Vrijwel iedereen is het erover eens dat het waarborgen van privacy belangrijk is. Het recht op privacy is dan ook niet voor niets in de Grondwet geregeld. In het tiende artikel gaat de Grondwet over ‘het recht op eerbiediging van zijn persoonlijke levenssfeer’. In andere wet- en regelgeving staan naast beginselen en nader uitgewerkte regels over privacy voor organisaties, ook rechten die betrokkenen hebben tegenover organisaties die hun gegevens verwerken. Een van die rechten van betrokkenen die staat in de Algemene verordening gegevensbescherming (AVG) is het recht op dataportabiliteit. Wat betekent dit precies en waar moeten organisaties rekening mee houden?
Wat is het recht op dataportabiliteit?
Het recht op dataportabiliteit wordt ook wel het recht om gegevens over te (laten) dragen genoemd. Betrokkenen, mensen waarvan persoonsgegevens worden verwerkt, hebben het recht om de persoonsgegevens die een organisatie van hen verwerkt te ontvangen. Het idee hierachter is dat de betrokkenen gemakkelijker kunnen ‘overstappen’ van dienstverlener, zonder allerlei obstakels wanneer zij persoonsgegevens moeten overdragen. De betrokkene dient zijn persoonsgegevens dan ook in een gestructureerd, veelgebruikt en machineleesbaar formaat te verkrijgen. De AVG schrijft niet voor of dit een Excel of Word bestand moet zijn, dat is aan de verwerkingsverantwoordelijke om te bepalen. In sommige gevallen vragen betrokkenen of de organisatie hun persoonsgegevens direct wil overdragen aan een andere organisatie. Dit mag, maar de organisatie is hiertoe niet verplicht. Het moet echter wel voor de betrokkene zelf mogelijk zijn om de gegevens in een keer door te zetten. Het is dan ook van belang dat organisaties hierop voorbereid zijn. Wordt er gewerkt met bepaalde software? Zorg er dan voor dat die software over uitvoer- of downloadopties beschikt, zodat betrokkenen gemakkelijk hun persoonsgegevens kunnen ontvangen, maar ook zelf kunnen downloaden.
Wanneer geldt het recht op dataportabiliteit?
Het recht op dataportabiliteit bestaat alleen wanneer de verwerking van persoonsgegevens berust op de grondslag toestemming of de uitvoering of voorbereiding van een overeenkomst. Zo is een organisatie bijvoorbeeld verplicht om informatie uit het personeelsdossier van een (ex-) medewerker te verstrekken wanneer hij hierom vraagt. Die verwerking van persoonsgegevens is immers gebaseerd op de arbeidsovereenkomst.
Niet enkel persoonsgegevens die de betrokkene zelf heeft ingevuld vallen onder het recht op dataportabiliteit. Ook informatie die door het apparaat van de betrokkene is ‘verstrekt’, zoals locatiegegevens, vallen hieronder. Wanneer een organisatie echter zélf gegevens heeft gegenereerd door bijvoorbeeld data-analyse, zoals een kredietscore, dan hoeven deze ‘afgeleide gegevens’ niet te worden overgedragen. Wel moet de organisatie inzage geven in die gegevens, wanneer een betrokkene zich hier op beroept.
De verwerking van persoonsgegevens moet geautomatiseerd (lees: digitaal) zijn. De ouderwetse papieren dossiers hoeven dus niet overgedragen te worden. Het is ook van belang dat de gegevens die worden opgevraagd, niet de privacy van andere mensen in gevaar brengt. Vaak vallen bepaalde notities van werknemers van een organisatie daarom buiten het recht op dataportabiliteit.
Waar moet een organisatie rekening mee houden?
Organisaties zijn verplicht om binnen één maand per brief of e-mail te reageren op het verzoek op dataportabiliteit. Wanneer het verzoek dusdanig ingewikkeld is, mag een organisatie er nog twee maanden extra over doen om de informatie te verstrekken, mits binnen die eerste maand is gereageerd en geïnformeerd over de reden van de verlenging.
Besluit je als organisatie dat het recht niet van toepassing is, of andere rechten voorrang hebben, dan dient dit te worden toegelicht. Het is natuurlijk van belang dat de gegevens aan de juiste persoon toebehoren. Bij twijfel mag een organisatie daarom controleren wie het verzoek heeft ingediend. Vraag daarbij uiteraard geen (volledige) kopie van het identiteitsbewijs op. Organisaties mogen geen kosten rekenen voor het overdragen van persoonsgegevens. Beleid over het afhandelen van dit soort verzoeken is geen overbodige luxe: zorg ervoor dat uw interne privacy administratie op orde is, zodat alle verzoeken van betrokkenen, waaronder het recht op dataportabiliteit, gemakkelijk op te volgen zijn. Privacy Verified biedt mogelijkheden: neem gerust contact met ons op.
