Velen zullen er weleens aan gedacht hebben om hun Facebook-account te verwijderen en over te stappen naar een andere sociale media aanbieder. De meesten zullen daar uiteindelijk toch niet toe over zijn gegaan omdat zij hun foto’s en andere gegevens niet kwijt willen raken. Maar wat als het heel eenvoudig zou zijn om al deze gegevens over te hevelen van de ene naar de andere aanbieder? Met de introductie van het recht op dataportabiliteit in de Algemene Verordening Gegevensbescherming (‘AVG’) lijkt dit realiteit te worden.
Rechten van betrokkenen
Op grond van de Wet bescherming persoonsgegevens (‘Wbp’) hebben betrokkenen – degenen van wie persoonsgegevens worden verwerkt – een aantal rechten. Zo kunnen betrokkenen organisaties om inzage, correctie of verwijdering van hun persoonsgegevens verzoeken. Daarnaast kunnen betrokkenen verzet aantekenen tegen de verwerking van hun persoonsgegevens door een organisatie. De AVG voegt hier een nieuw recht aan toe: het recht op dataportabiliteit (ook wel gegevensoverdraagbaarheid genoemd).
Dataportabiliteit
Het recht op dataportabiliteit houdt in dat de betrokkene het recht heeft om de persoonsgegevens, die hij aan een organisatie heeft verstrekt, in een gestructureerde, gangbare en machineleesbare vorm te ontvangen en deze aan een andere organisatie over te (laten) dragen. Betrokkenen mogen daarbij niet worden gehinderd door de organisatie die de gegevens over dient te dragen.
Dit recht is geïntroduceerd zodat betrokkenen hun persoonsgegevens eenvoudig(er) van de ene digitale omgeving naar de andere kunnen verplaatsen, kopiëren of verzenden. Door betrokkenen meer controle over hun gegevens te geven, wordt hun positie versterkt. Dit werkt concurrentie tussen verschillende dienstverleners in de hand en moedigt de ontwikkeling van nieuwe diensten aan.
Dataportabiliteit versus inzage
Het recht op dataportabiliteit sluit aan bij het recht op inzage, aangezien beide rechten de betrokkenen recht geven op een overzicht van hun persoonsgegevens die door de desbetreffende organisatie zijn verwerkt.
Een belangrijk verschil met het recht op inzage is echter dat de gegevens in geval van dataportabiliteit “in een gestructureerde, gangbare en machineleesbare vorm” aan de betrokkene verstrekt moeten worden. Zo kan de betrokkene zijn gegevens zelf beheren en opnieuw gebruiken. Een tweede verschil is dat het recht op dataportabiliteit de betrokkene het recht geeft op ongehinderde verzending van persoonsgegevens van de ene naar de andere organisatie. Zo wordt zogenaamde ‘insluiting’ van consumenten door organisaties voorkomen.
Toepassing
Betrokken hebben alleen recht op overdraagbaarheid van hun gegevens als aan onderstaande vereisten voldaan is:
- De persoonsgegevens moeten via geautomatiseerde procedés worden verwerkt (het recht geldt dus niet voor papieren bestanden); en
- De verwerkingen moeten berusten op de toestemming van de betrokkene of een overeenkomst waarbij de betrokkene partij is.
Zo vallen de nummers die iemand via een muziekstreamingdienst beluisterd heeft onder het recht op dataportabiliteit, omdat deze gegevens worden verwerkt door middel van een geautomatiseerd procedé ter uitvoering van een overeenkomst met de betrokkene. Gegevens die door Belastingdienst worden verwerkt om de rijksbelastingen te kunnen innen, vallen dan weer niet onder het recht op dataportabiliteit. De grondslag voor deze verwerking is immers de wettelijke taak van de Belastingdienst en niet toestemming of een overeenkomst.
Termijn
Als een organisatie een verzoek tot dataportabiliteit ontvangt, dient zij de persoonsgegevens van desbetreffende betrokkene zo snel mogelijk – en in ieder geval binnen een maand – na ontvangst van het verzoek aan de betrokkene te verstrekken. In complexe gevallen geldt een termijn van maximaal drie maanden, mits de betrokkene binnen een maand na het oorspronkelijke verzoek van de reden voor de vertraging op de hoogte is gebracht.
Als een organisatie het verzoek tot dataportabiliteit van de betrokkenen niet inwilligt, moet de organisatie dat uiterlijk binnen één maand na ontvangst van het verzoek aan de betrokkene mededelen (met de mogelijkheid om deze termijn met maximaal twee maanden te verlengen). Daarnaast moet de organisatie de betrokkene in dit kader informeren over de mogelijkheid om een klacht in te dienen bij een toezichthouder en beroep in te stellen bij de rechter.
Richtlijnen Artikel 29-werkgroep
De Artikel 29-werkgroep (een adviesorgaan van Europese Privacytoezichthouders) heeft in april 2017 richtlijnen gepubliceerd over het recht op dataportabiliteit. Doel hiervan is onder meer om organisaties meer informatie te verstrekken over de interpretatie en implementatie van het recht op dataportabiliteit. De richtlijnen raden belanghebbenden in de industrie (zoals ICT-dienstverleners) aan om samen te werken aan gezamenlijke interoperabele normen en formats om aan de vereisten van het recht op dataportabiliteit te voldoen.
Wat betekent dit in de praktijk?
De introductie van dit nieuwe recht kan verregaande gevolgen hebben voor organisaties:
1. Techniek
Organisaties moeten betrokkenen de mogelijkheid bieden om gegevens direct te downloaden, maar ook om deze direct aan een andere organisatie te verzenden. Organisaties zullen dus na moeten denken op welke manier zij deze opties aan gaan bieden. Dit kan bijvoorbeeld door de beschikbaarstelling van een API (een interface waardoor verschillende computerprogramma’s met elkaar kunnen communiceren).
2. Uitfilteren
In het kader van dataportabiliteit moeten persoonsgegevens kunnen worden onderscheiden van andere gegevens. Dit betekent dat organisaties persoonsgegevens die buiten de overdraagbaarheid vallen, zoals betalingsgegevens en het wachtwoord van de gebruiker, uit hun systemen moeten kunnen filteren. Organisaties moeten dan ook nagaan of hun huidige systemen deze mogelijkheid bieden en deze zo nodig aanpassen.
3. Informatieplicht
Betrokkenen dienen geïnformeerd te worden over het bestaan van het nieuwe recht op dataportabiliteit. In de praktijk zal dit er meestal op neerkomen dat organisaties hun privacy verklaringen zullen moeten updaten.
4. Termijnen
Voor organisaties moet het technisch gezien mogelijk zijn binnen een korte termijn gevolg te geven aan een verzoek tot dataportabiliteit. Organisaties dienen er dan ook voor te zorgen dat hun systemen en procedures zodanig worden ingericht dat dit mogelijk is. Daarnaast adviseert de Artikel 29-werkgroep organisaties om aan de betrokkenen door te geven binnen welke termijn normaliter aan een verzoek tot dataportabiliteit wordt voldaan.
5. Grondslag
Organisaties hoeven enkel aan al het bovenstaande te voldoen als er persoonsgegevens worden verwerkt op grond van toestemming of uitvoering van een overeenkomst. Betrokkenen hebben dus geen recht op overdracht van hun gegevens als de gegevensverwerking op één van de andere vier wettelijke grondslagen berust (zoals een gerechtvaardigd belang). Wij raden organisaties dan ook aan om na te denken of de gegevensverwerking wellicht op een van deze andere vier grondslagen kan rusten, zodat voorkomen kan worden dat systemen en procedures binnen de organisatie moeten worden aangepast.