5 oktober 2017

De Avg uitgelegd deel 8: dataportabiliteit

ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG), EUROPA, INTERNATIONALE DATASTROMEN, PRIVACY, HELPDESK AVG, HELPDESK JURIDISCH, VERTROUWEN
Dataportabiliteit

In deze serie besteden we aandacht aan een aantal grote veranderingen op privacy-gebied waarmee ICT-bedrijven geconfronteerd gaan worden. Reden van deze veranderingen zijn de nieuwe Europese privacy-regels uit de GDPR (General Data Protection Regulation); de Algemene verordening gegevensbescherming (Avg). Per 25 mei 2018 moet je bedrijfsvoering op de Avg aangepast zijn. In dit achtste deel van de serie over de Avg gaan we nader in op dataportabiliteit.

Wat is dataportabiliteit?

Dataportabiliteit is het recht van een betrokkene (een individuele klant of consument) om de persoonsgegevens die hij of zij aan de verwerkingsverantwoordelijke (de leverancier) verstrekt heeft, in een gestructureerde, gangbare en machine-leesbare vorm terug te krijgen zodat hij ze aan een andere verwerkingsverantwoordelijke kan verstrekken. De gedachte achter deze regel is dat individuen hierdoor makkelijker van dienstverlener kunnen wisselen en een ‘vendor lock-in’ voorkomen wordt.

Is dataportabiliteit nieuw?

Ja, dataportabiliteit is onder de Avg een nieuw recht van betrokkenen. Naast het recht op inzage, correctie en verwijdering (die al bestonden) is dit recht toegevoegd.

Wanneer is het recht op dataportabiliteit van toepassing?

Ten eerste moet het gaan om een geautomatiseerde verwerking (papieren documenten zijn dus uitgesloten). De grondslag voor de verwerking moet of de door de betrokkene gegeven toestemming zijn, of betrekking hebben op het uitvoeren van een overeenkomst waarbij de betrokkene partij is. Denk bijvoorbeeld aan een social media-account of gezondheidsgegevens die in de cloud worden opgeslagen via een waerable.

Ten tweede moet het gaan om persoonsgegevens die betrekking hebben op die persoon én op persoonsgegevens die door hem verstrekt zijn.

Ten derde moeten de rechten en vrijheden van anderen niet geschonden worden door de teruggave van de persoonsgegevens. Als er informatie van derden in de dataset zit van de verzoekende betrokkene, moet die er uit gehaald worden als de rechten van die derde geschonden zouden worden.

Welke data moet verstrekt worden?

Alleen de ‘eigen’ data van de betrokkene, die hij zelf verstrekt heeft. De Europese privacy adviesgroep (de Artikel 29 Werkgroep of WP29) adviseert om deze omschrijving niet te smal te interpreteren. Ook persoonsgegevens van derden die door de betrokkene aangeleverd zijn, moeten er volgens hen onder vallen. Bijvoorbeeld bij een online adresboek van een persoon. Daar staan met name zijn contactpersonen in, dus derden, en niet hij zelf. De WP29 is van mening dat het recht op dataportabiliteit dan op dat hele bestand slaat en niet alleen op het adres van de betrokkene zelf (als dat al in het bestand staat).

Er gaan ook stemmen op binnen de Europese Unie dat de interpretatie door dit gezaghebbende orgaan juist veel te breed is. Wat ‘eigen’ precies is, blijft dus voorlopig onduidelijk. Zijn je aankoopgegevens in de supermarkt of berichten van anderen in jouw tijdlijn ‘jouw’ gegevens? Dit zal zeker nog discussie opleveren. Als leverancier zul je hierin echter nu al keuzes moeten maken voor de manier waarop je met verzoeken voor dataportabiliteit omgaat.

Bij een medisch dossier kunnen er ook gegevens van derden in staan (artsen, verpleging, et cetera). Die gegevens van derden moeten juist niet verstrekt worden, omdat dat de privacy van de derde raakt.

Gegevens die niet direct door de betrokkene aangeleverd zijn, maar afgeleid zijn van zijn gegevens (denk aan analyses of profiling data) hoeven niet aan de betrokkene te worden gegeven.

Hoe moet data verstrekt worden?

De Avg maakt niet duidelijk hoe het recht op dataportabiliteit technisch ingevuld moet worden. De Europese privacy adviesgroep WP29 adviseert om een directe download-mogelijkheid voor betrokkenen te creëren. Dit kan bijvoorbeeld in de vorm van een soort ‘data-export-knop’. Ook wil de WP29 dat een verwerkingsverantwoordelijke de mogelijkheid biedt om de data direct door te kunnen sturen naar een andere provider, middels een API. Dit vergt dus technische aanpassingen bij aanbieders. Voor dienstverleners, maar ook voor softwaremakers is het dus handig om ervoor te zorgen dat dataportabiliteit technisch mogelijk is.

Als niet gekozen wordt voor een directe download-mogelijkheid, moet op een andere manier voorzien worden in de mogelijkheid tot dataportabiliteit. Daarnaast moeten er maatregelen genomen worden om de betrokkene te identificeren zodat geen data aan de verkeerden afgestaan wordt. In de Handleiding inzage- en verwijderverzoeken hebben we een onderdeel over dataportabiliteit toegevoegd. Deze handleiding is voor leden te downloaden via MijnNederlandICT.

Overigens is er geen verplichting opgenomen in de Avg die het voor ontvangers verplicht om de meegenomen data makkelijk te importeren. Er is dus geen garantie dat als je van bank A naar bank B gaat je je lijstjes met veel gebruikte bankrekeningnummers handig kunt integreren in je nieuwe online banking.

Moeten de betrokkenen geïnformeerd worden over dataportabiliteit?

Ja, de verwerkingsverantwoordelijke moet de betrokkenen op een duidelijke, transparante, begrijpelijke en makkelijk toegankelijke manier informeren over het recht op dataportabiliteit en hoe hij dit kan uitoefenen bij de verwerkingsverantwoordelijke. De WP29 adviseert dat de verwerkingsverantwoordelijke duidelijk aangeeft welk soort gegevens voor dataportabiliteit in aanmerking komen en hoe de betrokkene zijn data kan meenemen voordat hij bijvoorbeeld een account afsluit. Deze informatie kun je bijvoorbeeld in de privacy-policy opnemen.

Moet ik als verwerker altijd de data aan mijn klant teruggeven?

Nee, althans niet op basis van het Avg-artikel over dataportabiliteit. Dit artikel heeft alleen betrekking op een betrokkene (persoon). Een persoon heeft het recht zijn eigen gegevens bij de verwerkingsverantwoordelijke terug te vragen.

Het artikel heeft dus geen betrekking op de B2B-relatie waarbij een klant data in een SaaS-applicatie heeft staan. De verwerker heeft de keuze om bij beëindiging de data of terug te geven of te vernietigen. Natuurlijk wil een klant  ‘zijn’ data meestal terug kunnen krijgen, zeker als hij een SaaS-dienst opzegt. Het is dus verstandig daarover contractuele afspraken te maken.

Zo kun je afspreken in welk formaat data wordt teruggeleverd, op welke termijn, op welke wijze (downloaden, toesturen), wanneer niet-opgehaalde data vernietigd wordt en of er kosten aan verbonden zijn. Dit kun je bijvoorbeeld vastleggen in de (standaard-)bewerkersovereenkomst (binnenkort is hiervan een Avg-proof versie beschikbaar).

Wat als ik nog vragen heb?

Via de Helpdesk Avg geven onze juristen onder meer advies en ondersteuning bij vraagstukken op het gebied van privacy. Nederland ICT organiseert ook verschillende workshops en bijeenkomsten. Leden van Nederland ICT kunnen kosteloos deelnemen. Ben je nog geen lid en wil je ook profiteren van deze en vele andere mogelijkheden van het lidmaatschap? Bekijk de voordelen!

Wil je regelmatig een update ontvangen met nieuws, publicaties en andere informatie over de Avg? Meld je dan aan voor onze Avg nieuwsbrief.