele gevallen (i.e. wanneer de door de wet gestelde voorwaarden niet zijn ingevuld) geen informatie hoeft in te winnen en de rol van robo-advies daardoor ook minder eenduidig is, zal de bespreking van deze diensten buiten de beschouwing van deze bijdrage blijven.
[20]	Voor een uitgebreidere toelichting van de termen beleggingsadvies en vermogensbeheer, zie infra, randnrs. 9-10.
[21]	D. Jung, V. Dorner, F. Glaser en S. Morana, “Robo-Advisory. Digitalization and Automation of Financial Advisory”, Business & Information Systems Engineering 2018, Vol. 60, 82; M.L. Fein, “Robo-Advisors: A Closer Look”, 30 juni 2015, online te vinden op: www.ssrn.com/abstract=2658701, 33p.
[22]	Dit wordt als “volledig robo-advies” bestempeld door de Autoriteit Financiële Markten (hierna genoemd “AFM”, de financiële toezichthouder in Nederland).
[23]	D. Jung, V. Dorner, F. Glaser en S. Morana, “Robo-Advisory. Digitalization and Automation of Financial Advisory”, Business & Information Systems Engineering 2018, Vol. 60, 81; Autoriteit Financiële markten, Visie op robo-advies. Kansen, zorgplicht en aandachtspunten, 15 maart 2018, online te vinden op: www.afm.nl/nl-nl/professionals, 5.
[24]	De AFM maakt hier een onderscheid tussen gedeeltelijk robo-advies, waarbij er sprake is van volledig geautomatiseerd robo-advies maar er een fysieke adviseur passief beschikbaar is om eventuele vragen van de cliënt te beantwoorden, en hybride advies, waarbij robo-advies en de mens elkaar versterken en aldus de rol van de mens veel groter wordt (bv. de inventaris wordt gedigitaliseerd maar het blijft de werknemer binnen de onderneming die nog steeds het advies verstrekt aan de cliënt).
[25]	Deze menselijke tussenkomst dient losgekoppeld te worden van de “daadwerkelijke” menselijke tussenkomst die later in deze bijdrage aan bod zal komen (zie infra, randnr. 27).
[26]	D. Jung, F. Glaser en W. Köpplin, “Robo-Advisory: Opportunities and Risks for the Future of Financial Advisory: Recent Findings and Practical Cases” in V. Nissen, Advances in Consulting Research Recent Findings and Practical Cases, Zwitserland (Cham), Springer, 2019, 410.
[27]	Wet van 2 augustus 2002 betreffende het toezicht op de financiële sector en de financiële diensten (BS 4 september 2002, p. 39.121-39.244).
[28]	Richtlijn nr. 2014/65/EU van het Europees Parlement en de Raad van 15 mei 2014 betreffende markten voor financiële instrumenten en tot wijziging van richtlijn nr. 2002/92/EG en richtlijn nr. 2011/61/EU, Pb. L. 12 juni 2014, afl. 173, 349-496.
[29]	Art. 26, eerste lid wet financieel toezicht bepaalt wat er onder gereglementeerde ondernemingen dient te worden verstaan: “1° de Belgische kredietinstellingen en beleggingsondernemingen met uitzondering voor wat de bijkantoren betreft die zij gevestigd hebben in een andere lidstaat van de EER. Artikel 27, § 2, tweede lid, § 3, tweede lid en § 10, is echter wel van toepassing op deze bijkantoren; 2° met uitzondering van artikel 27, § 2, tweede lid, § 3, tweede lid en § 10, de in België gevestigde bijkantoren van kredietinstellingen en beleggingsondernemingen die onder het recht van een lidstaat van de EER ressorteren, voor hun transacties op het Belgisch grondgebied; 3° de in België gevestigde bijkantoren van kredietinstellingen en beleggingsondernemingen die ressorteren onder het recht van derde landen; 4° met uitzondering van de ondernemingen die ressorteren onder het recht van een derde land dat bij ESMA geregistreerd is conform artikelen 46 tot 49 van verordening nr. 600/2014, de kredietinstellingen en beleggingsondernemingen die ressorteren onder het recht van derde landen die rechtsgeldig diensten in België verstrekken, voor hun transacties op het Belgisch grondgebied; 5° de in België gevestigde beheersvennootschappen van instellingen voor collectieve belegging, voor hun beleggingsdiensten als bedoeld in artikel 3, 23° van de wet van 3 augustus 2012 betreffende bepaalde vormen van collectief beheer van beleggingsportefeuilles; 6° de in België gevestigde beheervennootschappen van AICB's, voor hun beleggingsdiensten als bedoeld in artikel 3, 43°, van de wet van 19 april 2014 betreffende de alternatieve instellingen voor collectieve belegging en hun beheerders”.
[30]	Een cliënt is “iedere natuurlijke of rechtspersoon voor wie een beleggingsonderneming of kredietinstelling beleggingsdiensten en/of nevendiensten verricht alsook iedere natuurlijke of rechtspersoon die de afnemer is van andere financiële diensten of van financiële producten als bedoeld in de betrokken bepaling” (zie art. 2, 27° wet financieel toezicht).
[31]	V. Colaert, De rechtsverhouding financiële dienstverlener-belegger, Brugge, die Keure-la Charte, 2011, 455; D. Goens, Data protection bij financiële instellingen, Mortsel, Intersentia, 2018, 515.
[32]	V. Colaert, De rechtsverhouding financiële dienstverlener-belegger, Brugge, die Keure-la Charte, 2011, 455.
[33]	Buiten deze twee categorieën somt art. 2 van de wet van 25 oktober 2016 nog volgende beleggingsdiensten op: het ontvangen en doorgeven van orders met betrekking tot één of meer financiële instrumenten, met inbegrip van het met elkaar in contact brengen van twee of meer beleggers waardoor tussen deze beleggers een verrichting tot stand kan komen, het uitvoeren van orders voor rekening van cliënten, het handelen voor eigen rekening, het overnemen van financiële instrumenten en/of plaatsen van financiële instrumenten met plaatsingsgarantie, het plaatsen van financiële instrumenten zonder plaatsingsgarantie, het uitbaten van multilaterale handelsfaciliteiten, het uitbaten van georganiseerde handelsfaciliteiten (OTF). Indien deze diensten worden verricht, hoeven er geen informatie-inwinningsverplichtingen in acht te worden genomen.
[34]	Art. 2, 9° wet van 25 oktober 2016.
[35]	Art. 2, 10° wet van 25 oktober 2016.
[36]	Deze aanbeveling zorgt ervoor dat ofwel (i) een bepaald financieel instrument wordt gekocht, verkocht, geruild, te gelde gemaakt, gehouden, overgenomen of er wordt daarop ingetekend, ofwel (ii) een aan een bepaald financieel instrument verbonden recht wordt uitgeoefend of juist niet uitgeoefend om een financieel instrument te kopen, te verkopen, te ruilen, te gelde te maken of daarop in te tekenen.
[37]	O. Stevens, “Het begrip beleggingsadvies 'gescreend': Post-versus Pre-MiFID”, RDC-TBH 2013, afl. 7, 646; R. Steennot, “Informatieverplichtingen als beschermingstechniek bij de verwerving van beleggingsdiensten door consumenten” in E. Wymeersch (ed.), Van alle markten. Liber amicorum Eddy Wymeersch, Mortsel, Intersentia, 2008, 786.
[38]	Art. 2, 8° wet van 25 oktober 2016.
[39]	Evenwel binnen de grenzen van de geschiktheidsbeoordeling.
[40]	Zie overw. 80 MiFID II; R. Steennot, “Precontractuele informatieverplichtingen als beschermingstechniek bij de bescherming van de zwakkere partij in het financieel recht” in H. Daems, I. De Meuleneere, R. Feltkamp en R. Steennot (eds.), Bescherming van de consument in het financieel recht - La protection du consommateur en droit financier, Antwerpen-Limal, Intersentia-Anthemis, 2012, 115.
[41]	Gedelegeerde verordening (EU) nr. 2017/565 van de Commissie van 25 april 2016 houdende aanvulling van richtlijn nr. 2014/65/EU van het Europees Parlement en de Raad wat betreft de door beleggingsondernemingen in acht te nemen organisatorische eisen en voorwaarden voor de bedrijfsuitoefening en wat betreft de definitie van begrippen voor de toepassing van genoemde richtlijn (Pb. L. 3 maart 2017, afl. 87, 1-83 (hierna genoemd: MiFID II-uitvoeringsverordening)).
[42]	R. Steennot, “Precontractuele informatieverplichtingen als beschermingstechniek bij de bescherming van de zwakkere partij in het financieel recht” in H. Daems, I. De Meuleneere, R. Feltkamp en R. Steennot (eds.), Bescherming van de consument in het financieel recht - La protection du consommateur en droit financier, Antwerpen-Limal, Intersentia-Anthemis, 2012, 116.
[43]	Art. 54, 10. MiFID II-uitvoeringsverordening.
[44]	Een waarschuwing dat de beoogde belegging niet geschikt is, zal dus niet volstaan. De verantwoordelijkheid in het nemen van de beslissing om een beleggingsdienst al dan niet uit te voeren, rekening houdend met de uitkomst van de geschiktheidstest, ligt dan ook bij de gereglementeerde onderneming en niet bij de cliënt. Zie tevens: R. Steennot, “Precontractuele informatieverplichtingen als beschermingstechniek bij de bescherming van de zwakkere partij in het financieel recht” in H. Daems, I. De Meuleneere, R. Feltkamp en R. Steennot (eds.), Bescherming van de consument in het financieel recht - La protection du consommateur en droit financier, Antwerpen-Limal, Intersentia-Anthemis, 2012, 117; D. Goens, Data protection bij financiële instellingen, Mortsel, Intersentia, 2018, 535; W. Vandevoorde, “De bescherming van de belegger herbekeken. Een commentaar bij enkele institutionele en transactionele innovaties van de Belgische bepalingen tot omzetting van richtlijn 2004/39/EG ('de MIFID-richtlijn') en richtlijn 2006/73/EG”, BFR 2007, nr. 6, 383.
[45]	European Securities and Market Authority, Questions and Answers On MiFID II and MiFIR investor protection and intermediaries topics, 3 October 2018, ESMA35-43-349, online te vinden op: www.esma.europa.eu, vraag 6, p. 32.
[46]	Art. 54, 8. MiFID II-uitvoeringsverordening.
[47]	European Securities and Market Authority, Questions and Answers On MiFID II and MiFIR investor protection and intermediaries topics, 3 oktober 2018, ESMA35-43-349, online te vinden op: www.esma.europa.eu, vraag 7, p. 34-35.
[48]	Het is aan de onderneming om te bepalen of de informatie waarover zij beschikt voldoende is om een geschiktheidsbeoordeling uit te voeren. Zie European Securities and Market Authority, Richtsnoeren met betrekking tot bepaalde aspecten van de MiFID II-geschiktheidseisen, 6 november 2018, ESMA35-43-1163, online te vinden op: www.esma.europa.eu, p. 8-9, nrs. 23 en 29; European Securities and Market Authority, Questions and Answers On MiFID II and MiFIR investor protection and intermediaries topics, 3 oktober 2018, ESMA35-43-349, online te vinden op: www.esma.europa.eu, vraag 7, p. 34-35.
[49]	Zo zal een gereglementeerde onderneming die een order krijgt van de cliënt omtrent een complex financieel product en dit order louter moet uitvoeren, aan de verplichting om een passendheidsbeoordeling uit te voeren, moeten voldoen.
[50]	Art. 27ter, § 3, eerste lid wet financieel toezicht.
[51]	Art. 27ter, § 3, derde en vierde lid wet financieel toezicht.
[52]	Indien gereglementeerde ondernemingen beleggingsdiensten zouden uitvoeren waarbij er louter orders van cliënten worden uitgevoerd of doorgegeven (de zogenaamde execution only-diensten) met betrekking tot niet-complexe financiële instrumenten, dient er evenwel geen informatie ingewonnen te worden om de geschiktheid of passendheid te beoordelen, indien alle wettelijke voorwaarden zijn vervuld (zie art. 27ter, § 5 wet financieel toezicht en overw. 80 MiFID II).
[53]	D. Goens, Data protection bij financiële instellingen, Mortsel, Intersentia, 2018, 531.
[54]	In tegenstelling tot de Belgische wetgeving, staat er in de MiFID II-richtlijn evenwel een discrepantie: waar er in art. 25, 2. MiFID II (betreffende de suitability-test) wordt gesproken over het inwinnen van de nodige informatie met betrekking tot de cliënt, bepaalt art. 25, 3. MiFID II (betreffende de appropriateness-test) dat de onderneming bij de cliënt of de potentiële cliënt informatie dient in te winnen. De manier van informatievergaring zal bij de twee testen op dezelfde manier verlopen (aangezien het deels over dezelfde informatie gaat), waardoor dit naar mijn mening louter als een verschrijving kan aanzien worden.
[55]	Zoals bv. een kredietverlening of het openen van een rekening.
[56]	Zo zal de gereglementeerde onderneming bv. op basis van de antiwitwaswetgeving verplicht zijn om de personen met wie zij een duurzame relatie aangaat, te identificeren en hun identiteit te verifiëren. Indien een persoon aldus een rekening wil openen, dient de onderneming informatie op te vragen met betrekking tot de identiteit van de desbetreffende persoon. Zo moet zij bij een natuurlijke persoon diens naam, voornaam, geboortedatum en -plaats en, in de mate van het mogelijke, diens adres opvragen (zie art. 21 et seq.). Daarnaast dient zij de kenmerken van de cliënt en het doel en de aard van de zakelijke relatie te identificeren (zie art. 34). Zo moet er onder meer informatie gevraagd worden omtrent diens beroeps- of professionele activiteiten, over eventuele andere inkomstenbronnen, omtrent de oorsprong van de door de cliënt aangehouden gelden, omtrent de totale omvang van het vermogen van de cliënt, enz. Art. VII.69, § 1, eerste lid WER inzake het consumentenkrediet vereist dat in het raam van het beoordelen van de kredietwaardigheid de onderneming bij de consument, die om een kredietovereenkomst verzoekt, juiste en volledige informatie dient op te vragen die zij noodzakelijk acht om de financiële toestand en de terugbetalingsmogelijkheden te beoordelen.
[57]	Hier stelt zich de vraag of de informatie waarover de gereglementeerde onderneming reeds bezit, steeds up-to-date zal zijn. In het kader van de antiwitwaswetgeving is de onderneming wel verplicht om een doorlopende waakzaamheid aan de dag te leggen en ervoor te zorgen dat de bijgehouden gegevens actueel worden gehouden (zie art. 35, § 2).
[58]	Dit wordt wel als een verplichting aanzien in de regeling met betrekking tot het inwinnen van informatie in het geval van de beoordeling van de kredietwaardigheid bij het toekennen van een consumentenkrediet; zie art. VII.69 WER: “(…) § 2. De kredietgever of desgevallend de kredietbemiddelaar legt respectievelijk aan de consument en aan de persoonlijke zekerheidssteller een kredietaanvraagformulier of, desgevallend, een informatieaanvraagformulier voor onder de vorm van een vragenlijst met een beschrijving van alle informatie gevraagd door de kredietgever en/of de kredietbemiddelaar overeenkomstig § 1, eerste lid (…).”
[59]	Niet elke gereglementeerde onderneming werkt met dezelfde vragenlijst. Deze vragenlijst zal bij elke onderneming immers afhankelijk zijn van diens productaanbod.
[60]	V. Colaert, De rechtsverhouding financiële dienstverlener-belegger, Brugge, die Keure-la Charte, 2010, 456.
[61]	Art. 55, 3. MiFID II-uitvoeringsverordening. Zie tevens J. Herbst en N.R. Fulbright, A practicioner's guide to MiFID II, 2de editie, Londen, Thomson Reuters, 2017, 144.
[62]	Zonder dat daartoe de verantwoordelijkheid op het verstrekken van alle nodige informatie op de cliënt rust. Zie: European Securities and Markets Authority, Richtsnoeren met betrekking tot bepaalde aspecten van de MiFID II-geschiktheidseisen, 6 november 2018, online te vinden op: www.esma.europa.eu, richtsnoer 4, p. 16, nr. 45; V. Colaert, “De MiFID-geschiktheidsbeoordeling: naar een beter georganiseerde kennis van cliënt én product”, BFR 2012, nr. 5, 260.
[63]	Art. 55, 3. MiFID II-uitvoeringsverordening.
[64]	J. Herbst en N.R. Fulbright, A practicioner's guide to MiFID II, 2de editie, Londen, Thomson Reuters, 2017, 144.
[65]	Of zoals Colaert het stelt, dient de onderneming een soort van marginale controle van de informatie uit te voeren. Zie: V. Colaert, “De MiFID-geschiktheidsbeoordeling: naar een beter georganiseerde kennis van cliënt én product”, BFR 2012, nr. 5, 258.
[66]	V. Colaert, “De impact van MIFID II”, BFW 2018, nr. 1, 33-36.
[67]	Zie art. 54, 7. MiFID II-uitvoeringsverordening. Dit artikel heeft evenwel enkel betrekking op de gereglementeerde ondernemingen die vermogensbeheer of beleggingsadvies verstrekken, waardoor bijgevolg de vraag rijst of de ondernemingen in het kader van andere beleggingsdiensten diezelfde maatregel dienen te nemen. M.i. zal dit wel zo zijn, aangezien de passendheidsbeoordeling die zij in dat geval moeten uitvoeren, ook bestaat uit de toetsing van de kennis en ervaring van de cliënt, waardoor het moeilijk te beargumenteren is dat deze informatie niet minstens even betrouwbaar zou moeten zijn als de informatie die wordt ingewonnen bij de geschiktheidstest.
[68]	De gereglementeerde onderneming zal hierbij waakzaam moeten zijn voor inconsistenties binnen de verschillende gegevenscategorieën die in het kader van de geschiktheids- of passendheidstoets moeten worden opgevraagd (bv. de samenhang tussen kennis en ervaring en de risicobereidheid van een cliënt). Zie European Securities and Markets Authority, Richtsnoeren met betrekking tot bepaalde aspecten van de MiFID II-geschiktheidseisen, 6 november 2018, nr. 74 en nr. 79, online te vinden op: www.esma.europa.eu, richtsnoer 4, p. 17, nr. 50).
[69]	Met interne bronnen worden de gegevens bedoeld die de onderneming reeds bezit doordat de cliënt in het verleden al een relatie is aangegaan met de onderneming: zie supra, randnr. 13.
[70]	Volgens Colaert kan er zelfs van de onderneming een grondiger verificatieonderzoek verwacht worden indien de cliënt een zogenaamde “volledige cliënt” is en aldus reeds een rekening met deposito's aanhoudt bij de gereglementeerde onderneming of een lening is aangegaan aangezien in deze gevallen de onderneming reeds informatie aangaande de cliënt bezit. Maar waar Colaert dit ziet als een verplichting voor de onderneming (“o.i. zal de financiële instelling de door de cliënt verstrekte informatie in dat geval immers moeten toetsen aan de informatie die deze financiële instelling”) bezit op basis van de ruimere relatie met de cliënt, gaat dit volgens mij een stapje te ver, aangezien de verificatie aan de informatie die onderneming reeds bezit, louter een mogelijkheid voor de onderneming vormt en dit dus niet zomaar kan opgelegd worden. Zie: V. Colaert, “De MiFID-geschiktheidsbeoordeling: naar een beter georganiseerde kennis van cliënt én product”, BFR 2012, nr. 5, 260-261.
[71]	Wet van 18 september 2017 tot voorkoming van het witwassen van geld en de financiering van terrorisme en tot beperking van het gebruik van contanten (BS 6 oktober 2017, p. 90.839-90.897).
[72]	Zie vn. 55.
[73]	Bv. door big data te gebruiken, i.e. een grote hoeveelheid data die niet worden aangebracht door de cliënt zelf, maar die de onderneming op eigen houtje vergaard heeft, zoals bv. data uit sociale media-kanalen of het nieuws. Zie voor meer informatie omtrent de inhoud en het gebruik van big data binnen de financiële sector: European Supervisory Authorities (ESAs), Joint Committee Discussion Paper on the Use of Big Data by Financial Institutions, 2016, JC/2016/86, online te vinden op: www.esas-joint-committee.europa.eu, nr. 12, p. 10-11. Zie tevens supra, randnr. 13.
[74]	V. Colaert, “De MiFID-geschiktheidsbeoordeling: naar een beter georganiseerde kennis van cliënt én product”, BFR 2012, nr. 5, 251.
[75]	Elke onderneming is vrij om de test naar keuze in te vullen, afhankelijk van welke methodiek het beste bij haar (bedrijfsmodel) past. Zie European Securities and Markets Authority, Richtsnoeren met betrekking tot bepaalde aspecten van de MiFID II-geschiktheidseisen, 6 november 2018, nr. 74 en nr. 79, online te vinden op: www.esma.europa.eu, richtsnoer 8, p. 24-25.
[76]	De benaming van, het aantal en de soorten profielen zullen verschillen van onderneming tot onderneming. Zie: A. Van De Velde, Inleiding tot het financiewezen, Brugge, die Keure-la Charte, 2012, 722-725.
[77]	S. Deleay, De contractuele verhouding inzake portefeuillebeheer: op de wip tussen MiFID en privaatrecht, Mortsel, Intersentia, 2010, 185.
[78]	Ook al beschrijft ESMA robo-advies als een tool dat rechtstreeks door de cliënt wordt gebruikt (“the automated tool is used directly by the consumer”), kan deze tool ook m.i. rechtstreeks gebruikt worden door de onderneming zelf en hoeft de cliënt daar niet telkens in tussen te komen. European Supervisory Authorities (ESAs), Joint Committee Discussion paper on automation in financial advice, 4 december 2015, JC/2015/080, online te vinden op: www.esas-joint-committee.europa.eu/, nrs. 19-20, 12.
[79]	Autoriteit Financiële markten, Visie op robo-advies. Kansen, zorgplicht en aandachtspunten, 15 maart 2018, online te vinden op: www.afm.nl/nl-nl/professionals, p. 8-9.
[80]	Zie overw. 1 AVG.
[81]	Zie overw. 6 AVG.
[82]	Verordening (EU) nr. 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn nr. 95/46/EG (algemene verordening gegevensbescherming) (Pb. L. 4 mei 2016, afl. 119, 1-88).
[83]	Zie overw. 10 AVG, art. 1 en 2, 1. AVG.
[84]	Naast deze specifieke privacy-risico's, zijn er ook een aantal “MiFID”-risico's. Dergelijke risico's kunnen zich bv. manifesteren doordat robo-advies voor een onjuiste voorspelling of beslissing heeft gezorgd, als gevolg van een verkeerd geprogrammeerd algoritme of van een formule die foutieve, te weinig of te veel informatie in ogenschouw heeft genomen. Volgens de Europese Bankenautoriteit kan het aanwenden van algoritmes zorgen voor arbitraire of foutieve beslissingen in het kader van het toekennen beleggingsinstrumenten, en zelfs in sommige gevallen leiden tot discriminatie en financiële exclusie (zie European Banking Authority, Report on innovative uses of consumer data by financial institutions, 28 juni 2017, online te vinden op: www.eba.europa.eu/, p. 17; European Banking Authority, Report on the prudential risks and opportunities arising for institutions from FinTech, 3 juli 2018, online te vinden op: www.eba.europa.eu/, p. 5-6; Commissie Economische en Monetaire zaken, Verslag over fintech: de invloed van technologie op de toekomst van de financiële sector, 4 april 2017, A8-0176/2017, online te vinden op: www.europarl.europa.eu/portal/nl, p. 13; C. O'Neil, Weapons of Math Destruction: How Big Data Increases Inequality and Threatens Democracy, New York, Crown Publishers, 2016, 117 et seq.; Financial Stability Board, Artificial intelligence and machine learning in financial services: Market developments and financial stability implications, 1 november 2017, online te vinden op: www.fsb.org, p. 38; European Banking Authority, Report on the prudential risks and opportunities arising for institutions from FinTech, 3 juli 2018, online te vinden op: www.eba.europa.eu/, p. 21). Hierdoor bestaat de kans dat er bepaalde beleggingsinstrumenten worden geweigerd aan cliënten die daar bv. wel voor in aanmerking komen of dat verkeerde producten (bv. risicovolle producten) worden aangeboden (bv. aan cliënten met een defensief beleggersprofiel) (zie Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, WP 251, 3 oktober 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 5-6). Indien dit het geval is, zullen er zich ook vragen aangaande de aansprakelijkheid(sverdeling) stellen. Op deze aansprakelijkheidsproblematiek wordt echter in dit artikel niet verder ingegaan.
[85]	Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, WP 251, 3 oktober 2017, 6, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl); Groep Gegevensbescherming Artikel 29, Opinion 03/2013 on purpose limitation, WP 203, 2 april 2013, 47.
[86]	Dit geldt nog meer specifiek voor algoritmes die worden gecreëerd in het kader van machine learning en artificial intelligence, wegens hun “black box”-karakter. Dergelijk “black box”-fenomeen zal zich voordoen wanneer geen enkele persoon (ook niet de producent van het algoritme) weet hoe en waarom een algoritme tot een bepaalde beslissing en/of actie is gekomen (zie European Banking Authority, Report on the prudential risks and opportunities arising for institutions from FinTech, 3 juli 2018, online te vinden op: www.eba.europa.eu/, p. 26).
[87]	Financial Stability Board, Artificial intelligence and machine learning in financial services: Market developments and financial stability implications, 1 november 2017, www.fsb.org/wp-content/uploads/P011117.pdf, 13, 27.
[88]	European Banking Authority, Report on innovative uses of consumer data by financial institutions, 28 juni 2017, online te vinden op: www.eba.europa.eu/, p. 17; European Banking Authority, Report on the prudential risks and opportunities arising for institutions from FinTech, 3 juli 2018, online te vinden op: www.eba.europa.eu/, p. 5-6; Commissie Economische en Monetaire zaken, Verslag over fintech: de invloed van technologie op de toekomst van de financiële sector, 4 april 2017, A8-0176/2017, online te vinden op: www.europarl.europa.eu/portal/nl, p. 13; C. O'Neil, Weapons of Math Destruction: How Big Data Increases Inequality and Threatens Democracy, New York, Crown Publishers, 2016, 117 et seq.; Financial Stability Board, Artificial intelligence and machine learning in financial services: Market developments and financial stability implications, 1 november 2017, online te vinden op: www.fsb.org, p. 38; European Banking Authority, Report on the prudential risks and opportunities arising for institutions from FinTech, 3 juli 2018, online te vinden op: www.eba.europa.eu/, p. 21.
[89]	Zie overw. 14 AVG.
[90]	Zie overw. 14 en 27 AVG.
[91]	Art. 4, 1) AVG.
[92]	Art. 4, 2) AVG.
[93]	Art. 5, 1. AVG.
[94]	Evenwel kunnen deze algemenere bepalingen een invloed uitoefenen op de interpretatie van art. 22; zie infra, “3.2. Artikel 22 van de algemene verordening gegevensbescherming”.
[95]	Richtlijn nr. 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens (Pb. L. 23 november 1995, afl. 281, 31-50).
[96]	Art. 15 werd omgezet in Belgisch recht (art. 12bis wet verwerking persoonsgegevens, hierna genoemd: “WVP” of “de privacywet”). Art. 12bis WVP bepaalt het volgende: “Een besluit waaraan voor een persoon rechtsgevolgen verbonden zijn of dat hem in aanmerkelijke mate treft, mag niet louter worden genomen op grond van een geautomatiseerde gegevensverwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid te evalueren. Het in het eerste lid vastgestelde verbod geldt niet indien het besluit wordt genomen in het kader van een overeenkomst of zijn grondslag vindt in een bepaling voorgeschreven door of krachtens een wet, decreet of ordonnantie. In die overeenkomst of in die bepaling moeten passende maatregelen zijn genomen ter bescherming van de gerechtvaardigde belangen van de betrokkene. Minstens moet hem de mogelijkheid geboden worden om op nuttige wijze zijn standpunt naar voor te brengen.”
[97]	In deze bijdrage zal er af en toe verwezen worden naar art. 15 richtlijn nr. 95/46/EG en art. 12bis WVP.
[98]	Zo zijn de uitzonderingsgronden niet helemaal hetzelfde: waar in art. 22 AVG het besluit noodzakelijk dient te zijn voor de uitvoering of de totstandkoming van de overeenkomst, dient in art. 15 het besluit gewoon genomen te worden in het kader van het sluiten of het uitvoeren van de overeenkomst (voor een uitgebreidere toelichting hieromtrent, zie infra, randnrs. 32-33). Tevens kon de verwerkingsverantwoordelijke zijn geautomatiseerde beslissing niet verantwoorden op basis van de uitdrukkelijke toestemming van de betrokkene, wat nu wel een mogelijkheid is. Ook werd het begrip profilering toegevoegd en in de verordening verder verduidelijkt.
[99]	Wanneer een van deze uitzonderingen van toepassing zou zijn, dient de verwerkingsverantwoordelijke in dat geval passende maatregelen te nemen ter bescherming van de rechten en vrijheden en de gerechtvaardigde belangen van de betrokkene. Tenminste moet de betrokkene het recht hebben op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht hebben om zijn standpunt kenbaar te maken en het recht hebben om het besluit aan te vechten.
[100]	Deze opvatting wordt ook bevestigd in de richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering die zijn opgesteld door de Groep Gegevensbescherming Artikel 29. Deze werkgroep werd opgericht op grond van art. 29 van de richtlijn nr. 95/46/EG en is een onafhankelijk Europees adviesorgaan inzake gegevensbescherming en de persoonlijke levenssfeer die tot 25 mei 2018 (de datum van inwerkingtreding van de algemene verordening gegevensbescherming (AVG)) verantwoordelijk was voor de behandeling van kwesties in verband met de bescherming van de persoonlijke levenssfeer en van persoonsgegevens. In deze bijdrage zal er regelmatig naar deze werkgroep verwezen worden onder de term “Groep Artikel 29”. Deze adviesinstantie is trouwens opgevolgd door het Europees Comité voor gegevensbescherming of het European Data Protection Board (afgekort als “EDPB”). Zie overigens Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, WP 251, 3 oktober 2017, 43-44, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl).
[101]	Overw. 71: “(….) Besluitvorming op basis van een dergelijke verwerking, met inbegrip van profilering, dient echter wel mogelijk te zijn wanneer deze uitdrukkelijk is toegestaan bij Unierecht of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is (…), of noodzakelijk voor de sluiting of uitvoering van een overeenkomst tussen de betrokkene en een verwerkingsverantwoordelijke, of wanneer de betrokkene zijn uitdrukkelijke toestemming heeft gegeven (…).”
[102]	“De betrokkene heeft te allen tijde het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens (…)”
[103]	Art. 21, 4. AVG: “Het in de leden 1 en 2 bedoelde recht wordt uiterlijk op het moment van het eerste contact met de betrokkene uitdrukkelijk onder de aandacht van de betrokkene gebracht en duidelijk en gescheiden van enige andere informatie weergegeven.”
[104]	Zie tevens Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, WP 251, 3 oktober 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 43-44.
[105]	Deze zienswijze stemt ook veel beter overeen met de ratio legis van de verordening, namelijk het garanderen van een hoog niveau van bescherming van natuurlijke personen bij de verwerking van hun persoonsgegevens, zeker in de huidige tijden van technologische ontwikkelingen en globalisering waarbij de mate waarin persoonsgegevens worden verzameld, gedeeld en verwerkt op significante wijze is gestegen (zie overw. 1, 3, 6, en 71 AVG en supra, randnr. 17). Indien we bovendien louter naar Belgische bodem zouden kijken, zal deze discussie weinig inhoud hebben. Art. 12bis WVP omvatte immers reeds een principieel verbod om natuurlijke personen te onderwerpen aan geautomatiseerde individuele besluiten. Dit artikel bepaalde dat een besluit waaraan voor een persoon rechtsgevolgen verbonden zijn of dat hem in aanmerkelijke mate treft, niet louter mag worden genomen op grond van een geautomatiseerde gegevensverwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid te evalueren. Het zou vreemd aanvoelen indien er in de Belgische regulering van dergelijk verbod plots geen sprake meer zou zijn. Zie D. De Bot, Verwerking van persoonsgegevens, Antwerpen, Kluwer, 2001, 219.
[106]	In het licht van deze bijdrage is het tevens interessant om aan te geven dat er sprake is van profilering wanneer dit gebaseerd is op een niet-uitsluitend geautomatiseerde verwerking. Indien er een geautomatiseerde verwerking en evaluatie plaatsvindt van bepaalde persoonlijke aspecten van de betrokkene maar dit gepaard gaat met menselijke tussenkomst, zal deze activiteit nog steeds onder de term “profilering” kunnen vallen. Art. 22 AVG zal daarentegen enkel van toepassing zijn indien het gaat over een uitsluitend geautomatiseerde profilering. Art. 22 AVG verbiedt profilering an sich dus niet, maar in dit geval kan de betrokkene, die voorwerp is van profilering die niet onder art. 22 AVG zou vallen, steeds zijn recht van bezwaar uitoefenen zoals bepaald in art. 21.
[107]	Indien de verwerkingsverantwoordelijke personen bv. enkel en alleen vanwege statistische doeleinden in bepaalde categorieën of profielen onderverdeelt (bv. een bedrijf klasseert zijn klanten op basis van het geslacht zonder daar iets concreets mee te doen), zal deze activiteit niet als profilering kunnen worden aanzien omdat het bedrijf het heeft nagelaten een beoordeling te doen van de persoon. Wanneer een bedrijf daarentegen zijn klanten klasseert op basis van hun geslacht en leeftijd met als doel om de aanbiedingen te differentiëren per categorie, zal er wel sprake zijn van profilering (zie Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, WP 251, 3 oktober 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 7).
[108]	Zie supra, vn. 99.
[109]	Zie Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, WP 251, 3 oktober 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 8; Raad van Europa, The protection of individuals with regard to automatic processing of personal data in the context of profiling, Recommendation CM/Rec (2010)13 and explanatory memorandum, 23 november 2010, online te vinden op: www.coe.int/en/web/portal/home, p. 25; D. Goens, Data protection bij financiële instellingen, Mortsel, Intersentia, 2018, 294-295; D. Verhaeghe, “(Data) privacy waarborgen bij toepassing van 'Big Data', 'Data mining' en 'profilering' in de financiële sector”, BFW 2016, nr. 2, 153; I. Mendoza en L.A. Bygrave, “The Right Not to Be Subject to Automated Decisions Based on Profiling” in T. Synodinou, P. Jougleux, C. Markou en T. Prastitou (eds.), EU Internet Law: Regulation and Enforcement, Zwitserland (Cham), Springer, 2017, 77.
[110]	Wanneer de onderneming bv. een categorie “Rijke cliënten” opstelt op basis van hun maandloon en hun activa, zal dit een objectief selectieproces vormen dat geen foutenmarge zal inhouden en dus ook geen profileringstechniek inhouden.
[111]	Raad van Europa, The protection of individuals with regard to automatic processing of personal data in the context of profiling, Recommendation CM/Rec (2010)13 and explanatory memorandum, 23 november 2010, online te vinden op: www.coe.int/en/web/portal/home, p. 25-26; D. Goens, Data protection bij financiële instellingen, Mortsel, Intersentia, 2018, 294-295.
[112]	Ofwel tijdens het aanbieden van beleggingsdiensten, ofwel tijdens het aanbieden van andere diensten, zoals het openen van een rekening of het aanvragen van een krediet.
[113]	Dit in tegenstelling tot de situatie waarin een gereglementeerde onderneming met zogenaamde “kredietscores” gaat werken die aan bepaalde cliënten worden toegewezen afhankelijk van hun bekwaamheid om al dan niet een toegekend krediet terug te betalen. Hierbij zal de onderneming een grote hoeveelheid aan data aangaande goede en slechte betalers analyseren om de individuele kenmerken te identificeren die correleren met de terugbetalingscapaciteit. De onderneming zal dan alvorens het krediet toe te kennen, neutrale vragen stellen op basis waarvan het mogelijk is om de waarschijnlijkheid te berekenen dat een bepaald individu de kredietovereenkomst wel of niet naar behoren zal honoreren. Dit gebeuren zal steeds met een zeker foutenmarge gepaard gaan. Zie Raad van Europa, The protection of individuals with regard to automatic processing of personal data in the context of profiling, Recommendation CM/Rec (2010)13 and explanatory memorandum, 23 november 2010, online te vinden op: www.coe.int/en/web/portal/home, p. 26.
[114]	We dienen in dit kader voor ogen te houden dat de bewoording “waaronder profilering” in art. 22 AVG verwijst naar het feit dat profilering een deel kan vormen van de geautomatiseerde besluitvorming. Zo kan het bv. zijn dat een geautomatiseerd besluit op profilering gesteund is. Dit betekent dus niet dat geautomatiseerde besluitvorming zonder profilering niet onder art. 22 AVG zou kunnen vallen. Profilering kan bijgevolg niet als een soort toepassingsvoorwaarde beschouwd worden. Door de bewoording in overw. 71 zou dit evenwel anders kunnen geïnterpreteerd worden. In deze overweging wordt er immers gesteld dat een louter geautomatiseerde verwerking “profilering omvat”. Dit kan suggereren dat profilering als een noodzakelijke voorwaarde wordt gezien. In die zin kan er in het licht van art. 22 AVG enkel sprake zijn van geautomatiseerde verwerking wanneer dit gepaard gaat met profilering en wanneer er dus persoonlijke aspecten van de betrokkene worden geëvalueerd met het oog op het maken van bepaalde analyses en/of voorspellingen. Maar waarom zou de titel van art. 22 AVG de woorden “Geautomatiseerde besluitvorming, waaronder profilering” omvatten en niet gewoon “Besluiten gebaseerd op profilering”? Bovendien sluit de opvatting dat zowel de besluiten die gebaseerd zijn op profilering als de besluiten die gebaseerd zijn op geautomatiseerde verwerking onder art. 22 AVG dienen omvat te worden, beter aan bij de ratio legis van de algemene verordening gegevensbescherming. Ten slotte bespreekt de werkgroep zowel geautomatiseerde verwerking áls profilering in zijn richtsnoeren aangaande art. 22 AVG (Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, WP 251, 3 oktober 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 9). Mendoza en Bygrave pleiten echter om profilering wel als noodzakelijke voorwaarde te beschouwen. Zij gaan er van uit dat indien we deze piste niet volgen, vrijwel alle geautomatiseerde beslissingen die betrekking hebben op een persoon binnen het bereik van het artikel vallen, zoals bv. de weigering van een geldautomaat om aan een poging tot het opvragen van contant geld te voldoen. Bovendien benadrukken zij ook dat de voorbereidende werkzaamheden van de verordening zich steeds richten op de schade toegebracht door profilering en niet geautomatiseerde beslissingen. Voor hen is het dus het meest logisch om profilering als een noodzakelijke voorwaarde te beschouwen. Indien men akkoord gaat met deze denkwijze, samen met de invulling die door de Raad van Europa aan het concept profilering wordt gegeven (zie supra, randnr. 24), krijgt art. 22 AVG wel heel erg nauwe toepassing, iets wat volgens mij niet strookt met de bedoeling van de wetgever. Zie hieromtrent I. Mendoza en L.A. Bygrave, “The Right Not to Be Subject to Automated Decisions Based on Profiling” in T. Synodinou, P. Jougleux, C. Markou en T. Prastitou (eds.), EU Internet Law: Regulation and Enforcement, Zwitserland (Cham), Springer, 2017, 90-91.
[115]	Een geautomatiseerd besluit kan bv. het resultaat zijn van profilering.
[116]	Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, WP 251, 3 oktober 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 7.
[117]	Zie infra, 3.2.3. Besluiten die rechtsgevolgen teweeg brengen of die een betrokkene anderszins in aanmerkelijke mate treffen.
[118]	Zie infra, randnr. 27.
[119]	Zie infra, 3.2.4. Uitzonderingen.
[120]	Groep Artikel 29 stelt dat geautomatiseerde besluiten op elk type gegevens kunnen gebaseerd zijn. Zij hebben evenwel voor deze ietwat ongelukkige formulering gekozen, aangezien het precies overkomt alsof elke geautomatiseerde verwerking van alle soorten gegevens, en niet louter de geautomatiseerde verwerking van persoonsgegevens, onder art. 22 AVG zou vallen. Dit is wellicht nooit de bedoeling geweest van de werkgroep, gezien het materieel toepassingsgebied, zoals bepaald in 3, 1. van het AVG, de verwerking van persoonsgegevens betreft. Het zou vreemd overkomen indien art. 22 AVG dan ook verwerkingen van andere gegevens dan persoonsgegevens betreft. Bovendien haalt de werkgroep de volgende voorbeelden aan die onder het concept “elk type gegevens” kunnen vallen: gegevens die door de betrokkene zijn verstrekt in het kader van de desbetreffende dienst, gegevens over de betrokkene waarover de instelling reeds beschikte en die zijn geregistreerd in hun eigen databank en afgeleide gegevens (zoals een profiel dat reeds over de betrokkene is gemaakt). In elk van deze voorbeelden gaat het over persoonsgegevens, waaruit we kunnen afleiden dat de werkgroep waarschijnlijk doelde op de manier waarop gegevens zijn bekomen en niet de soort gegevens waarover de gegevensverwerking beschikt. Zie Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, WP 251, 3 oktober 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 9.
[121]	Zie overw. 71: “De betrokkene dient het recht te hebben niet te worden onderworpen aan een louter op geautomatiseerde verwerking gebaseerd besluit, dat een maatregel kan behelzen - over persoonlijke hem betreffende aspecten.” (eigen benadrukking).
[122]	Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, WP 251, 3 oktober 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 25; I. Mendoza en L.A. Bygrave, “The Right Not to Be Subject to Automated Decisions Based on Profiling” in T. Synodinou, P. Jougleux, C. Markou en T. Prastitou (eds.), EU Internet Law: Regulation and Enforcement, Zwitserland (Cham), Springer, 2017, 87.
[123]	Commission of the European Communities, Amended proposal for a Council Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data, COM(92) 422 final, SYN 287, 15 oktober 1992, p. 26: “The decision must be taken solely by automatic processing: what is prohibited is the strict application by the user of the results produced by the system” (eigen benadrukking). Zie ook European Commission, Staff Working Paper - Impact Assessment, Accompanying the document: Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) and Directive of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data, SEC(2012) 72 final, 25 januari 2012, p. 24: “This safeguard only applies to decisions based 'solely' on automated processing so that there is a risk that it is easily circumvented by including a merely formal human intervention in the decision process which has no influence on its outcome” (eigen benadrukking).
[124]	Het geval waar iemand routineus bepaalde geautomatiseerde profielen classificeert, zonder het resultaat daarvan daadwerkelijk te beïnvloeden, zal nog steeds onder de bepaling vallen en gekwalificeerd worden als een uitsluitend op geautomatiseerde verwerking gebaseerd besluit. Zie Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, WP 251, 3 oktober 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 25; I. Mendoza en L.A. Bygrave, “The Right Not to Be Subject to Automated Decisions Based on Profiling” in T. Synodinou, P. Jougleux, C. Markou en T. Prastitou (eds.), EU Internet Law: Regulation and Enforcement, Zwitserland (Cham), Springer, 2017, 87.
[125]	Zie supra, vn. 99.
[126]	Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, WP 251, 3 oktober 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 25.
[127]	I. Mendoza en L.A. Bygrave, “The Right Not to Be Subject to Automated Decisions Based on Profiling” in T. Synodinou, P. Jougleux, C. Markou en T. Prastitou (eds.), EU Internet Law: Regulation and Enforcement, Zwitserland (Cham), Springer, 2017, 87.
[128]	Art. 22 AVG zorgt er dus voor dat de mens niet te veel gewicht hecht aan de door een machine geproduceerde resultaten door dit als een objectief en onweerlegbaar gegeven te zien. Zie Commission of the European Communities, Amended proposal for a Council Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data, COM(92) 422 final, SYN 287, 15 oktober 1992, p. 26: “Data processing may provide an aid to decision-making, but it cannot be the end of the matter; human judgment must have its place. It would be contrary to this principle, for example, for an employer to reject an application from a job-seeker on the sole basis of his results in a computerized psychological evaluation, or to use such assessment software to produce lists giving marks and classing job applicants in order of preference on the sole basis of a test of personality.” (eigen benadrukking).
[129]	Ook de werknemer die de cliënt ondervraagt en de verkregen informatie louter capteert, zonder daarover een waardeoordeel te vellen, zal geen daadwerkelijke menselijke tussenkomst hebben uitgeoefend.
[130]	Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, WP 251, 3 oktober 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 25.
[131]	D. Goens, Data protection bij financiële instellingen, Mortsel, Intersentia, 2018, 303. Dit betekent dat de gereglementeerde onderneming gegevens van haar cliënten op volledig geautomatiseerde wijze kan verwerken (mits rekening te houden met de algemene vereisten die door de verordening worden opgelegd) zonder zich te hoeven te houden aan de bepalingen vervat in art. 22, wanneer zij op basis van die verwerking geen eigenlijke besluiten neemt.
[132]	Dit stemt niet meer overeen met wat de Raad van Europa in zijn aanbeveling over profilering, die als basis diende voor het initiële voorstel voor een algemene verordening gegevensbescherming, had bepaald (zie voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), 25 januari 2012, COM(2012) 11 final, 2012/0011, meer bepaald p. 10). Deze aanbeveling stelde dat het verbod toepassing dient te vinden op de profilering zelf en niet op het (eind)doel waarvoor de profilering wordt gebruikt (“Principle 3.4 deals with the applicability of general lawfulness requirements to the profiling process. It should be noted that Principle 3.4 applies to the profiling process as such and not to the purpose for which the process is being used” (eigen benadrukking); zie Raad van Europa, The protection of individuals with regard to automatic processing of personal data in the context of profiling, Recommendation CM/Rec (2010)13 and explanatory memorandum, 23 november 2010, online te vinden op: www.coe.int/en/web/portal/home, p. 43). Art. 20 van het initiële voorstel van het Europees Parlement en de Raad betreffende de algemene verordening gegevensbescherming aangaande het verbod van profilering sprak dan ook over een maatregel en niet over een besluit. Men dient wel voor ogen te houden dat art. 20 van het voorstel tot de AVG enkel maatregelen betreft die gebaseerd zijn op profilering (“geautomatiseerde verwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid te evalueren of om met name zijn beroepsprestaties, economische situatie, verblijfplaats, gezondheid, persoonlijke voorkeuren, betrouwbaarheid of gedrag te analyseren of te voorspellen”). Art. 22 AVG gaat op dat vlak een stuk verder aangezien - zoals hierboven reeds gestipuleerd - dit artikel zijn toepassing vindt op geautomatiseerde besluiten, ook al zou er daartoe geen profilering aan te pas gekomen zijn (art. 20 voorstel AVG: “Iedere natuurlijke persoon heeft het recht niet te worden onderworpen aan een maatregel waaraan voor hem rechtsgevolgen zijn verbonden of die hem in aanmerkelijke mate treft en die louter wordt genomen op grond van een geautomatiseerde verwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid te evalueren of om met name zijn beroepsprestaties, economische situatie, verblijfplaats, gezondheid, persoonlijke voorkeuren, betrouwbaarheid of gedrag te analyseren of te voorspellen” (eigen benadrukking)).
[133]	R. Leenes, R. van Brakel, S. Gutwirth en P. De Hert, Data protection and privacy: the age of intelligent machines, Oxford, Hart Publishing, 2017, 98.
[134]	L.A. Bygrave, “Automated profiling: minding the machine: article 15 of the EC Data Protection Directive and automated profiling”, Computer Law & Security report 2001, Vol. 17, nr. 1, 18-19.
[135]	Dergelijke houding, mening of opvatting kan van allerlei aard zijn. Het kan bv. eisen dat de persoon een bepaalde actie uitvoert of eisen dat deze zich niet op een bepaalde manier mag gedragen. Of het kan ertoe leiden dat een bepaald verzoek van de desbetreffende persoon niet wordt toegekend. Het kan er zelfs toe leiden dat er een actie wordt ondernomen die de persoon kan beïnvloeden zonder dat deze daar kennis van heeft.
[136]	L.A. Bygrave, “Automated profiling: minding the machine: article 15 of the EC Data Protection Directive and automated profiling”, Computer Law & Security report 2001, Vol. 17, nr. 1, 19; I. Mendoza en L.A. Bygrave, “The Right Not to Be Subject to Automated Decisions Based on Profiling” in T. Synodinou, P. Jougleux, C. Markou en T. Prastitou (eds.), EU Internet Law: Regulation and Enforcement, Zwitserland (Cham), Springer, 2017, 87.
[137]	De vraag die men zich hierbij kan stellen is wat de precieze praktische relevantie is van deze redenering en aldus of dergelijk beleggersprofiel zonder dat er daartoe een besluit is genomen, een bepaalde (positieve of negatieve) impact kan of zal hebben op de betrokkene en of dit kan aanzien worden als een lacune in de wetgeving.
[138]	Of over te weinig informatie beschikt om deze oefening op een adequate manier te maken.
[139]	Of over het feit dat zij over te weinig informatie beschikt om in staat te zijn een duidelijk oordeel te vellen over het al dan niet passend karakter.
[140]	Zoals bv. een beslissing die ervoor zorgt dat een overeenkomst wordt beëindigd of een besluit waarbij een recht op een wettelijke sociale uitkering wordt geweigerd. Zie Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, WP 251, 25 oktober 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 25.
[141]	Rechtsleer pro privaatrechtelijke werking: M. Tison, “The civil law effects of MiFID in a comparative law perspective” in S. Grundmann, B. Haar en H. Merkt (eds.), Unternehmen, Markt und Verantwortung. Festschrift für Klaus J. Hopt zum 70. Geburtstag am 24. August 2010, Berlijn, de Gruyter, 2010, 2624. Rechtsleer contra privaatrechtelijke werking: E. Vandendriessche, Investor Losses: A comparative legal analysis of causation and assessment of damages in investor litigation, Antwerp, Intersentia, 2015, 103-106; O. Eloot en H. Tilley,“Beleggersbescherming in MiFID II en MiFIR. Een overzicht en toetsing van enkele recente nationale beleggersbeschermende maatregelen”, DBF 2014, 200; M. Kruithof, “De privaatrechtelijke werking van de MiFID 2004-gedragsregels: een analyse van de mate waarin zij de wederzijdse rechten en plichten van dienstverlener en cliënt kunnen aanvullen en beperken” in Instituut Financieel Recht (ed.), Financiële regulering in de kering, Antwerpen, Intersentia, 2012, (273) 303-307.
[142]	Gent 11 januari 2016, NJW 2017, 605; Kh. Brussel 2 maart 2011, RDC-TBH 2012, afl. 4, 378-384; S. Dejonghe, “De aansprakelijkheid van de vermogensbeheerder” (noot onder Kh. Gent 28 november 2000), Bank Fin.R. 2001, 191.
[143]	Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, WP 251, 3 oktober 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 25. Zie tevens: www.ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my- rights/can-i-be-subject-automated-individual-decision-making-including-profiling_nl (laatst geraadpleegd op 17 juli 2019).
[144]	Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, WP 251, 3 oktober 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 25; I. Mendoza en L.A. Bygrave, “The Right Not to Be Subject to Automated Decisions Based on Profiling” in T. Synodinou, P. Jougleux, C. Markou en T. Prastitou (eds.), EU Internet Law: Regulation and Enforcement, Zwitserland (Cham), Springer, 2017, 89.
[145]	I. Mendoza en L.A. Bygrave, “The Right Not to Be Subject to Automated Decisions Based on Profiling” in T. Synodinou, P. Jougleux, C. Markou en T. Prastitou (eds.), EU Internet Law: Regulation and Enforcement, Zwitserland (Cham), Springer, 2017, 88.
[146]	Zoals bv. een besluit dat er voor zorgt dat een bepaald krediet niet wordt toegekend of een besluit dat wordt genomen waardoor een bepaald persoon de functie waarvoor hij gesolliciteerd heeft niet verkrijgt. Zie Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, WP 251, 3 oktober 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 25.
[147]	Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, WP 251, 3 oktober 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 25. Bygrave en Mendoza halen in deze context aan dat beslissingen met negatieve gevolgen sneller kunnen beschouwd worden als besluiten die de betrokkene in aanzienlijke mate treffen (zie I. Mendoza en L.A. Bygrave, “The Right Not to Be Subject to Automated Decisions Based on Profiling” in T. Synodinou, P. Jougleux, C. Markou en T. Prastitou (eds.), EU Internet Law: Regulation and Enforcement, Zwitserland (Cham), Springer, 2017, 88). Hoewel er in die uitspraak zeker een deel waarheid verscholen zit, mag er m.i. geen verschil worden gemaakt tussen beleggingsdiensten die een positief effect hebben op de betrokkene en beleggingsdiensten die eerder, al dan niet kortstondig, een negatieve impact hebben op de betrokkene. Het doel van de verordening bestaat er immers in om misbruik van de persoonsgegevens in de kiem te smoren, ongeacht of de beslissing die uit de verwerking van persoonsgegevens een negatieve dan wel een positieve invloed heeft op de betrokkene. L.A. Bygrave, “Automated profiling: minding the machine: article 15 of the EC Data Protection Directive and automated profiling”, Computer Law & Security report 2001, Vol. 17, nr. 1, 18-19.
[148]	Dit wordt als voorbeeld aangehaald door de Groep Gegevensbescherming; zie Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, WP 251, 3 oktober 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 26.
[149]	De verordening haalt in overw. 71 een weigering van een lening aan als voorbeeld van een gevolg dat de betrokkene op aanmerkelijk wijze treft. Zie tevens D. Goens, Data protection bij financiële instellingen, Mortsel, Intersentia, 2018, 304, vn. 1563.
[150]	Zo kan de cliënt eventueel een potentieel verlies lijden, doordat hij niet in het desbetreffende product heeft kunnen beleggen of in een ander financieel instrument heeft moeten beleggen dat hem minder winst heeft opgebracht.
[151]	Deze noodzakelijkheidsvereiste is ook vervat in art. 6, 1., b) AVG, waarin de algemene rechtsgronden voor verwerking worden bepaald (“de rechtmatigheid van de verwerking”): “de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen”.
[152]	Hoewel deze contractuele uitzondering reeds onder de vroegere privacyrichtlijn bestond, heeft art. 22 AVG een belangrijke wijziging ingevoerd door het woord “noodzakelijk” toe te voegen. Waar het vroeger geen probleem was om aan geautomatiseerde besluitvorming te doen indien dit gewoonweg in het kader van de uitvoering van een overeenkomst gebeurde, zal de gegevensverwerker zich nu een stuk meer moeten verantwoorden en dienen te onderbouwen waarom de geautomatiseerde besluiten die zij nemen precies noodzakelijk zijn voor het sluiten of het uitvoeren van de overeenkomst.
[153]	Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679, WP 259, 28 november 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 9.
[154]	Groep Gegevensbescherming Artikel 29, Advies 06/2014 over het begrip “gerechtvaardigd belang van de voor de gegevensverwerking verantwoordelijke” in artikel 7 van Richtlijn 95/46/EG, WP 217, 9 april 2014, 20-21, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl.
[155]	Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, WP 251, 3 oktober 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 27-28.
[156]	Zie supra, randnr. 14 aangaande de risico's die gepaard gaan met de geautomatiseerde verwerking van persoonsgegevens.
[157]	Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, WP 251, 3 oktober 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 27-28.
[158]	Zoals bv. bepaalde FinTech-spelers.
[159]	Zie tevens hieromtrent D. Goens, Data protection bij financiële instellingen, Mortsel, Intersentia, 2018, 469-470.
[160]	Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679, WP 259, 28 november 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 20.
[161]	Art. 7, 1. AVG: “Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.”
[162]	Zie art. 4, 11. AVG.
[163]	Zie tevens: www.gegevensbeschermingsautoriteit.be/wat-zijn-de-voorwaarden-voor-een-geldige-toestemming (laatst geraadpleegd op 23 april 2019).
[164]	Zie overw. 42 en 43 AVG.
[165]	Dit zal bv. het geval zijn wanneer de verwerkingsverantwoordelijke een overheidsinstantie is of de werkgever van de betrokkene is.
[166]	Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679, WP 259, 28 november 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 12.
[167]	Er is dus een sterke link tussen de toestemmings- en de noodzakelijkheidsuitzondering. Voor meer informatie omtrent de beoordeling van de noodzakelijkheid van de verwerking: zie supra, randnrs. 32-33.
[168]	Zie art. 7, 4. AVG dat stelt dat bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, er onder meer rekening moet worden gehouden met de vraag of voor de uitvoering van een overeenkomst toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst. Zie hieromtrent ook overw. 43 AVG.
[169]	Er mag dus geen sprake zijn van een situatie waarin de uitvoering van de overeenkomst wordt “gekoppeld” aan de toestemming voor de verwerking die niet nodig is voor de uitvoering van de overeenkomst; zie Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679, WP 259, 28 november 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 8.
[170]	Wanneer het gebruik van applicatie bv. afhankelijk is van het geven van de toestemming om diens gegevens te verwerken voor commerciële doeleinden, zal die toestemming niet geacht worden vrijelijk te zijn gegeven. Zie ook Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679, WP 259, november 2017, 6, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 28.
[171]	De zogenaamde “take it or leave it”-situaties; zie I. Mendoza en L.A. Bygrave, “The Right Not to Be Subject to Automated Decisions Based on Profiling” in T. Synodinou, P. Jougleux, C. Markou en T. Prastitou (eds.), EU Internet Law: Regulation and Enforcement, Zwitserland (Cham), Springer, 2017, 94.
[172]	Indien men tot het besluit zou komen dat wanneer een onderneming haar businessmodel er in bestaat om louter uitsluitend online geautomatiseerd advies of beheer te verrichten, de geautomatiseerde verwerking als noodzakelijk beschouwd wordt voor het doel van de overeenkomst (zie supra, randnr. 33), dan zal de toestemming wel steeds als “vrij” worden beschouwd. Deze vaststelling zal echter in deze situatie enkel maar een conceptueel belang vertonen, aangezien de onderneming zich aldus zal baseren op de noodzakelijkheidsuitzondering en niet op deze uitzondering aangaande de uitdrukkelijke toestemming.
[173]	Art. 5, 1., b) AVG.
[174]	De verwerkingsverantwoordelijke kan dus niet van de betrokkene verlangen dat zij toestemming geeft voor een pakket verwerkingsdoeleinden; zie Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679, WP 259, 28 november 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 11.
[175]	D. De Bot, “De gevolgen van de Algemene Verordening Gegevensbescherming voor de verzekeringssector. Enkele kritische bedenkingen”, T.Verz. 2016, afl. 2, 139.
[176]	Zie overw. 32 AVG.
[177]	D. De Bot, Verwerking van persoonsgegevens, Antwerpen, Kluwer, 2001, 60; D. De Bot,“De gevolgen van de Algemene Verordening Gegevensbescherming voor de verzekeringssector. Enkele kritische bedenkingen”, T.Verz. 2016, afl. 2, 139; Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679, WP 259, 28 november 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 14-15.
[178]	Zie overw. 42 AVG: “Opdat toestemming met kennis van zaken wordt gegeven, moet de betrokkene ten minste bekend zijn met de identiteit van de verwerkingsverantwoordelijke (…)”
[179]	Zie overw. 42 AVG: “Opdat toestemming met kennis van zaken wordt gegeven, moet de betrokkene ten minste bekend zijn met (…) de doeleinden van de verwerking van de persoonsgegevens.”
[180]	Zie art. 7, 3. AVG: “De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. (…) Alvorens de betrokkene zijn toestemming geeft, wordt hij daarvan in kennis gesteld (…)”
[181]	Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679, WP 259, 28 november 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 15. Zie daarnaast art. 13 AVG.
[182]	Zie overw. 42 en art. 7, 2. AVG. Zie tevens Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679, WP 259, 28 november 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 15-16.
[183]	Het aanvaarden van de algemene voorwaarden kan bijgevolg niet worden aanzien als een ondubbelzinnige actieve handeling voor toestemming. Zie D. De Bot,“De gevolgen van de Algemene Verordening Gegevensbescherming voor de verzekeringssector. Enkele kritische bedenkingen”, T.Verz. 2016, afl. 2, 139; Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679, WP 259, 28 november 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 16.
[184]	Zie supra, randnrs. 11 et seq.
[185]	Het gewoon (passief) omlaag scrollen op een website zal niet als een duidelijke actieve handeling kunnen beschouwd worden.
[186]	Impliciete toestemming is mogelijk, waarbij een handeling, die gelet op de omstandigheden, kan aanzien worden als een wilsuiting. In tegenstelling tot de oude privacywetgeving dient deze handeling wel tot een ondubbelzinnige wilsuiting te leiden. Zie D. De Bot, Verwerking van persoonsgegevens, Antwerpen, Kluwer, 2001, 59; D. De Bot, “De uitvoering van de Algemene Verordening Gegevensbescherming. Enkele bemerkingen bij de Belgische context”, TVW 2016, nr. 3, 220; D. De Bot,“De gevolgen van de Algemene Verordening Gegevensbescherming voor de verzekeringssector. Enkele kritische bedenkingen”, T.Verz. 2016, afl. 2, 138.
[187]	Zoals bv. het aankruisen op een vakje bij een bezoek aan een internetwebsite of het selecteren van technische instellingen voor diensten van de informatiemaatschappij of een andere verklaring of een andere handeling waaruit duidelijk blijkt dat de betrokkene instemt met de voorgestelde verwerking van zijn persoonsgegevens (zie overw. 32 AVG).
[188]	Waar het vroeger mogelijk was om stilzwijgende toestemming te verlenen via een niet-handelen, is dergelijke toestemming dus onrechtmatig onder de nieuwe regeling. Zie D. De Bot, Verwerking van persoonsgegevens, Antwerpen, Kluwer, 2001, 59; D. De Bot, “De uitvoering van de Algemene Verordening Gegevensbescherming. Enkele bemerkingen bij de Belgische context”, TVW 2016, nr. 3, 220; D. De Bot,“De gevolgen van de Algemene Verordening Gegevensbescherming voor de verzekeringssector. Enkele kritische bedenkingen”, T.Verz. 2016, afl. 2, 138.
[189]	Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679, WP 259, 28 november 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 18.
[190]	Bv. het ronddraaien van de smartphone in een achtvorm kan een mogelijkheid zijn om toestemming te geven, maar hierbij dient de verwerker duidelijk te maken dat wanneer men dergelijke beweging maakt, men zijn toestemming geeft (“Als u de smartphone in een achtje laat bewegen, dan gaat u akkoord met het gebruik van de volgende gegevens (x) voor doel (y))”. Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679, WP 259, 28 november 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 19.
[191]	Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679, WP 259, 28 november 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 19.
[192]	Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679, WP 259, 28 november 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 20.
[193]	Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679, WP 259, 28 november 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 21.
[194]	Ministerie van Justitie en Veiligheid, Handleiding Algemene verordening gegevensbescherming en Uitvoeringswet Algemene verordening en Uitvoeringswet Algemene verordening gegevensbescherming, januari 2018, online te vinden op: www.autoriteitpersoonsgegevens.nl, p. 42.
[195]	Een actieve handeling kan er voor zorgen dat, rekening houdend met de omstandigheden waarin deze plaatsvindt, de ondubbelzinnige wil van de betrokkene om toe te stemmen kan worden verondersteld, zoals het aanvaarden van een dienst of uitvoering van een overeenkomst. Hier gaat het aldus over een soort impliciete maar ondubbelzinnige toestemming. Aangezien de verwerkingsverantwoordelijken de nodige vrijheid bezitten om een toestemmingsprocedure te ontwikkelen die het best aansluit bij hun organisatie en diensten die zij aanbieden, kunnen bepaalde fysieke handelingen van de betrokkene als ondubbelzinnige wilsuiting worden aanzien. Deze ondubbelzinnige wilsuiting zal echter niet als uitdrukkelijke toestemming worden beschouwd. Wanneer de betrokkene bv. over zijn scherm een balk moet wegvegen, zodoende zijn toestemming aangaande de gegevensverwerking te geven, zal er sprake zijn van een regelmatige toestemming maar niet van een uitdrukkelijke toestemming. Zie hierover D. Goens, Data protection bij financiële instellingen, Mortsel, Intersentia, 2018, 188 en Groep Gegevensbescherming Artikel 29, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679, WP 259, 28 november 2017, online te vinden op: www.ec.europa.eu/info/law/law-topic/data-protection_nl, p. 19.
[196]	Omtrent het vraagstuk of het verrichte beleggingsadvies of vermogensbeheer ook rechtsgevolgen voor de cliënt teweeg brengt, bestaat er heden ten dage nog steeds veel discussie over (zie supra, randnr. 29). Aangezien het desbetreffende advies of beheer de cliënt zonder twijfel in aanmerkelijke mate treft, kan er besloten worden dat zij hoe dan ook onder art. 22 AVG valt en is het daarom niet noodzakelijk om verder in te gaan op dit vraagstuk.
[197]	Zie supra, randnr. 33 voor een uitgebreidere bespreking omtrent dit vraagstuk.

De invloed van artikel 22 AVG op het gebruik van robo-advies binnen de beleggingssector. Met de rug tegen de muur ?, R.D.C.-T.B.H., 2020/2, p. 135-164

Zoek Actualiteit

Filter