Avg uitgelegd: Wat is dataportabiliteit?
In de serie Avg uitgelegd nemen we de belangrijkste begrippen uit de Avg onder de loep. Tip: wil je de basis nog eens doornemen? Begin dan bij 10 vragen en antwoorden over de Avg. In dit artikel gaan we in op het begrip dataportabiliteit.
Wat is dataportabiliteit?
Dataportabiliteit is het recht van een betrokkene (een individuele klant of consument) om de persoonsgegevens die hij of zij aan de verwerkingsverantwoordelijke (de leverancier) verstrekt heeft, in een gestructureerde, gangbare en machine-leesbare vorm terug te krijgen zodat hij ze aan een andere verwerkingsverantwoordelijke kan verstrekken. De gedachte achter deze regel is dat individuen hierdoor makkelijker van dienstverlener kunnen wisselen en een ‘vendor lock-in’ voorkomen wordt.
Is dataportabiliteit nieuw?
Ja, dataportabiliteit is onder de Avg een nieuw recht van betrokkenen. Naast het recht op inzage, correctie en verwijdering (die al bestonden) is dit recht toegevoegd.
Wanneer is het recht op dataportabiliteit van toepassing?
Ten eerste moet het gaan om een geautomatiseerde verwerking (papieren documenten zijn dus uitgesloten). De grondslag voor de verwerking moet of de door de betrokkene gegeven toestemming zijn, of betrekking hebben op het uitvoeren van een overeenkomst waarbij de betrokkene partij is. Denk bijvoorbeeld aan een social media-account of gezondheidsgegevens die in de cloud worden opgeslagen via een wearable.
Ten tweede moet het gaan om persoonsgegevens die betrekking hebben op die persoon én op persoonsgegevens die door hem verstrekt zijn.
Ten derde moeten de rechten en vrijheden van anderen niet geschonden worden door de teruggave van de persoonsgegevens. Als er informatie van derden in de dataset zit van de verzoekende betrokkene, moet die er uit gehaald worden als de rechten van die derde geschonden zouden worden.
Welke data moet ik verstrekken?
Alleen de ‘eigen’ data van de betrokkene, die hij zelf verstrekt heeft. De Europese privacy adviesgroep (European Data Protection Board, EDPB) heeft een eerdere richtlijn over dataportabiliteit goedgekeurd. Deze richtlijn adviseert om deze omschrijving niet te smal te interpreteren. Ook persoonsgegevens van derden die door de betrokkene aangeleverd zijn, moeten er volgens hen onder vallen. Bijvoorbeeld bij een online adresboek van een persoon. Daar staan met name zijn contactpersonen in, dus derden, en niet hij zelf. De EDPB is van mening dat het recht op dataportabiliteit dan op dat hele bestand slaat en niet alleen op het adres van de betrokkene zelf (als dat al in het bestand staat).
Er gaan ook stemmen op binnen de Europese Unie dat de interpretatie door dit gezaghebbende orgaan juist veel te breed is. Wat ‘eigen’ precies is, blijft dus voorlopig onduidelijk. Zijn je aankoopgegevens in de supermarkt of berichten van anderen in jouw tijdlijn ‘jouw’ gegevens? Dit zal zeker nog discussie opleveren. Als leverancier zul je hierin echter nu al keuzes moeten maken voor de manier waarop je met verzoeken voor dataportabiliteit omgaat.
Bij een medisch dossier kunnen er ook gegevens van derden in staan (artsen, verpleging, et cetera). Die gegevens van derden moeten juist niet verstrekt worden, omdat dat de privacy van de derde raakt.
Gegevens die niet direct door de betrokkene aangeleverd zijn, maar afgeleid zijn van zijn gegevens (denk aan analyses of profiling data) hoeven niet aan de betrokkene te worden gegeven.
Hoe moet ik data verstrekken?
De Avg maakt niet duidelijk hoe het recht op dataportabiliteit technisch ingevuld moet worden. De Europese privacy adviesgroep EDPB adviseert om een directe download-mogelijkheid voor betrokkenen te creëren. Dit kan bijvoorbeeld in de vorm van een soort ‘data-export-knop’. Ook wil de EDPB dat een verwerkingsverantwoordelijke de mogelijkheid biedt om de data direct door te kunnen sturen naar een andere provider, middels een API. Dit vergt dus technische aanpassingen bij aanbieders. Voor dienstverleners, maar ook voor softwaremakers is het dus handig om ervoor te zorgen dat dataportabiliteit technisch mogelijk is.
Als je niet kiest voor een directe download mogelijkheid, moet je op een andere manier voorzien in de mogelijkheid tot dataportabiliteit. Daarnaast moet je maatregelen nemen om de betrokkene te identificeren, zodat geen data aan de verkeerden afgestaan wordt. In de Handleiding inzage- en verwijderverzoeken hebben we een onderdeel over dataportabiliteit toegevoegd.
Overigens is er geen verplichting opgenomen in de Avg die het voor ontvangers verplicht om de meegenomen data makkelijk te importeren. Er is dus geen garantie dat als je van bank A naar bank B gaat je je lijstjes met veel gebruikte bankrekeningnummers handig kunt integreren in je nieuwe online banking.
Moet ik betrokkenen informeren over dataportabiliteit?
Ja, de verwerkingsverantwoordelijke moet de betrokkenen op een duidelijke, transparante, begrijpelijke en makkelijk toegankelijke manier informeren over het recht op dataportabiliteit en hoe hij dit kan uitoefenen bij de verwerkingsverantwoordelijke. De EDPB adviseert dat de verwerkingsverantwoordelijke duidelijk aangeeft welk soort gegevens voor dataportabiliteit in aanmerking komen en hoe de betrokkene zijn data kan meenemen voordat hij bijvoorbeeld een account afsluit. Deze informatie kun je bijvoorbeeld in de privacy-policy opnemen.
Moet ik als verwerker altijd de data aan mijn klant teruggeven?
Nee, althans niet op basis van het Avg-artikel over dataportabiliteit. Dit artikel heeft alleen betrekking op een betrokkene (persoon). Een persoon heeft het recht zijn eigen gegevens bij de verwerkingsverantwoordelijke terug te vragen.
Het artikel heeft dus geen betrekking op de B2B-relatie waarbij een klant data in een SaaS-applicatie heeft staan. De verwerker heeft de keuze om bij beëindiging de data of terug te geven of te vernietigen. Natuurlijk wil een klant ‘zijn’ data meestal terug kunnen krijgen, zeker als hij een SaaS-dienst opzegt. Het is dus verstandig daarover contractuele afspraken te maken.
Zo kun je afspreken in welk formaat data wordt teruggeleverd, op welke termijn, op welke wijze (downloaden, toesturen), wanneer niet-opgehaalde data vernietigd wordt en of er kosten aan verbonden zijn. Dit kun je bijvoorbeeld vastleggen in de (standaard-)bewerkersovereenkomst (binnenkort is hiervan een Avg-proof versie beschikbaar).
Meer informatie
Onze juristen geven advies en ondersteuning bij vraagstukken op het gebied van privacy. Heb je vragen of wil je meer informatie? Kijk dan in onze kennisbank of neem contact op met onze juristen.