ICTRecht B.V.

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01
Terug naar overzicht

5 tips voor het recht op dataportabiliteit

Juridisch Product

Privacy by Design is het concept dat ervan uitgaat dat privacy vanaf de ontwerpfase tot de afrondingsfase van een project op de agenda staat.

Vanaf 25 mei 2018 treedt de nieuwe Algemene Verordening Gegevensbescherming (ook wel de Europese Privacy verordening genoemd) in werking, de opvolger van de Wet bescherming persoonsgegevens. Een van de nieuwe verplichtingen is het recht op dataportabiliteit, ook wel het recht op gegevensoverdracht genoemd.

Het recht op dataportabiliteit is een recht waarmee betrokkenen kort gezegd de persoonlijke gegevens die zij hebben verstrekt aan een bedrijf, in een gestructureerde, gangbare en machineleesbare vorm moeten kunnen krijgen, waarna zij die gegevens zelf kunnen opslaan of aan een ander bedrijf zouden kunnen overdragen. Bovendien wordt het hiermee mogelijk voor een betrokkene om deze gegevens (mits dat technisch mogelijk is) ook rechtstreeks vanuit het ene bedrijf naar het andere door te laten zenden.

Doel van deze rechten is om de betrokkenen meer controle te geven over zijn of haar data en mogelijk te maken om over te stappen van de ene dienstverlener naar een andere, waarmee effectief een zogeheten vendor lock in wordt bestreden. Dit brengt met zich mee dat organisaties voor 25 mei 2018 hun bedrijfsvoering in overeenstemming met de verordening moeten hebben gebracht. IT-managers zullen daarom goed moeten begrijpen welke verplichtingen er op ze af komen, met welke (hoge) boetes ze te maken gaan krijgen, en welke organisatorische veranderingen nodig zullen zijn. Ik geef daarom 5 tips om vandaag nog mee aan de slag te gaan.

Tip 1: Zoek uit of het recht op dataportabiliteit op jouw organisatie van toepassing is

Dit nieuwe recht is van toepassing indien de gegevens verwerkt worden op basis van een door de betrokkene gegeven toestemming, of indien er sprake is van verwerking in het kader van een overeenkomst. Vooral die laatste situatie zal zich al vrij snel voor kunnen doen. Denk aan een webwinkel die op basis van een overeenkomst bestellingen verwerkt en een bestelhistorie van de klant bij zal willen houden. Maar ook kan gedacht worden aan de HR-afdeling van een bedrijf die op grond van een arbeidsovereenkomst gegevens over werknemers verwerkt. Daarbij kan een dergelijk verzoek altijd worden gedaan, en hoeft niet per se te worden gewacht tot de beëindiging van zo’n overeenkomst.

Tip 2: Voer een data-inventarisatie uit

Om te weten welke gegevens allemaal door dit nieuwe recht geraakt gaan worden is het noodzakelijk om een data-inventarisatie binnen de organisatie uit te voeren. Breng daarvoor in kaart welke data er zijn en met welk doel. Onderzoek welke derde partijen toegang hebben tot de data, en welke data extern opgeslagen zijn. Bijvoorbeeld in het geval van outsourcing of clouddiensten. Beantwoord daarbij ook direct de vraag welke bewaartermijn uw organisatie wil gaan hanteren, ook voor gegevens die extern zijn opgeslagen. Onder de nieuwe verordening mogen persoonsgegevens niet langer worden bewaard dan noodzakelijk. Dat vereist dus ook dat je besluiten zult moeten gaan nemen ten aanzien van legacy datasets. Bovendien moet ook de ruwe data beschikbaar worden gesteld indien deze gegenereerd zijn door de activiteiten van de betrokkenen. Denk bijvoorbeeld aan de zoekgeschiedenis, verkeersgegevens en locatiedata, of de hartslag die is opgeslagen door gezondheid-apps.

Tip 3: Ontwerp en hanteer bepaalde procedures waarmee de betrokkene zijn gegevens kan opvragen

Het uitgangspunt daarbij is dat een verzoek tot dataportabiliteit kunnen indienen niet voldoende is, maar dat de betrokkene zelf zijn gegevens moet kunnen downloaden. Tot aan het moment dat de betrokkene de gegevens ontvangt is de organisatie zelf verantwoordelijk voor een veilige ‘overdracht’ van de gegevens middels, bijvoorbeeld, encryptie. Daarbij zal ook rekening moeten worden gehouden met de mogelijkheid dat gegevens van een persoon afgesplitst moeten kunnen worden van persoonsgegevens van derden. Waar dat echter niet kan, zoals bij de telefoon geschiedenis met inkomende en uitgaande telefoontjes en derhalve de telefoonnummers van derden, is het toegestaan dit mee te leveren aan de betrokkene.

Tip 4: Inventariseer en organiseer de juridische waarborgen

Deze waarborgen zijn nodig omdat het uitdrukkelijk verboden is om de betrokkene te hinderen bij het uitoefenen van zijn rechten. Het is dus niet toegestaan om richting de betrokkene gebruik te maken van een geheimhoudingsverklaring, of je te beroepen op rechten van intellectuele eigendom zoals het databankrecht of het auteursrecht. Bij externe juridische waarborgen gaat het om de vraag of de bestaande contracten met uw toeleveranciers al voorzien in bepalingen aangaande de dataportabiliteit.

Tip 5: Stel bij een toekomstige opdrachtverstrekking expliciete eisen aan uw leveranciers met betrekking tot de overdraagbaarheid van gegevens en gegevensbestanden

Zo is er pas sprake van een machinaal leesbaar formaat indien het gaat om een bestandsformaat met een zodanige structuur dat softwaretoepassingen gemakkelijk specifieke gegevens in de bestanden kunnen identificeren, herkennen en extraheren. Zo’n formaat dient dan bij voorkeur platform onafhankelijk te zijn en beschikbaar zonder enige beperking die de portabiliteit van de informatie verhinderd. Hoewel de Europese privacyverordening geen standaarden of formaten voorschrijft, is het daarmee onontkoombaar dat er gebruik zal moeten worden gemaakt van open standaarden.

 

Dit artikel is eerder verschenen in Computable magazine nr. 3, 2017.

 

ICTRecht Academy

Wat staat er in een bewerkersovereenkomst en hoe onderhandel je daar over? Hoe zit het met de Meldplicht Datalekken en hoe bereid ik mijn organisatie en klanten voor op de Algemene Verordening Gegevensbescherming? Met de trainingen van ICTRecht Academy krijgt u praktische antwoorden op deze vragen.

 

Mathieu Paapst

Business manager ICTRecht Groningen

mr. dr. Mathieu Paapst is ICT-jurist, bestuurskundige en vestigingsdirecteur van ICTRecht Groningen. In januari 2013 promoveerde hij op bestuurskundig onderzoek naar de doorw­erking van open ICT-beleid (open source en standaarden) binnen de aanbestedingspraktijk. Mathieu is lid van The International Association of Privacy Professionals (IAPP) en is Certified Information Privacy Manager (CIPM).


Er zijn nog geen reacties.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *