Recht op dataportabiliteit

Mensen hebben het recht om de persoonsgegevens te ontvangen die organisaties van hen hebben. Zo kunnen zij hun gegevens bijvoorbeeld makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Ook kunnen zij aan organisaties vragen om hun gegevens rechtstreeks over te dragen aan een andere organisatie. Dit heet het recht op dataportabiliteit, ook wel het 'recht om gegevens over te laten dragen' genoemd. 

Op deze pagina

Wanneer gegevens overdragen wel en niet mogelijk is

Niet alle soorten gegevens vallen onder het recht op dataportabiliteit. Mensen kunnen alleen gegevens laten overdragen die:

  • Digitaal zijn. Papieren dossiers vallen er dus niet onder.
  • Een organisatie met hun toestemming verwerkt.
  • Nodig zijn om een overeenkomst met hen uit te voeren. Hieronder vallen bijvoorbeeld ook de titels van boeken die zij in een webwinkel hebben gekocht of de liedjes die zij hebben beluisterd via een muziekstreamingdienst.

Een organisatie die een verzoek van iemand krijgt om gegevens over te dragen, moet alle persoonsgegevens beschikbaar stellen die deze persoon aan de organisatie heeft verstrekt. 

Het gaat hierbij niet alleen om gegevens die iemand actief en bewust heeft verstrekt, zoals de accountgegevens die iemand op een online formulier heeft ingevuld (e-mailadres, gebruikersnaam, leeftijd etc.).

Het gaat ook om de gegevens die deze persoon indirect heeft 'verstrekt' door een dienst of apparaat te gebruiken. Bijvoorbeeld:

  • iemands zoekgeschiedenis of locatiegegevens;
  • (ruwe) data zoals iemands hartslag die via een fitnesstracker is vastgelegd;
  • titels van boeken die iemand in een webwinkel heeft gekocht;
  • liedjes die iemand heeft beluisterd via een muziekstreamingdienst.

De organisatie hoeft géén afgeleide gegevens te verstrekken. Dat zijn gegevens die de organisatie zelf heeft gegenereerd door bijvoorbeeld data-analyse. Zoals een kredietscore of een profiel dat organisatie van iemand heeft opgesteld.

Verschil inzagerecht en recht op dataportabiliteit

Het recht op inzage en het recht op dataportabiliteit zijn niet hetzelfde. Het verschil zit in de vorm waarin een organisatie de persoonsgegevens aanlevert als iemand een verzoek doet. Ook zijn er bepaalde gegevens die een organisatie niet hoeft te geven als iemand om dataportabiliteit vraagt, maar wel als diegene een inzageverzoek doet.

Vorm bij inzageverzoek

Doet iemand een inzageverzoek bij een organisatie? Dan moet de organisatie een kopie van de gegevens van deze persoon verstrekken. Dit kan een overzicht zijn van de persoonsgegevens of kopieën van de documenten waarin de gegevens staan. Hiermee moet diegene kunnen controleren of de gegevens kloppen. En of de organisatie de gegevens op de juiste manier verwerkt.

Vorm bij verzoek om dataportabiliteit

Vraagt een klant een organisatie om gegevens over te dragen? Dan moet de organisatie de gegevens verstrekken in een vorm die het voor de klant makkelijk maakt om de gegevens te hergebruiken en door te geven aan een andere organisatie. De organisatie is daarom wettelijk verplicht om de gegevens in een gestructureerd, veelgebruikt en machineleesbaar formaat te verstrekken.

Verschil in gegevens

Bij een verzoek om dataportabiliteit hoeft de organisatie geen afgeleide gegevens te verstrekken. Maar doet iemand een inzageverzoek, dan moet de organisatie deze afgeleide gegevens wél verstrekken.

Informeren over recht op dataportabiliteit

Organisaties moeten hun klanten informeren over hun recht op dataportabiliteit, als dat van toepassing is. Dat is wanneer de organisatie gegevens van klanten verwerkt op basis van hun toestemming of om een overeenkomst met hen uit te voeren.

Het is hierbij vooral belangrijk dat organisaties duidelijk uitleggen welke gegevens hun klanten kunnen opvragen met het inzagerecht en welke met het recht op dataportabiliteit. En dat zij hun klanten wijzen op de mogelijkheid van dataportabiliteit als klanten hun contract bij de organisatie willen beëindigen.

Voor consumenten: vragen om overdragen persoonsgegevens

Wilt u de gegevens die een organisatie van u heeft ontvangen? Bijvoorbeeld omdat u uw contract bij de organisatie wilt beëindigen en u uw gegevens wilt doorgeven aan een andere organisatie? Dan kunt u om dataportabiliteit vragen. U kunt voor uw verzoek de voorbeeldbrief gegevens overdragen van de Autoriteit Persoonsgegevens gebruiken.

Besluit de organisatie uw gegevens over te dragen? Dan moet de organisatie dit zo snel mogelijk doen. Dat is uiterlijk binnen 1 maand.

Voor organisaties: recht op dataportabiliteit in de praktijk

Ontvangt u als organisatie een verzoek om gegevens over te dragen? Kijk dan bij Privacyrechten in de praktijk voor wat u moet doen om volgens de regels met het verzoek om te gaan (o.a. identiteit aanvrager controleren, reactietermijn). Verder gelden bij het recht op dataportabiliteit de volgende bijzonderheden:

  • bepaal welke gegevens u moet overdragen;
  • bepaal in welk formaat u de gegevens overdraagt;
  • help uw klanten kiezen;
  • voorkom datalekken;
  • bewaar de gegevens net zo lang als normaal;
  • verwerk alleen noodzakelijke gegevens van een nieuwe klant.

Bepaal welke gegevens u moet overdragen

Bepaal welke persoonsgegevens u moet overdragen en welke niet. U moet alle persoonsgegevens beschikbaar stellen die uw klant aan u heeft verstrekt. Maar dit moet u ruim opvatten. Zie verder: Wanneer gegevens overdragen wel en niet mogelijk is.

Bepaal in welk formaat u de gegevens overdraagt

U moet de persoonsgegevens overdragen in een gestructureerd, veelgebruikt en machineleesbaar formaat. Het beste formaat om gegevens te verstrekken, verschilt per sector. Het doel is dat uw klanten hun gegevens makkelijk in een andere omgeving kunnen hergebruiken.

Dat betekent dat u ervoor moet zorgen dat uw klanten hun gegevens direct kunnen doorgeven aan een andere organisatie. Dit kan bijvoorbeeld met een 'application programming interface' (API), waarmee u een verbinding mogelijk maakt tussen uw systeem of applicatie en het systeem of de applicatie van een andere partij. Dit kan ook een vertrouwde derde partij zijn, die de overgedragen gegevens opslaat en op verzoek van een klant aan meerdere organisaties kan doorgeven.

Verder moet u niet alleen de feitelijke inhoud leveren, maar ook zoveel mogelijk relevante metagegevens. Zoals tijdstip, afzender, geadresseerde etc. Hierdoor blijft de betekenis van de overgedragen informatie zo goed mogelijk bewaard.

Help uw klanten kiezen

U verwerkt waarschijnlijk vaak informatie die persoonsgegevens bevat van meerdere mensen. Vraagt een klant bijvoorbeeld om de belgeschiedenis? Dan staan in dit overzicht niet alleen persoonsgegevens van uw klant, maar ook van de personen met wie uw klant heeft gebeld. U moet het complete overzicht verstrekken aan uw klant.

Geeft uw klant het overzicht vervolgens door aan een andere organisatie? Dan moet die organisatie een wettelijke grondslag hebben om de gegevens van de andere mensen te verwerken. Dat betekent dat de organisatie deze gegevens bijvoorbeeld niet zomaar mag gebruiken voor reclame.

Het is aan te raden om uw klanten te helpen een zorgvuldige keuze te maken welke gegevens zij willen overdragen aan een andere organisatie. Dit kunt u bijvoorbeeld doen door gelaagde mogelijkheden voor overdracht aan te bieden. Zoals de keuze tussen alle gegevens of alleen de gegevens van het afgelopen jaar. Of de keuze tussen alle contacten of geselecteerde contacten bij de overdracht van een adresboek.

Voorkom datalekken

U bent niet verantwoordelijk voor wat een klant vervolgens doet met de gegevens die u heeft overgedragen. En ook niet voor de verwerking van deze gegevens door een andere organisatie. U bent er wel verantwoordelijk voor dat het recht op dataportabiliteit niet leidt tot datalekken. U moet daarom de identiteit van uw klanten zorgvuldig controleren. Bijvoorbeeld door een goed authenticatiemechanisme aan te bieden. Zodat u geen persoonsgegevens overdraagt aan de verkeerde persoon.

Bewaar de gegevens net zo lang als normaal

U bewaart de gegevens van uw klanten zo lang als u normaal ook zou doen. U hoeft de gegevens niet langer te bewaren voor eventuele verzoeken om dataportabiliteit. Ook hoeft u de gegevens na een verzoek om dataportabiliteit niet te vernietigen. Uw klanten mogen een verzoek indienen om dataportabiliteit zolang zij klant bij uw organisatie zijn.

Verwerk alleen noodzakelijke gegevens van een nieuwe klant

Ontvangt u gegevens van een nieuwe klant? En heeft deze klant die gegevens opgevraagd bij een andere organisatie en vervolgens aan u doorgegeven? Dan moet u goed kijken welke van deze gegevens noodzakelijk zijn voor het doel van uw gegevensverwerking. Alle andere gegevens moet u zo snel mogelijk vernietigen.

Het is aan te raden dat u vooraf duidelijke informatie geeft aan nieuwe klanten over welke gegevens noodzakelijk zijn voor de dienst die u biedt. Op die manier kunnen klanten een bewuste keuze maken welke gegevens zij aan u overdragen. Hiermee verkleint u het risico dat uw nieuwe klanten gegevens verspreiden van zichzelf en/of anderen terwijl dat niet nodig is.