Dataportabiliteit: wat houdt het in en wat moet je weten?

Op grond van de Wet bescherming persoonsgegevens (Wbp) heeft een betrokkene diverse rechten. Onder de Algemene Verordening Gegevensbescherming (AVG) blijven deze rechten ook gehandhaafd. De AVG brengt in 2018 echter ook een nieuw recht voor betrokkenen met zich mee. Namelijk het recht op overdraagbaarheid van persoonsgegevens ofwel dataportabiliteit. Maar wat houdt dit recht op dataportabiliteit in? Wat moet je als organisatie hierover weten zodat je kunt voldoen aan de regels?

De Wet bescherming persoonsgegevens

Zoals gezegd heeft een betrokkene verschillende rechten onder de Wbp. Zo heeft hij of zij het recht op inzage en correctie - inclusief het aanvullen, verbeteren, verwijderen (recht op vergetelheid) en afschermen van persoonsgegevens - het recht op verzet en het recht om te klagen. Ook geldt er een verbod op geautomatiseerde individuele besluitvorming zonder menselijke tussenkomst.

Hoewel op het eerste oog ook het ‘recht op vergetelheid’ nieuw is, is dit eigenlijk een explicietere uitwerking van het recht op uitwissing uit de oorspronkelijke richtlijn (art. 12 Richtlijn 95/46/EG). Zie ook het Costeja-arrest (HvJEG ‘Google vs. Spanje’, C-131/12).

Wat is het recht op dataportabiliteit?

Het idee achter het recht op dataportabiliteit is het vergroten van de controle van betrokkenen op hun persoonsgegevens, ook, of misschien wel juist, met het oog op big data ontwikkelingen. Een betrokkene kan zelf bepalen welke gegevens hij deelt en met wie en ontkomt hiermee tegelijk aan vendor lock-in. Het voorkomt immers dat je opnieuw moet beginnen bij een nieuwe partij. Hoewel deze bepaling oorspronkelijk was opgezet voor de overdraagbaarheid van data uit sociale media netwerken, is daar in de huidige bepaling niets meer van te vinden.

Wat zijn de operationele gevolgen?

Het recht op dataportabiliteit heeft verregaande operationele gevolgen, omdat het de verantwoordelijke verplicht om een kopie te verstrekken in een gestructureerde, algemeen gebruikte, leesbare en interoperabele vorm. Dit geldt alleen wanneer gegevens automatisch worden verwerkt op basis van toestemming of een overeenkomst. Bovendien moeten – indien technisch mogelijk – de gegevens rechtstreeks doorgestuurd worden aan een nieuwe partij op verzoek van de betrokkene. Of dit ook geldt voor gegevens die in eerste instantie geautomatiseerd zijn verwerkt, maar in een later stadium aan menselijk handelen worden toevertrouwd zal de toekomst leren.

Is jouw organisatie wel voorbereid op deze operationele werkzaamheden? Organisaties lijken nu überhaupt niet in staat om snel en gestructureerd informatie over de gegevensverwerkingen op te hoesten. Dat komt ook omdat er op dit moment nauwelijks inzageverzoeken worden gedaan door bijvoorbeeld klanten of medewerkers. In dat geval is een investering in software of mankracht voor een organisatie niet echt aan de orde.

De terminologie en overwegingen

De terminologie uit de AVG zorgt voor veel onduidelijkheden. Wat is gestructureerd, algemeen gebruikt, leesbaar en interoperabel precies?

De overwegingen bij de AVG maken het geheel nog minder duidelijk: “Het recht van de betrokkene om hem betreffende persoonsgegevens door te zenden of te ontvangen, mag voor de verwerkingsverantwoordelijke geen verplichting doen ontstaan om technisch compatibele systemen voor gegevensverwerking op te zetten of te houden” (overweging 68).

Betekent dit dan dat het een soort lege huls is? Want door het ontbreken van de verplichting om compatibele systemen te ontwikkelen kun je al gauw genoeg beargumenteren dat er technische onmogelijkheden zijn. Niettemin wordt ‘eenvoudige overdracht van data’ wel zo gepropageerd door de EU zelf.

Dit staat wat mij betreft deels haaks op de aanhef van dezelfde overweging: “De verwerkingsverantwoordelijken dienen ertoe te worden aangemoedigd interoperabele formaten te ontwikkelen die gegevensoverdraagbaarheid mogelijk maken.”

Maar wat nu in de praktijk?

Hoewel kritiek op de uitvoeringsmogelijkheden van overdraagbaarheid zeker op zijn plaats is, moeten bedrijven vanaf 2018 wel voldoen aan de regels van de privacyverordening. Om zeker te weten dat jouw organisatie voldoet aan de gestelde regels heb ik hieronder een aantal stappen geformuleerd om je op weg te helpen.

1) Weet welke verwerkingsprocessen je organisatie heeft en welke processen door dataportabiliteit getroffen zullen worden

Het recht op dataportabiliteit geldt alleen voor geautomatiseerde verwerkingen op basis van toestemming of contract. Publieke taken – zoals cameratoezicht door de gemeente - zijn hierbij een uitzondering. Weet je niet welke verwerkingen dit zijn in jouw organisatie? Breng dan meteen alle verwerkingen in kaart en zorg dat je data-inventarisatie op orde is. Dan ben je meteen al een beetje dichterbij compliance.

2) Zorg dat betrokkenen hun rechten kunnen uitoefenen

Kunnen betrokkenen in jouw organisatie eenvoudig hun rechten uitoefenen? Hoe en in welke vorm worden kopieën van gegevens op dit moment verstrekt aan betrokkenen? Is dit in een gestructureerde, leesbare en interoperabele vorm? Let op! Betrokkenen moeten hun rechten ook al uit kunnen oefenen onder de Wbp (inzage, wijzigen, verwijderen enz). Dataportabiliteit komt daar dus vanaf 2018 bij.

3) Zorg voor accurate, leesbare en up-to-date informatie over de verwerkingen

De informatie aanpassen die nu aan betrokkenen wordt verstrekt is op zichzelf niet heel spannend, want privacy statements en ander communicatiemateriaal worden immers – als het goed is – regelmatig gecontroleerd en zo nodig gewijzigd. Ook hier geldt weer dat duidelijke en leesbare communicatie toch al een vereiste is onder de Wbp en straks dus ook de AVG.