5 tips voor het recht op dataportabiliteit

Vanaf 25 mei 2018 treedt de nieuwe Algemene Verordening Gegevensbescherming (ook wel de Europese Privacy verordening genoemd) in werking, de opvolger van de Wet bescherming persoonsgegevens. Een van de nieuwe verplichtingen is het recht op dataportabiliteit, ook wel het recht op gegevensoverdracht genoemd.

Het recht op dataportabiliteit is een recht waarmee betrokkenen kort gezegd de persoonlijke gegevens die zij hebben verstrekt aan een bedrijf, in een gestructureerde, gangbare en machineleesbare vorm moeten kunnen krijgen, waarna zij die gegevens zelf kunnen opslaan of aan een ander bedrijf zouden kunnen overdragen. Bovendien wordt het hiermee mogelijk voor een betrokkene om deze gegevens (mits dat technisch mogelijk is) ook rechtstreeks vanuit het ene bedrijf naar het andere door te laten zenden.

Doel van deze rechten is om de betrokkenen meer controle te geven over zijn of haar data en mogelijk te maken om over te stappen van de ene dienstverlener naar een andere, waarmee effectief een zogeheten vendor lock in wordt bestreden. Dit brengt met zich mee dat organisaties voor 25 mei 2018 hun bedrijfsvoering in overeenstemming met de verordening moeten hebben gebracht. IT-managers zullen daarom goed moeten begrijpen welke verplichtingen er op ze af komen, met welke (hoge) boetes ze te maken gaan krijgen, en welke organisatorische veranderingen nodig zullen zijn. Ik geef daarom 5 tips om vandaag nog mee aan de slag te gaan.

Tip 1: Zoek uit of het recht op dataportabiliteit op jouw organisatie van toepassing is

Dit nieuwe recht is van toepassing indien de gegevens verwerkt worden op basis van een door de betrokkene gegeven toestemming, of indien er sprake is van verwerking in het kader van een overeenkomst. Vooral die laatste situatie zal zich al vrij snel voor kunnen doen. Denk aan een webwinkel die op basis van een overeenkomst bestellingen verwerkt en een bestelhistorie van de klant bij zal willen houden. Maar ook kan gedacht worden aan de HR-afdeling van een bedrijf die op grond van een arbeidsovereenkomst gegevens over werknemers verwerkt. Daarbij kan een dergelijk verzoek altijd worden gedaan, en hoeft niet per se te worden gewacht tot de beëindiging van zo’n overeenkomst.

Tip 2: Voer een data-inventarisatie uit

Om te weten welke gegevens allemaal door dit nieuwe recht geraakt gaan worden is het noodzakelijk om een data-inventarisatie binnen de organisatie uit te voeren. Breng daarvoor in kaart welke data er zijn en met welk doel. Onderzoek welke derde partijen toegang hebben tot de data, en welke data extern opgeslagen zijn. Bijvoorbeeld in het geval van outsourcing of clouddiensten. Beantwoord daarbij ook direct de vraag welke bewaartermijn uw organisatie wil gaan hanteren, ook voor gegevens die extern zijn opgeslagen. Onder de nieuwe verordening mogen persoonsgegevens niet langer worden bewaard dan noodzakelijk. Dat vereist dus ook dat je besluiten zult moeten gaan nemen ten aanzien van legacy datasets. Bovendien moet ook de ruwe data beschikbaar worden gesteld indien deze gegenereerd zijn door de activiteiten van de betrokkenen. Denk bijvoorbeeld aan de zoekgeschiedenis, verkeersgegevens en locatiedata, of de hartslag die is opgeslagen door gezondheid-apps.

Tip 3: Ontwerp en hanteer bepaalde procedures waarmee de betrokkene zijn gegevens kan opvragen

Het uitgangspunt daarbij is dat een verzoek tot dataportabiliteit kunnen indienen niet voldoende is, maar dat de betrokkene zelf zijn gegevens moet kunnen downloaden. Tot aan het moment dat de betrokkene de gegevens ontvangt is de organisatie zelf verantwoordelijk voor een veilige ‘overdracht’ van de gegevens middels, bijvoorbeeld, encryptie. Daarbij zal ook rekening moeten worden gehouden met de mogelijkheid dat gegevens van een persoon afgesplitst moeten kunnen worden van persoonsgegevens van derden. Waar dat echter niet kan, zoals bij de telefoon geschiedenis met inkomende en uitgaande telefoontjes en derhalve de telefoonnummers van derden, is het toegestaan dit mee te leveren aan de betrokkene.

Tip 4: Inventariseer en organiseer de juridische waarborgen

Deze waarborgen zijn nodig omdat het uitdrukkelijk verboden is om de betrokkene te hinderen bij het uitoefenen van zijn rechten. Het is dus niet toegestaan om richting de betrokkene gebruik te maken van een geheimhoudingsverklaring, of je te beroepen op rechten van intellectuele eigendom zoals het databankrecht of het auteursrecht. Bij externe juridische waarborgen gaat het om de vraag of de bestaande contracten met uw toeleveranciers al voorzien in bepalingen aangaande de dataportabiliteit.

Tip 5: Stel bij een toekomstige opdrachtverstrekking expliciete eisen aan uw leveranciers met betrekking tot de overdraagbaarheid van gegevens en gegevensbestanden

Zo is er pas sprake van een machinaal leesbaar formaat indien het gaat om een bestandsformaat met een zodanige structuur dat softwaretoepassingen gemakkelijk specifieke gegevens in de bestanden kunnen identificeren, herkennen en extraheren. Zo’n formaat dient dan bij voorkeur platform onafhankelijk te zijn en beschikbaar zonder enige beperking die de portabiliteit van de informatie verhinderd. Hoewel de Europese privacyverordening geen standaarden of formaten voorschrijft, is het daarmee onontkoombaar dat er gebruik zal moeten worden gemaakt van open standaarden.

Dit artikel is eerder verschenen in Computable magazine nr. 3, 2017.

 

Meer weten over privacywetgeving?

ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren (als bijv. functionaris gegevensbescherming) en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u hier onze privacytrainingen.

Terug naar overzicht