Gepubliceerd op 13 december 2017

Dataportabiliteit in de nieuwe privacyregelgeving: wat is dat?

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG of in het Engels: de GDPR) in werking. De AVG regelt hoe een organisatie om moet gaan met persoonsgegevens, ieder gegeven dat herleidbaar is naar een persoon. De AVG brengt nieuwe verplichtingen met zich mee voor alle organisaties en dus ook voor ondernemers.

Zo zal iedere organisatie vanaf 25 mei 2018 aan de hand van documenten moeten kunnen aantonen dat zij voldoet aan de privacyregelgeving. Tevens biedt de AVG een aantal nieuwe rechten voor de personen van wie gegevens worden verwerkt, de betrokkenen. Eén van deze nieuwe rechten is dataportabiliteit.

Dataportabiliteit

Onder de komende privacyregelgeving heeft een betrokkene het recht om zijn persoonsgegevens die digitaal zijn verwerkt “in een gestructureerde, gangbare en machinaal leesbare vorm” te verkrijgen en over te dragen aan een ander. Dit wordt het recht op overdraagbaarheid van gegevens, oftewel het recht op dataportabiliteit genoemd.

De gedachte van dit recht is dat een betrokkene meer controle krijgt over zijn persoonsgegevens. Zo heeft de betrokkene te allen tijde het recht op zijn eigen dataset, bijvoorbeeld voor eigen gebruik. Bovendien heeft hij het recht, als dat technisch mogelijk is, om zijn persoonsgegevens rechtstreeks van de ene naar de andere gegevensverwerker te laten overdragen.

Als natuurlijk persoon: handig!

Als betrokkene is het recht op dataportabiliteit uiteraard handig. Iedereen kan zijn persoonlijke dataset opvragen en gebruiken, of zijn persoonsgegevens meenemen bij een overstap naar een andere aanbieder. Liever Gmail dan Hotmail? De mailbox kan met een beroep op dataportabiliteit worden meegenomen.

Als ondernemer: opletten!

Maar als u als ondernemer persoonsgegevens in een geautomatiseerd systeem verwerkt, dan kan iedere betrokkene u vragen om zijn dataset over te dragen. Een klant kan u vragen om zijn persoonsgegevens uit uw digitale klantenbestand, bijvoorbeeld omdat de klant overstapt naar een concurrent. Of om de gegevens die u over hem heeft verzameld via online formulieren op uw website. U bent dan in principe verplicht om kosteloos zijn dataset aan te leveren in een machinaal leesbaar formaat. Welk formaat dat moet zijn is (nog) niet bepaald. Gangbare open formaten zijn XML, JSON of CSV.

Bent u voorbereid?

Zijn uw systemen zo ingericht dat de daarin verwerkte persoonsgegevens makkelijk zijn te exporteren op persoonsniveau? Het is aan te raden om dit nu in uw systemen na te gaan of na te vragen bij uw softwareleverancier. Vanaf 25 mei 2018 dient u namelijk binnen een maand na ontvangst van een verzoek om dataportabiliteit de persoonlijke dataset aan de verzoeker te verstrekken. Een mogelijke oplossing kan zijn om betrokkenen de mogelijkheid te bieden om zelf de eigen dataset te downloaden, bijvoorbeeld via een klantenportaal.

Als uw systemen of de gegevens worden beheerd door een andere partij, dan moet u afspraken met die partij maken om aan dataportabiliteitsverzoeken te kunnen voldoen. Die afspraken kunnen in een zogenaamde verwerkersovereenkomst worden opgenomen.

Informeren van uw klanten

Op grond van de privacyregelgeving dient u iedereen waarvan u persoonsgegevens verwerkt, te informeren over wat u met deze persoonsgegevens doet. Dat kan bijvoorbeeld via een privacyverklaring op uw website. Daarin zal u ook de rechten van betrokkenen moeten opnemen, zoals het nieuwe recht op dataportabiliteit.

Meer weten?

Heeft u vragen over de nieuwe privacyregelgeving? Privacy specialist van Hekkelman advocaten en notarissen, Monique Hennekens, helpt u graag!

Monique Hennekens
Advocaat | Hekkelman advocaten en notarissen

Prins Bernhardstraat 1, 6521 AA Nijmegen
Telefoon 024 – 382 83 84
E-mail m.hennekens@hekkelman.nl

www.hekkelman.nl

Fotografie: Istar Verspui