De AVG in Beeld: dataportabiliteit

In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en helder maken. Deze week bespreken wij als eerste in deze serie: de theorie van dataportabiliteit. 

Dataportabiliteit is een van de nieuwe rechten die de AVG toekent aan betrokkenen. De wetgeving duidt het aan met ‘Recht op overdraagbaarheid van gegevens’ (artikel 20).

dataportabiliteit

Het recht op dataportabiliteit is een middel van de AVG om betrokkenen meer zeggenschap te geven over hun eigen gegevens. Dat gaat niet zonder dat er aan specifieke voorwaarden zijn voldaan. Wilt u weten wat dataportabiliteit precies inhoudt, en hoe de uitoefening van dit recht werkt? Dan is deze blog voor u.

 

Wat is het en wanneer geldt het?

Een betrokkene mag onder bepaalde voorwaarden persoonsgegevens meenemen naar een andere verantwoordelijke. In praktijk kan dat betekenen dat hij zijn gegevens opvraagt bij de huidige verantwoordelijke of laat doorzenden naar een andere verantwoordelijke. De verantwoordelijke moet dan in een gestructureerde, gangbare en machineleesbare vorm de persoonsgegevens aan de betrokkene of aan de andere verantwoordelijke overdragen.

Het recht op dataportabiliteit komt het best tot zijn recht wanneer de gebruiker een applicatie gebruikt die niet oorspronkelijk van de verantwoordelijke is maar wel die gegevens gebruikt (fintech, smart meters, social media, boekhoudingen, e-mail, agenda en cloudopslag).

Het recht op dataportabiliteit is niet vanzelfsprekend. De betrokkene kan alleen aanspraak maken wanneer de verwerking aan een aantal voorwaarden voldoet. De voorwaarden staan summier in de wet, maar zijn verder uitgewerkt in de opinie van het Europees adviesorgaan van toezichthouders en in hoofdlijnen weergegeven in deze blog.

 

1.       Alleen persoonsgegevens over de betrokkene

De betrokkene heeft natuurlijk alleen het recht op dataportabiliteit van gegevens die iets zeggen over hem of haar zelf. In de praktijk blijkt dat lastig: bestanden met telefoongegevens, bijvoorbeeld, bevatten ook informatie over inkomende en uitgaande telefoontjes. In deze gevallen moeten de gegevens over andere bellers mee in reactie op het verzoek van de betrokkene. De verantwoordelijkheid voor bescherming van deze gegevens gaat over naar de ontvangende verantwoordelijke. Die mag ze niet gebruiken voor doeleinden waarmee hij de rechten en vrijheden van derden schaadt.

Dit betekent concreet dat anonieme gegevens of gegevens over een andere persoon dan de betrokkene buiten het recht op dataportabiliteit vallen. Pseudonieme gegevens vormen geen uitzondering als de link tussen het pseudoniem en betrokkene gelegd kan worden (zie ook de uitzondering in de tweede helft van artikel 11 lid 2 AVG). Dit ligt in lijn met het uitgangspunt dat pseudonimisering slechts een beveiligingsmaatregel is, en gepseudonimiseerde gegevens gewoon aangemerkt worden als persoonsgegevens.

 

2.       Verstrekt door de betrokkene

De betrokkene dient de gegevens zelf te hebben verstrekt. De term ‘verstrekken’ omvat veel: het geldt wanneer je in een online formulier je (gebruikers)naam, e-mail of leeftijd opgeeft, en ook (!) wanneer gegevens zijn gegenereerd bij, of verzameld over, activiteiten van een betrokkene, zoals ruwe data van slimme meters. Dit laatste is overigens al geregeld in de Elektriciteits- en Gaswet, dus voor Nederland niks nieuws. Gegevens die uitsluitend door de verantwoordelijke zijn geproduceerd, zoals een gebruikersprofiel naar aanleiding van analyse van de ruwe gegevens van slimme meters vallen buiten de scope van het recht op dataportabiliteit.

Om dit lastige onderscheid overzichtelijker te maken, kun je daarom categorieën onderscheiden:

  • observatiegegevens die door gebruik van een dienst of apparaat door een betrokkene zijn verstrekt aan de verantwoordelijke: zoekgeschiedenis, gekochte producten, toegangsloggegevens, verkeers- en locatiegegevens, ruwe gegevens van een gezondheidstracker, online trackers;
  • gegevens die door de verantwoordelijke zijn afgeleid van gegevens die de betrokkene heeft verstrekt: kredietwaardigheidsscore, uitslag van sporttest, algoritmische resultaten.

 

3.       Geautomatiseerd versus papier

Daarnaast moet de verwerking zelf via een geautomatiseerd procedé worden verricht; het recht geldt dus niet voor papieren bestanden. Wanneer het technisch niet mogelijk is hoeft de verantwoordelijke de persoonsgegevens niet aan een andere verantwoordelijke door te zenden, maar kan worden volstaan met het verstrekken aan de betrokkene zelf.

Als aan de overige voorwaarden is voldaan, dient de verantwoordelijke zoals aangegeven de gegevens in een gestructureerde, gangbare en machineleesbare vorm te verzenden. Daarbij wordt in de overwegingen van de AVG (overweging 68) ook een interoperabel formaat genoemd. Verantwoordelijken worden aangemoedigd dit soort uitwisselbare formaten ook te ontwikkelen om dataportabiliteit mogelijk te maken.

 

4.       Toestemming of overeenkomst

Bovendien geldt het recht op dataportabiliteit alleen wanneer gegevens worden verwerkt op basis van onderstaande grondslagen:

  • Gegevensverwerking noodzakelijk ter uitvoering van een overeenkomst;
  • De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens.

Er zijn normaliter zes mogelijke grondslagen voor rechtmatige gegevensverwerking. Het recht op dataportabiliteit geldt dus niet als een verwerking op basis van een van de andere vier grondslagen gebeurt, bijvoorbeeld bij een gegevensverwerking die noodzakelijk is om te voldoen aan een wettelijke verplichting die rust op de verantwoordelijke. De betrokkene heeft bijvoorbeeld wel het recht wanneer hij een playlist bij een aanbieder van streamingmuziek wil hebben om bij een andere partij te gebruiken.

 

5.       Rechten en vrijheden van derden

Tot slot mag het recht op dataportabiliteit geen afbreuk doen aan de rechten en vrijheden van derden (artikel 20 lid 4 AVG). Daarmee kunnen bedrijfsgeheimen en intellectueel eigendom een argument zijn om niet te hoeven voldoen aan het recht op dataportabiliteit, zolang het niet resulteert in een weigering alle informatie te verstrekken aan de betrokkene. Voor de overdracht van bestanden met tevens persoonsgegevens van anderen naar de ontvangende verantwoordelijke is een rechtmatige grondslag nodig en moet ook rekening gehouden worden met hun rechten op inzage, informatie, etc.

Ter illustratie: wanneer een betrokkene zijn recht op dataportabiliteit wil uitoefenen bij zijn emailprovider, zijn gegevens van het adressenbestand met contacten, vrienden, familieleden et cetera, wellicht wel zelf ingevoerd maar gaat het ook om persoonsgegevens over anderen. In dit geval geldt dat wanneer de gegevens voor dezelfde doeleinden worden gebruikt (het faciliteren van emailverkeer) er niets aan de hand is en het recht gewoon kan worden uitgeoefend.

Op het moment dat de ontvangende verantwoordelijke de gegevens gaat gebruiken voor eigen doeleinden of marketingdoeleinden is dit een inbreuk op de rechten en vrijheden van de andere betrokkenen. Daarom is de verwerking van deze gegevens alleen toegestaan wanneer de gegevens onder beheer zijn van de betrokkene die in eerste instantie het verzoek op dataportabiliteit deed. Dan valt de verwerking onder de grondslag van het gerechtvaardigd belang, zeker wanneer de gegevens worden verwerkt voor persoonlijke of huishoudelijke doeleinden (van de betrokkene).

 

En in de praktijk? Binnenkort wijden we een aparte blog over verschillende use cases en hoe een organisatie praktisch en efficiënt om kan gaan met compliance met betrekking tot het recht op dataportabiliteit. Wilt u die niet missen? Abonneer u dan op de nieuwsbrief of volg ons op Twitter!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *