Vergroot contrast

Recht op dataportabiliteit

De Algemene verordening gegevensbescherming (AVG) geeft betrokkenen (degenen van wie persoonsgegevens worden verwerkt) een nieuw recht. Dit is het recht op dataportabiliteit, oftewel overdraagbaarheid van persoonsgegevens. Het houdt in dat betrokkenen het recht hebben om de persoonsgegevens te ontvangen die een organisatie van hen heeft.

Vervolgens kunnen betrokkenen deze gegevens zelf opslaan voor persoonlijk (her)gebruik. Ook kunnen ze de gegevens doorgeven aan een andere organisatie. Bijvoorbeeld als ze willen overstappen naar een andere telecomprovider of als ze een dienst van een andere organisatie willen gebruiken, zoals een online huishoudboekje.

De organisatie die de gegevens verstrekt, mag betrokkenen hierin niet tegenwerken. En moet ervoor zorgen dat de betrokkenen hun gegevens makkelijk kunnen krijgen en doorgeven.

Guidelines dataportabiliteit

De Europese privacytoezichthouders hebben in april 2017 de (definitieve) Guidelines on the right to data portability gepubliceerd die meer uitleg geven over het recht op dataportabiliteit.

Op een eerdere versie van deze guidelines (december 2016) vroegen de toezichthouders om feedback. Die is nu verwerkt in de definitieve versie.

Er is een Nederlandse vertaling beschikbaar van de eerdere versie. Binnenkort volgt de vertaling van de definitieve guidelines.

Bekijk binnen het onderwerp Recht op dataportabiliteit

Alle antwoorden op mijn vragenVragen over dataportabiliteit

  • Welke gegevens vallen onder het recht op dataportabiliteit?

    Ten eerste gaat het alleen om digitale gegevens. Papieren dossiers vallen er dus niet onder. Ten tweede gaat het om persoonsgegevens die een organisatie óf met toestemming van de betrokkene verwerkt óf om een overeenkomst met de betrokkene uit te voeren.

    Onder gegevens die een organisatie verwerkt om een overeenkomst uit te voeren, vallen bijvoorbeeld ook de titels van boeken die iemand in een webwinkel heeft gekocht of de liedjes die diegene heeft beluisterd via een muziekstreamingdienst.

  • Wat is het verschil tussen het inzagerecht en het recht op dataportabiliteit?

    Betrokkenen hebben nu al het recht om inzage te vragen in de persoonsgegevens die een organisatie van hen verwerkt. Maar organisaties kunnen zelf beslissen hoe ze de gegevens ter inzage geven. Ze kunnen er bijvoorbeeld ook voor kiezen om de gegevens niet aan de betrokkene te verstrekken, maar de betrokkene uit te nodigen om ter plekke zijn gegevens te komen inzien.

    Bij het recht op dataportabiliteit moeten organisaties de gegevens verstrekken in een vorm die het voor betrokkenen makkelijk maakt om hun gegevens te hergebruiken en door te geven aan een andere organisatie. Organisaties zijn daarom wettelijk verplicht om de gegevens in een gestructureerd, veelgebruikt en machineleesbaar formaat te verstrekken.

  • Hoe kan ik me als organisatie voorbereiden op het recht op dataportabiliteit?

    Vanaf 25 mei 2018 kunnen uw klanten gebruikmaken van hun recht op dataportabiliteit. Dat betekent dat u dus vanaf deze datum verzoeken kunt krijgen van uw klanten om hun persoonsgegevens beschikbaar te stellen. U bent dan wettelijk verplicht om de gegevens in een gestructureerd, veelgebruikt en machineleesbaar formaat te verstrekken.

    U kunt zich hierop voorbereiden door alvast na te denken over hoe u de gegevens beschikbaar gaat stellen. Bijvoorbeeld via een tool waarmee uw klanten hun gegevens direct op een beveiligde manier kunnen downloaden.

    Ook moet u ervoor zorgen dat uw klanten hun gegevens direct kunnen doorgeven aan een andere organisatie. Dit kunt u bijvoorbeeld doen met een application programming interface (API), waarmee u een verbinding mogelijk maakt tussen uw systeem of applicatie en dat van een andere partij.

    Dit kan ook een vertrouwde derde partij zijn, die de overgedragen gegevens opslaat en op verzoek van klanten aan meerdere organisaties kan doorgeven.

    Meer informatie over voorbereiden op de AVG

    Wilt u weten wat u nog meer kunt doen om u voor te bereiden op de nieuwe Europese privacyregels? Bekijk het 10-stappenplan Voorbereiding op de AVG (pdf).

  • Welke gegevens moet ik straks aan mijn klanten verstrekken?

    U moet alle persoonsgegevens beschikbaar stellen die uw klanten aan u hebben verstrekt. Maar dit moet u ruim opvatten. Het gaat hierbij niet alleen om gegevens die klanten actief en bewust aan u hebben verstrekt, zoals de accountgegevens (e-mailadres, gebruikersnaam, leeftijd etc.) die zij op een online formulier hebben ingevuld.

    Het gaat ook om de gegevens die klanten aan u hebben ‘verstrekt’ door uw dienst of apparaat te gebruiken. Bijvoorbeeld de zoekgeschiedenis of locatiegegevens van uw klanten. Of andere (ruwe) data als de hartslag die via een fitnesstracker is vastgelegd.

    Afgeleide gegevens

    U hoeft bij een verzoek om dataportabiliteit géén afgeleide gegevens te verstrekken, dat wil zeggen gegevens die u zelf heeft gegenereerd door bijvoorbeeld data-analyse. Zoals een kredietscore of een profiel dat u van een klant heeft opgesteld.

    Let op: deze gegevens moet u bij een inzageverzoek wél verstrekken.

  • In welk formaat moet ik de gegevens verstrekken?

    De Algemene verordening gegevensbescherming (AVG) schrijft geen specifieke formaten voor. De persoonsgegevens moeten worden overgedragen in een gestructureerd, veelgebruikt en machineleesbaar formaat. Het doel is dat de klanten hun gegevens makkelijk in een andere omgeving kunnen hergebruiken.

    Metagegevens meeleveren

    Daarom moet u niet alleen de feitelijke inhoud leveren, maar ook zoveel mogelijk relevante metagegevens meeleveren. Zoals tijdstip, afzender, geadresseerde etc. Hierdoor blijft de betekenis van de overgedragen informatie zo goed mogelijk bewaard.

    Standaarden

    Het beste formaat om gegevens te verstrekken, zal per sector verschillen. De Europese toezichthouders doen een oproep aan alle belanghebbenden en brancheorganisaties om samen te werken aan een set van standaarden en formaten om het recht op dataportabiliteit vorm te geven.

  • Wat moet ik doen met gegevens van andere mensen in de gegevens die ik aan mijn klanten moet verstrekken?

    U verwerkt waarschijnlijk vaak informatie die persoonsgegevens bevat van meerdere mensen. Vraagt een klant bijvoorbeeld om zijn belgeschiedenis? Dan staan in dit overzicht niet alleen persoonsgegevens van uw klant, maar ook van de personen met wie uw klant heeft gebeld. U moet het complete overzicht verstrekken aan uw klant.

    Geeft uw klant het overzicht vervolgens door aan een andere organisatie, dan moet die organisatie een wettelijke grondslag hebben om de gegevens van de andere mensen te verwerken. Dat betekent dat de organisatie deze gegevens bijvoorbeeld niet zomaar mag gebruiken voor reclame.

    Het is aan te raden om uw klanten te helpen om een zorgvuldige keuze te maken welke gegevens zij willen overdragen aan een andere organisatie. Dit kunt u bijvoorbeeld doen door gelaagde overdrachtsmogelijkheden aan te bieden. Bijvoorbeeld de keuze tussen alle gegevens of alleen de gegevens van het afgelopen jaar of de keuze tussen alle contacten of geselecteerde contacten bij de overdracht van een adresboek.

  • Ben ik verantwoordelijk voor wat mijn klant doet met zijn gegevens?

    Nee. Heeft u op verzoek van uw klant zijn persoonsgegevens verstrekt, dan bent u niet verantwoordelijk voor wat hij daarmee doet. Ook niet voor de verwerking van deze gegevens door een andere organisatie.

    Let op: u bent er wel verantwoordelijk voor dat het recht op dataportabiliteit niet leidt tot datalekken. U moet een goed authenticatiemechanisme aanbieden, zodat u zeker bent van de identiteit van uw klanten.

  • Mag ik kosten in rekening brengen voor het beschikbaar stellen van gegevens?

    Nee, in principe niet. Bij het huidige inzagerecht mag u geld vragen voor het verstrekken van kopieën, maar bij het recht op dataportabiliteit heeft u deze mogelijkheid niet.

    Alleen als u kunt aantonen dat een verzoek duidelijk ongegrond is of excessief (bijvoorbeeld als u heel veel verzoeken van één persoon krijgt), kunt u geld vragen of het verzoek weigeren. Maar het zal niet vaak voorkomen dat u kunt verantwoorden dat een verzoek voor u een buitenproportionele last oplevert, zeker niet als uw organisatie gespecialiseerd is in het automatisch verwerken van persoonsgegevens.

    Let op: de totale hoeveelheid verzoeken die u krijgt en de totale kosten die u maakt om deze verzoeken te beantwoorden, mag u niet laten meewegen bij uw beslissing of een verzoek ‘excessief’ is. De kosten zijn voor uw rekening en mag u niet verhalen op uw klanten of gebruiken als argument om een verzoek af te wijzen.

  • Binnen welke termijn moet ik reageren op een verzoek om dataportabiliteit?

    U moet de gevraagde persoonsgegevens zo snel mogelijk beschikbaar stellen, in ieder geval binnen een maand.

    Complexe verzoeken

    Bij complexe verzoeken heeft u maximaal drie maanden de tijd, maar dan moet u de reden voor deze vertraging wel binnen een maand aan uw klant laten weten.

    Verzoek weigeren

    Wilt u een verzoek weigeren? Dan moet u binnen een maand aan uw klant laten weten waarom u het verzoek weigert. En hem erop wijzen dat hij een klacht kan indienen bij de Autoriteit Persoonsgegevens of juridische hulp kan zoeken.

  • Moet ik gegevens extra lang bewaren voor mogelijke verzoeken?

    Nee, dat hoeft niet. U bewaart de gegevens van uw klanten zo lang als u normaal ook zou doen. U hoeft ze niet - voor eventuele toekomstige verzoeken - langer te bewaren dan de gebruikelijke bewaartermijn.

  • Betekent een verzoek om dataportabiliteit dat ik de gegevens daarna moet vernietigen?

    Nee, klanten mogen een verzoek indienen om dataportabiliteit zolang zij klant bij uw organisatie zijn. Dus zolang zij klant blijven, moet u de persoonsgegevens blijven verwerken voor de noodzakelijke en gerechtvaardigde doeleinden van uw organisatie.

    Andere privacyrechten

    Een verzoek om dataportabiliteit heeft ook geen invloed op de andere privacyrechten van uw klanten. Uw klant mag gelijktijdig zijn andere privacyrechten uitoefenen zolang hij klant bij u is, zoals het recht op inzage, correctie of verwijdering van persoonsgegevens.

    U moet al deze rechten respecteren zonder dat u een verzoek om dataportabiliteit mag vertragen, omdat de klant misschien nog een ander verzoek heeft gedaan.

  • Moet ik mijn klanten informeren over hun recht op dataportabiliteit?

    Ja, dat bent u wettelijk verplicht. U moet hierbij duidelijk maken dat het om een nieuw recht gaat, dat uw klanten hebben naast de bestaande privacyrechten.

    Het is vooral belangrijk dat u duidelijk uitlegt welke gegevens uw klanten kunnen opvragen met het inzagerecht en welke met het recht op dataportabiliteit. En dat u uw klanten wijst op de mogelijk van dataportabiliteit als zij hun contract bij u willen beëindigen.

  • Wat moet ik als organisatie doen als ik gegevens van een nieuwe klant krijg?

    Ontvangt u gegevens van een nieuwe klant? Die deze klant heeft opgevraagd bij een andere organisatie en vervolgens aan u heeft doorgegeven? Dan moet u goed kijken welke van deze gegevens noodzakelijk zijn voor het doel van uw gegevensverwerking. Alle andere gegevens moet u zo snel mogelijk vernietigen.

    Informatie over noodzakelijke gegevens

    Het is aan te raden dat u vooraf duidelijke informatie geeft aan nieuwe klanten over welke gegevens noodzakelijk zijn voor de dienst die u biedt. Op die manier kunnen klanten een bewuste keuze maken welke gegevens zij aan u overdragen.

    Hiermee verkleint u het risico dat uw nieuwe klanten gegevens verspreiden van zichzelf en/of anderen terwijl dat niet nodig is.

Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden