Recht op dataportabiliteit

Recht op Dataportabiliteit

Onder de Algemene verordening gegevensbescherming (AVG) krijgen mensen het recht op dataportabiliteit, oftewel overdraagbaarheid van persoonsgegevens.

In de AVG (artikel 20) heet dit het ‘recht om gegevens over te dragen’. Het houdt in dat mensen het recht hebben om de persoonsgegevens te ontvangen die een organisatie van hen heeft.

Zo kunnen zij hun gegevens bijvoorbeeld makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Ook kunnen mensen vragen om gegevens rechtstreeks over te dragen aan een andere organisatie.

Ten eerste gaat het alleen om digitale gegevens. Papieren dossiers vallen er dus niet onder. Ten tweede gaat het om persoonsgegevens die een organisatie óf met toestemming van de betrokkene verwerkt óf om een overeenkomst met de betrokkene uit te voeren.

Onder gegevens die een organisatie verwerkt om een overeenkomst uit te voeren, vallen bijvoorbeeld ook de titels van boeken die iemand in een webwinkel heeft gekocht of de liedjes die diegene heeft beluisterd via een muziekstreamingdienst.

Hergebruik mogelijk maken

Bij het recht op dataportabiliteit moeten organisaties de gegevens verstrekken in een vorm die het voor betrokkenen makkelijk maakt om hun gegevens te hergebruiken en door te geven aan een andere organisatie. Organisaties zijn daarom wettelijk verplicht om de gegevens in een gestructureerd, veelgebruikt en machineleesbaar formaat te verstrekken.

Vanaf 25 mei 2018 kunnen uw klanten gebruikmaken van hun recht op dataportabiliteit. Dat betekent dat u dus vanaf deze datum verzoeken kunt krijgen van uw klanten om hun persoonsgegevens beschikbaar te stellen. U bent dan wettelijk verplicht om de gegevens in een gestructureerd, veelgebruikt en machineleesbaar formaat te verstrekken.

U kunt zich hierop voorbereiden door alvast na te denken over hoe u de gegevens beschikbaar gaat stellen. Bijvoorbeeld via een tool waarmee uw klanten hun gegevens direct op een beveiligde manier kunnen downloaden.

Ook moet u ervoor zorgen dat uw klanten hun gegevens direct kunnen doorgeven aan een andere organisatie. Dit kunt u bijvoorbeeld doen met een application programming interface (API), waarmee u een verbinding mogelijk maakt tussen uw systeem of applicatie en dat van een andere partij.

Dit kan ook een vertrouwde derde partij zijn, die de overgedragen gegevens opslaat en op verzoek van klanten aan meerdere organisaties kan doorgeven.

U moet alle persoonsgegevens beschikbaar stellen die uw klanten aan u hebben verstrekt. Maar dit moet u ruim opvatten. Het gaat hierbij niet alleen om gegevens die klanten actief en bewust aan u hebben verstrekt, zoals de accountgegevens (e-mailadres, gebruikersnaam, leeftijd etc.) die zij op een online formulier hebben ingevuld.

Het gaat ook om de gegevens die klanten aan u hebben ‘verstrekt’ door uw dienst of apparaat te gebruiken. Bijvoorbeeld de zoekgeschiedenis of locatiegegevens van uw klanten. Of andere (ruwe) data als de hartslag die via een fitnesstracker is vastgelegd.

Afgeleide gegevens

U hoeft bij een verzoek om dataportabiliteit géén afgeleide gegevens te verstrekken, dat wil zeggen gegevens die u zelf heeft gegenereerd door bijvoorbeeld data-analyse. Zoals een kredietscore of een profiel dat u van een klant heeft opgesteld.

Let op: deze gegevens moet u bij een inzageverzoek wél verstrekken.

Hoe de gegevens te verstrekken

De Algemene verordening gegevensbescherming (AVG) schrijft geen specifieke formaten voor. De persoonsgegevens moeten worden overgedragen in een gestructureerd, veelgebruikt en machineleesbaar formaat. Het doel is dat de klanten hun gegevens makkelijk in een andere omgeving kunnen hergebruiken.

Metagegevens meeleveren

Daarom moet u niet alleen de feitelijke inhoud leveren, maar ook zoveel mogelijk relevante metagegevens meeleveren. Zoals tijdstip, afzender, geadresseerde etc. Hierdoor blijft de betekenis van de overgedragen informatie zo goed mogelijk bewaard.

Standaarden

Het beste formaat om gegevens te verstrekken, zal per sector verschillen. De Europese toezichthouders doen een oproep aan alle belanghebbenden en brancheorganisaties om samen te werken aan een set van standaarden en formaten om het recht op dataportabiliteit vorm te geven.

(Bron: Autoriteit Persoonsgegevens)