> Wat is data-portabiliteit?

In deze serie blogs geven wij aan wat de tien belangrijkste veranderingen zijn die de nieuwe Europese privacywet, de Algemene Verordening Gegevensbescherming (AVG) met zich meebrengt.

In dit blog: wat is het nieuwe recht op data-portabiliteit, ook wel: gegevensoverdracht? 

Wat is er nieuw aan het recht op data-portabiliteit?

Het is letterlijk een nieuw recht: in de privacywetgeving tot 24 mei 2018, de Wet bescherming persoonsgegevens (Wbp) staat het recht niet. 

Wat zijn de bestaande rechten?

De personen wiens persoonsgegevens worden verwerkt, hebben op basis van de Wbp de volgende rechten met betrekking tot hun persoonsgegevens: 

  1. het recht op inzage in hun gegevens (in de praktijk inclusief het recht op een kopie van de gegevens);
  2. het recht om onjuiste gegevens te laten corrigeren;
  3. het recht om onvolledige gegevens aan te laten vullen;
  4. onder voorwaarden: het recht om gegevens te laten verwijderen;
  5. onder voorwaarden: het recht om gegevens te laten beperken;
  6. het recht om eenmaal gegeven toestemming weer in te trekken;
  7. onder voorwaarden: het recht om bezwaar te maken, waaronder bezwaar tegen direct marketing.

In de nieuwe privacywetgeving (de Algemene Verordening Gegevensbescherming / AVG) staan de bovenstaande rechten ook. Kijk voor meer informatie hierover in het Factsheet Verzoeken.

Onder de nieuwe privacywet blijven de rechten voor een groot deel hetzelfde. Welke rechten de personen onder de nieuwe privacywet hebben en hoe daar mee om te gaan staat uitgewerkt in ons Draaiboek Verzoeken

 

U geeft de gegevens aan de persoon mee, bijvoorbeeld in een Word of Excel bestand. 

 

Wat houdt het recht op data-portabiliteit of gegevensoverdracht dan in?

Het recht op data-portabiliteit of gegevensoverdracht houdt kort gezegd in dat de personen wiens persoonsgegevens worden verwerkt onder bepaalde voorwaarden recht hebben om die gegevens in een "gangbaar format" mee te krijgen.

Dit zijn de voorwaarden waaronder de persoon dit kan vragen:

als het verwerken van de persoonsgegevens:

  • is gebaseerd op toestemming of noodzakelijk is voor het uitvoeren van een overeenkomst met of ten behoeve van de persoon;
  • de persoonsgegevens geautomatiseerd (dat wil zeggen: digitaal of elektronisch) worden verwerkt;

         en

  • het gaat om persoonsgegevens die zij zelf aan uw organisatie hebben gegeven of zelf hebben gegenereerd - denk hierbij bijvoorbeeld aan het invullen van een formulier, een bestelgeschiedenis of gegevens die via het gebruik van een app of social media platform worden gegenereerd; 

dan moet uw organisatie:

  1. de persoonsgegevens van de persoon aan de persoon overdragen in een gestructureerd, gangbaar en machineleesbare vorm; en
  2. indien technisch mogelijk, op verzoek van de betrokkene de gegevens ook zo overdragen aan een andere partij.

Wat is een gestructureerd, gangbaar en machineleesbare vorm? 

Een duidelijk voorbeeld voor overdracht in een gestructureerd, gangbaar en machineleesbare vorm is de persoonsgegevens meegeven in een Excel of Word bestand.

Maar, uw organisatie kan (maar hoeft niet) bijvoorbeeld ook een automatic programming interface (API) bouwen om de gegevens aan de persoon mee te kunnen geven. 

Wanneer zijn gegevens noodzakelijk voor het uitvoeren van de overeenkomst?

Om vast te stellen welke persoonsgegevens echt nodig zijn voor het uitvoeren van de overeenkomst, kunt u het beste nagaan of u uw diensten aan de persoon zou kunnen leveren, of producten zou kunnen verkopen zonder de gegevens. Als dat niet kan zonder de gegevens dan zijn ze nodig voor het uitvoeren van de overeenkomst.

Bijvoorbeeld: als u online producten verkoopt, zult u de NAW gegevens van uw klanten nodig hebben om die producten te verzenden. De bestelgeschiedenis is nodig om de persoon te kunnen laten zien welke bestellingen hij heeft gedaan. 

Hoe kan ik mijn organisatie hier op voorbereiden?

Hieronder een stappenplan:

  1. Inventariseer in welke gevallen een persoon de persoonsgegevens aan uw organisatie verstrekt, dan wel deze genereert (bijvoorbeeld door het gebruik van een apparaat);

  2. Ga na welke van deze gegevens geautomatiseerd (elektronisch / digitaal) worden verwerkt;

  3. Ga na voor welke gegevens toestemming wordt gevraagd en welke gegevens nodig zijn voor het uitvoeren van de overeenkomst;

  4. Aan de hand van deze inventarisatie heeft u als het goed is vast gesteld welke persoonsgegevens onder het recht op data-portabiliteit of gegevensoverdracht vallen;

  5. Zorg dat de gegevens op een makkelijke manier in een bestand kunnen worden gezet om over te dragen. U kunt ook zorgen dat de persoon het zelf kan doen, bijvoorbeeld via een online account.

  6. Breng de relevante medewerkers binnen de organisatie er van op de hoogte dat de personen hier om kunnen vragen zodat zij weten wat ze moeten doen bij zo'n verzoek. 

 

Actiepunt: zorgen dat het recht op data-portabiliteit/gegevensoverdracht wordt gefaciliteerd. 

 

Developed by Structura. Powered by nopCommerce. Copyright 2019 Smith&Doe. Alle rechten voorbehouden.