Wat is het recht op dataportabiliteit?
De personen van wie persoonsgegevens worden verwerkt, hebben meerdere rechten. Een daarvan is het recht op dataportabiliteit. Anders gezegd is dit het recht van betrokkenen om hun gegevens over te laten dragen door een verwerkingsverantwoordelijke.
Het doel van het recht op dataportabiliteit is om betrokkenen meer inzicht en controle te geven over de persoonsgegevens die van hen worden verwerkt en om de overstap naar andere dienstverleners te vergemakkelijken. Bijvoorbeeld wanneer je gaat verhuizen en overstapt naar een nieuwe tandarts: dataportabiliteit maakt het dan makkelijker om je gegevens van je oude tandarts over te dragen naar de nieuwe.
Betrokkenen kunnen de persoonsgegevens zowel aan zichzelf laten overdragen als (afhankelijk van de technische mogelijkheden) direct door laten sturen naar een andere organisatie.
Om welke gegevens gaat het?
Wanneer je als bedrijf een verzoek tot dataportabiliteit krijgt, moet je de volgende gegevens aan de betrokkene verstrekken:
- de persoonsgegevens van de betrokkene die digitaal en geautomatiseerd worden verwerkt. Persoonsgegevens die op papier staan, vallen hier dus niet onder; en
- de persoonsgegevens van de betrokkene die worden verwerkt op basis van toestemming (van de betrokkene); of
- de persoonsgegevens die verwerkt worden omdat dit noodzakelijk is voor het uitvoeren van de overeenkomst met de betrokkene.
Let op: onder deze gegevens vallen niet alleen de gegevens die de betrokkene zelf heeft verstrekt, maar ook de gegevens die indirect zijn verkregen door het gebruik van een dienst of apparaat. Bijvoorbeeld de zoekgeschiedenis van de betrokkene via zijn of haar account, of op welke locaties er betaald is met zijn of haar pinpas.
Welke gegevens vallen niet onder een verzoek tot dataportabiliteit?
Er zijn ook gegevens die buiten de scope van een verzoek tot dataportabiliteit vallen. Dit zijn bijvoorbeeld de afgeleide gegevens. Denk aan gegevens die je als bedrijf zelf hebt vastgesteld, zoals een analyse op basis van al eerder verstrekte gegevens.
Maar ook bij gegevensverwerkingen die niet gebaseerd zijn op toestemming of een contract, gegevens die niet zelf door de betrokkene zijn verstrekt of verwerkingen die noodzakelijk zijn voor de uitoefening van taken van algemeen belang hoeft een bedrijf niet te voldoen aan een verzoek tot dataportabiliteit. Ook anonieme gegevens hoef je niet over te dragen.
Hoe verstrek je de gegevens?
Wanneer je als bedrijf een verzoek tot dataportabiliteit krijgt, moet je de betreffende gegevens verstrekken op een gangbare manier waardoor ze voor de betrokkene eenvoudig te raadplegen zijn.
Daarnaast moet het voor de betrokkene makkelijk zijn om de verkregen informatie te kunnen hergebruiken of door te geven aan een andere organisatie. De wet schrijft dan ook voor dat je de gegevens op een gestructureerde manier en in een machineleesbaar format moet verstrekken aan betrokkenen of een andere organisatie. Bij machineleesbaar kan je denken aan een pdf- of Excel-bestand. Op deze manier maak je het zo makkelijk mogelijk om persoonsgegevens te hergebruiken of door te sturen.
Waar moet je op letten als bedrijf?
1. Allereerst is het belangrijk dat de betrokkenen, waarvan je persoonsgegevens verwerkt, op de hoogte worden gesteld van hun rechten. Onder deze rechten valt dus ook het recht op dataportabiliteit. Het moet voor betrokkenen duidelijk zijn dat zij dit recht hebben, maar ook hoe zij dit recht kunnen uitoefenen. Dit kan bijvoorbeeld met behulp van de privacyverklaring op jouw website.
2. Verder is het verstandig, wanneer je zo’n verzoek krijgt, om als bedrijf na te denken over het format waarin je de gegevens verstrekt. Hierbij kun je rekening houden met de wensen van de betrokkene en wellicht kijken naar het bedrijf waar de betrokkene de gegevens naar wil overzetten. Als bijvoorbeeld de nieuwe tandarts van de betrokkene de voorkeur geeft aan een pdf-bestand, maak je het hem zo makkelijk mogelijk door de gegevens ook in een pdf-bestand te verstrekken.
3. Let op dat wanneer je gaat bepalen welke gegevens verstrekt moeten worden aan de betrokkene, het belangrijk is dat de inhoud en betekenis van de gegevens zo goed mogelijk bewaard blijven. Op deze manier heeft de betrokkene het meeste aan zijn of haar gegevens. Denk bijvoorbeeld aan de datum en context waarin de gegevens zijn verschaft en met welk doel de gegevens door jou werden verwerkt.
Vragen of hulp nodig?
Het recht op dataportabiliteit kan door ondernemers als ingewikkeld worden ervaren. Wij vertellen je graag hoe je op een praktische manier gehoor kunt geven aan een verzoek tot dataportabiliteit en hoe je dit binnen jouw bedrijf kunt organiseren. Neem hiervoor gerust contact met ons op! Dit kan via info@privacycoaches.nl.