Recht op dataportabiliteit

Al uw betrokken, bijvoorbeeld nieuwsbriefabonnees of patiënten, hebben onder de AVG recht op dataportabiliteit. Dit recht waar betrokkenen een beroep op kunnen doen, betreft artikel 20 van de AVG wetgeving. Het artikel "Recht op dataportabiliteit", wordt onder de GDPR en dus in het Engels "Right to data portability".

Middels dit recht kunnen betrokkenen overdraagbaarheid van persoonsgegevens in bepaalde situaties claimen en doorgeven aan andere dienstverleners. Betrokkenen kunnen middels uitoefening van het recht op dataportabiliteit tevens vragen om persoonsgegevens direct over te dragen aan een andere organisatie.

Vragen om data overdracht

Enkel digitale data valt onder het recht op dataportabiliteit. Bovendien kan dit recht enkel wordt uitgeoefend indien de persoonsgegevens die verwerkt worden, via een overeenkomst met betrokkene of met toestemming van de betrokkene plaats vindt.

Recht op dataportabiliteit op een rijtje

  • Verzoek om recht op dataportabiliteit moet in een product resulteren, dat leesbaar is door een machine. Denk aan XML, JSON als export-bestand;
  • Data overdracht dient niet te leiden tot datalekken, beperk informatie in het export-bestand tot hetgeen dat bij de betrokkene hoort;
  • Alle door betrokkene verstrekte gegevens, moet worden aangeleverd;
  • Onder de informatie vallen ook verzamelde meta-gegevens, bijvoorbeeld hartslag, locaties, zoek- of belgeschiedenis, alle data dat een betrokkene op welke wijze dan ook aan u heeft verstrekt;
  • In tegenstelling tot recht op inzage hoeven afgeleide gegevens niet te worden verstrekt, denk aan rapportages n.a.v. data-analyses die gedaan zijn op basis van persoonsgegevens;
  • Gegevens moeten direct aan een andere organisatie overgedragen kunnen worden. Het AP geeft een API als voorbeeld;
  • Reactie en daarmee bestands-export dient in ieder geval binnen een maand aangeleverd te worden, maximaal drie maanden in geval van complexe verzoeken (de betrokkene moet dan wel binnen een maand op de hoogte worden gesteld);
  • Verzoek om dataportabiliteit betekent op zichzelf dat de betreffende data niet verwijderd hoeft te worden;
  • Het in behandeling nemen van een verzoek mag niet vertraagd worden, bijvoorbeeld omdat dezelfde betrokkene gelijktijdig een beroep doet op een ander recht (zoals recht op vergetelheid of recht op inzage);
  • Klanten dienen gewezen te worden op het recht op dataportabiliteit, bijvoorbeeld in geval van contract beeïndiging.

Ontvanger bij dataportabliteit

Bent u juist de ontvangende partij van een computer leesbaar bestand(sformaat), dat een betrokkene heeft gekregen op basis van recht op dataportabiliteit? Dan mag u enkel gegevens uit het bestand verwerken welke noodzakelijk zijn voor het doel van de verwerking.

Bijvoorbeeld: Een eventuele belgeschiedenis dat is meegekomen in een export-bestand c.q. data-overdracht, dan mogen de nummers uit de belgeschiedenis niet zomaat voor reclame worden gebruikt.

Recht op dataportabiliteit bij Autoriteit Persoonsgegevens

Het uitoefenen van het recht op dataportabiliteit kan tevens schriftelijk, per e-mail of per post. De Autoriteit Persoonsgegevens licht op hun website meer toe.

In het geval een organisatie een verzoek tot dataportabiliteit weigert, dient een reden te worden aangegeven en kan de betrokkene een klacht indienen bij de Autoriteit Persoonsgegevens.