Vestiging Amsterdam

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01
Terug naar overzicht

Recht op dataportabiliteit

30 december 2016 Door

Op 25 mei 2018 wordt de Europese privacyverordening van kracht. In artikel 20 van die verordening wordt een recht op dataportabiliteit geïntroduceerd. Dat is een recht waarmee betrokkenen kort gezegd de persoonlijke gegevens die zij hebben verstrekt aan een bedrijf, in een gestructureerde, gangbare en machine leesbare vorm dienen te kunnen verkrijgen, waarna zij die gegevens zelf kunnen opslaan of aan een ander bedrijf zouden kunnen overdragen.

Bovendien wordt het hiermee mogelijk voor een betrokkene om deze gegevens (mits dat technisch mogelijk is) ook rechtstreeks vanuit het ene bedrijf naar het andere door te laten zenden. Doel van deze rechten is om de betrokkenen meer controle te geven over zijn of haar data en mogelijk te maken om over te stappen van de ene dienstverlener naar een andere, waarmee effectief een zogeheten vendor lock in wordt bestreden.

Wanneer is het recht op dataportabiliteit van toepassing?

Dit nieuwe recht is van toepassing indien de gegevens verwerkt worden op basis van een door de betrokkene gegeven toestemming, of indien er sprake is van verwerking in het kader van een overeenkomst. Vooral die laatste situatie zal zich al vrij snel voor kunnen doen. Denk aan een webwinkel die op basis van een overeenkomst bestellingen verwerkt en een bestelhistorie van de klant bij zal willen houden.

Maar ook kan gedacht worden aan de HR-afdeling van een bedrijf die op grond van een arbeidsovereenkomst gegevens over werknemers verwerkt. Daarbij kan een dergelijk verzoek altijd worden gedaan, en hoeft niet per se te worden gewacht tot de beëindiging van zo’n overeenkomst. Dat vraagt nogal wat van bedrijven. Niet alleen organisatorisch maar ook technisch moet er binnen de meeste organisaties in de komende maanden het een en ander aangepast gaan worden.

Organisatorische procedures voor dataportabiliteit

Organisatorisch zou je bijvoorbeeld bepaalde procedures moeten ontwerpen en gaan hanteren waarmee het bedrijf zekerheid kan verkrijgen dat de persoon die een portabiliteitsverzoek indient daadwerkelijk degene is over wie de gegevens worden opgevraagd. Ook zal er rekening mee moeten worden gehouden dat gegevens van een persoon afgesplitst moeten kunnen worden van persoonsgegevens van derden.

Waar dat echter niet kan, zoals bij de telefoon geschiedenis met inkomende en uitgaande telefoontjes en derhalve de telefoonnummers van derden, is het toegestaan dit mee te leveren aan de betrokkene. Bovendien moet ook de ruwe data beschikbaar worden gesteld indien deze gegenereerd zijn door de activiteiten van de betrokkenen. Denk bijvoorbeeld aan de zoekgeschiedenis, verkeersgegevens en locatiedata, of de hartslag die is opgeslagen door gezondheid-apps.

Technische aanpassingen voor dataportabiliteit

In technische zin moeten bedrijven bovendien rekening gaan houden met de vereiste overdraagbaarheid van gegevens en gegevensbestanden. Zo is er pas sprake van een machinaal leesbaar formaat indien het gaat om een bestandsformaat met een zodanige structuur dat softwaretoepassingen gemakkelijk specifieke gegevens in de bestanden kunnen identificeren, herkennen en extraheren. Zo’n formaat dient dan bij voorkeur platform onafhankelijk te zijn en beschikbaar zonder enige beperking die de portabiliteit van de informatie verhinderd. Hoewel de Europese privacyverordening geen standaarden of formaten voorschrijft, is het naar mijn mening onontkoombaar dat er gebruik zal moeten worden gemaakt van open standaarden.

Het is voor ieder bedrijf verstandig om dit aspect bij toekomstige aankoopbeslissingen mee te nemen, en ook om reeds nu bij uw huidige leveranciers na te gaan of zij zich hier goed op voorbereiden.

Meer weten over privacywetgeving?

ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren (als bijv. functionaris gegevensbescherming) en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u hier onze privacytrainingen.

Mathieu Paapst

Algemeen directeur ICTRecht Groningen

mr. dr. Mathieu Paapst is ICT-jurist en bestuurskundige, en is directeur en mede-eigenaar van ICTRecht Groningen. In januari 2013 promoveerde hij op een bestuurskundig onderzoek naar de doorw­erking van open ICT-beleid (open source en open standaarden) binnen de aanbestedingspraktijk. Mathieu is lid van The International Association of Privacy Professionals (IAPP) en is Certified Information Privacy Manager (CIPM).

 


Er is één reactie

  1. Dank voor deze heads-up. Ik vraag me af hoe de term “bedrijf” in dit artikel geïnterpreteerd moet worden. Geldt het ook voor uitvoeringsorganisaties van overheden, voor ziekenhuizen of scholen?

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie