Door onze advocaat privacywetgeving: Yuri Benjamins

Vorige week berichte wij al over de nieuwe privacywet en het principe van dataminimalisatie, een andere opvallende nieuwe bepaling in de Algemene Verordening Gegevensbescherming (AVG) is het recht op/van Dataportabiliteit. Het is kort gezegd het recht van een betrokkene om de over hem verwerkte persoonsgegevens te laten doorsturen naar een derde partij. Het recht op Dataportabiliteit heeft verwantschap met het recht op inzage van persoonsgegevens aangezien het ook het recht geeft op het ontvangen van de gegevens, maar verschilt in die zin dat de AVG nu eisen stelt aan het formaat waarin de persoonsgegevens worden aangeleverd en dat het (rechtstreeks) doorgezonden moeten kunnen worden naar een derde partij, vandaar de term ‘portabiliteit’.

Het doel van Dataportabiliteit is het bevorderen van overdraagbaarheid van persoonsgegevens tussen bedrijven. Daarmee zou de keuze om over te stappen voor de consument, bijvoorbeeld van bank, makkelijker worden en daarmee de onderlinge concurrentie tussen aanbieders versterken.

Wanneer moet men Dataportabiliteit aanbieden?

Kort gezegd: als u de gegevens verwerkt hebt op basis van toestemming van de betrokkene of op basis van een overeenkomst én dit via een automatisch procedé is gedaan. Dus zodra u op basis van toestemming via een privacy statement of op basis van een overeenkomst (bijvoorbeeld een bestelling) persoonsgegevens verwerkt en dit niet met de hand wordt genoteerd, heeft de betrokkene in beginsel recht om zijn gegevens te laten overdragen en dient u dit aan te bieden als verwerker.

Ontvangen vs. doorsturen

Het recht van Dataportabiliteit valt uiteen in twee, naast elkaar bestaande rechten. Het recht persoonsgegeven te ontvangen en het recht deze te laten verzenden aan een derde partij.
Zoals gezegd heeft het recht van Dataportabiliteit dus enig verwantschap met het recht op inzage van persoonsgegevens, doordat de betrokkene de gegevens in een bepaalde gestructureerde manier moet kunnen ontvangen. Daarnaast ontstaat in de plicht voor de verantwoordelijke (en het recht van de betrokkene) om de persoonsgegevens direct door te sturen naar een derde partij, de ‘nieuwe verantwoordelijke’ die op verzoek van de betrokkene de persoonsgegevens ontvangt van de ‘eerste verantwoordelijke’.

Welke persoonsgegevens vallen onder het recht op Dataportabiliteit?

Artikel 20 van de AVG spreekt over de gegevens die verstrekt zijn door de betrokkene. Het betreft dus in ieder geval de gegevens die actief zijn verstrekt aan de verantwoordelijke. Onder deze definitie van ‘verstrekt’ verstaat men echter ook de gegevens die worden verstrekt door het gebruik van de dienst die de verantwoordelijke aanbiedt.

Bijvoorbeeld: Een klant verstrekt aan een webshop zijn NAW gegevens voor de bezorging, maar ook zijn e-mailadres en een wachtwoord om toegang te krijgen tot een persoonlijk account. Als vervolgens de webshop gaat bijhouden welke producten deze klant verder nog bekijkt, zijn dit ook gegevens die de klant verstrekt (ook al doet hij of zij dat minder bewust). Deze gegevens dienen ook beschikbaar te worden gemaakt via het recht op Dataportabiliteit.

Welke gegevens vallen er niet onder?

Gegevens die niet verstrekt zijn, maar de verwerker afleidt uit de verstrekte gegevens vallen er niet onder. Dit zijn dus bijvoorbeeld analyses die op basis van de verstrekte gegevens zijn gemaakt door de verwerker. Ook  vallen geanonimiseerde gegevens niet onder het recht op Dataportabiliteit, maar dat volgt uit het feit dat geanonimiseerde gegevens geen persoonsgegevens zijn volgens de wet.

De Autoriteit Persoonsgegevens stelt over de vraag welke gegevens er wel of niet onder het recht op Dataportabiliteit valt het volgende:

“In het algemeen dient, gezien de doelstelling van het recht op dataportabiliteit, de term ‘door de betrokkene verstrekt’ breed opgevat te worden en vallen alleen ‘gededuceerde gegevens’ en ‘afgeleide gegevens’ er niet onder, waaronder mede wordt verstaan persoonsgegevens die door een dienstverlener gegenereerd worden (zoals algoritmen). Een verantwoordelijke kan deze gededuceerde gegevens uitsluiten, maar dient alle andere persoonsgegevens toe te voegen die de betrokkene met door de verantwoordelijke beschikbaar gestelde middelen verstrekt heeft.”

Hoe moet ik deze gegevens beschikbaar maken?

Het antwoord op deze laatst vraag is nog lastig te beantwoorden. De AVG eist dat de gegevens in “gestructureerde, gangbare en machineleesbare” vorm te verkrijgen is door de betrokkene.

De gegevens moeten door de ‘nieuwe verantwoordelijke’ gemakkelijk worden ingeladen in de door hun gebruikte databases. Uitgesloten is dus dat u een .PDF bestand kunt opsturen, aangezien dat niet gestructureerd en waarschijnlijk ook niet machineleesbaar is.

Een bestandsformaat dat in theorie aan alle eisen voldoet is een Excel bestand. Toch zullen de grotere aanbieders (Facebook, Google en bijvoorbeeld zelfs Microsoft) dit niet zien als een gangbare vorm. De verschillende sectoren zullen hier waarschijnlijk in de toekomst een eigen standaard voor ontwikkelen of vaststellen.

Tot slot

Vanuit het oogpunt van de consument zal Dataportabiliteit met name interessant zijn voor het uitwisselen van persoonsgegevens tussen Social Networks, aanbieders van e-maildiensten, banken, webwinkels en telecomproviders.
Toch is het op u als (kleinere) ondernemer toch ook van toepassing, behoudens de deels besproken uitzonderingen. De uitdaging zal voor u vooral liggen in het hebben van de juiste softwaresystemen en software-instellingen alsmede het in acht nemen van het idee van Privacy by Design, waar de AVG vanuit gaat. Als uw al uw bedrijfsprocessen inricht met de nieuwe eisen  omtrent privacy in gedachte, dan zal de nieuwe privacywetgeving en de eis van Dataportabiliteit geen grote problemen voor u opleveren.

Bij vragen kunt u natuurlijk altijd contact opnemen.