Dataportabiliteit

Vanaf 25 mei 2018 start de nieuwe Europese privacywetgeving: de Algemene Verordening Gegevensbescherming. Een van de nieuwe regels is het recht op dataportabiliteit. Dit houdt in dat betrokkenen het recht hebben om hun persoonsgegevens en overige verkregen data te ontvangen die een organisatie (de verwerkingsverantwoordelijke) van hen heeft.

De betrokkene kan deze gegevens vervolgens zelf opslaan voor privégebruik of doorgeven aan andere organisaties, bijvoorbeeld voor het afsluiten van een nieuw telefoon- of internetabonnement. De verwerkingsverantwoordelijke mag de betrokkene hier niet in tegenwerken en moet zorgen voor eenvoudige verkrijging en doorgifte van de betreffende persoonsgegevens.

Indien u persoonsgegevens en andere gebruikersgegevens van betrokkenen verwerkt of laat verwerken, dus verwerkingsverantwoordelijke bent, is het van groot belang dat u een overzicht hebt van alle gegevens die u verwerkt. Ook is het belangrijk dat u deze gegevens digitaal beschikbaar houdt ingeval een betrokkene een dergelijk verzoek tot overdracht van de gegevens bij u indient.

Het gaat alleen om digitale gegevens, meer specifiek om (persoons)gegevens die u hetzij met toestemming van de betrokkene verwerkt dan wel in het kader van de uitvoering van een met betrokkene gesloten overeenkomst.

In tegenstelling tot het inzagerecht dat de betrokkene nu al heeft op basis van de Wet bescherming persoonsgegevens (art. 35 Wbp) is een verwerkingsverantwoordelijke, inzake het recht op dataportabiliteit, wettelijk verplicht om de betreffende gegevens in een ‘gestructureerd, veelgebruikt en ‘machine-leesbaar’ formaat’ te verstrekken.

Het is verstandig om nu alvast goed na te denken over de vraag hoe u gegevens beschikbaar gaat stellen bij een verzoek op dataportabiliteit. Het meest praktisch lijkt een ‘tool’ waarmee betrokkene zijn persoonsgegevens op beveiligde wijze kan downloaden. Hiermee is meteen voldaan aan de noodzaak om de verstrekte en verkregen gegevens direct te kunnen doorzetten. Te denken valt hierbij aan een API (Application Programming Interface). Hiermee kan een koppeling tussen uw systeem en dat van een andere partij worden gemaakt. Ook kan gedacht worden aan een TTP (Trusted Third Party) die overgedragen gegevens opslaat en doorzendt.

Niet alleen moet u de persoonsgegevens verstrekken die de klant aan u heeft verstrekt, maar ook bijvoorbeeld gegevens welke zijn gegenereerd door middel van het gebruik van uw dienst of middels het gebruik van een door u geleverd apparaat. Denk hierbij aan de zoekgeschiedenis, locatiegegevens, calorieverbruik of hartslaggegevens via een ‘tracker’. Anders dan bij een inzageverzoek conform art. 35 Wbp hoeft u als verwerkingsverantwoordelijke afgeleide gegevens (zoals bijvoorbeeld kredietscore/gezondheidsprofiel) niet over te dragen.

De AVG schrijft geen standaard formaat voor. Vast staat echter wel dat de gegevens moeten worden overgedragen in een ‘gestructureerd, veelgebruikt en ‘machine-leesbaar’ formaat’. Ook metadata (tijdstip, afzender, geadresseerde) moet worden meegezonden. Het is aan u om sector-/brancheconform te werken aan een werkbaar formaat. Wellicht biedt overleg met uw brancheorganisatie uitkomst.

• Voorkom misbruik en datalekken door een betrouwbaar authenticatiemechanisme te gebruiken, zodat u zeker weet dat degene die bij u het verzoek doet ook daadwerkelijk degene is die hij beweert te zijn.

• Bedenk dat u geen vergoeding mag vragen voor het verwerken van een verzoek tot dataportabiliteit.

• De verstrekking moet plaatsvinden binnen één maand na het verzoek.

• Breng uw klanten/relaties op de hoogte van dit recht op dataportabiliteit, evenals het inzagerecht en andere privacy gerelateerde rechten.

Ook is het van belang om in het licht van dataminimalisatie bij het intakeproces van nieuwe klanten/relaties al goed te bedenken welke gegevens u daadwerkelijk nodig hebt voor de dienst die u aanbiedt.

Voor vragen kunt u contact opnemen met Hillie Lunter.