GDPR: Wat is het recht op dataportabiliteit?
Het recht op overdraagbaarheid van gegevens – in het Engels: ‘data portability’ – is een van de belangrijke pijlers in de GDPR. Maar wat betekent dat nu voor Europese bedrijven? Working Party 29, de Europese werkgroep rond privacy, publiceerde onlangs een interpretatie van de nieuwe regeling die het een en ander verduidelijkt. Hieronder wat je echt moet weten.
Wat is het recht op dataportabiliteit?
Concreet betekent het recht op dataportabiliteit dat de data die gebruikers aan een bedrijf geven, bijvoorbeeld door zich in te schrijven voor een nieuwsbrief, te allen tijde kunnen worden opgevraagd en zonder hinder overgezet kunnen worden naar een andere organisatie. Dat wilt zeggen dat een gebruiker een verzoek kan indienen omdat hij de bewaarde informatie wilt bekijken, of pakweg wilt overstappen van de ene naar de andere telecomprovider. De GDPR verplicht de dienstverlener in kwestie om het verzoek in te willigen, en de gegevens te bezorgen aan de gebruiker of de nieuwe provider. Een soortgelijke regeling waarbij gebruikers het recht hadden om hun gegevens in te kijken, bestond al in de huidige privacywet, en het recht op dataportabiliteit werkt dan ook aanvullend.
Het uiteindelijke doel is om datasubjecten – gebruikers – meer controle bieden over hun persoonlijke gegevens. In dat opzicht biedt de regel een kans om het evenwicht tussen datasubject en -controller te herstellen, schrijft Werkgroep 29, en wordt de competitie tussen dienstverleners gestimuleerd omdat gebruikers makkelijker kunnen overschakelen naar concurrenten.
Om welke data gaat het?
In de GDPR wordt niet concreet omschreven welke data wel en niet opgevraagd kunnen worden, wat betekent dat de informatie zo goed als elke vorm kan aannemen. Net zoals de rest van de wetgeving draait het wel nog steeds om persoonsgegevens: gegevens die inherent verbonden zijn aan een individu. Namen, telefoonnummers, foto’s, gebruikersnamen en andere vergelijkbare gegevens vallen dus al zeker onder de regeling. WP29 geeft bovendien bijkomende voorbeelden, zoals de contactenlijst in een mailapplicatie, informatie rond aankopen met een cadeaubon, of de liedjes in een persoonlijke playlist. Het recht is echter niet van toepassing op geanonimiseerde persoonsgegevens: gegevens waarvan alle herkenbare kenmerken zijn verwijderd.
[related_article id=”168496″]
Daarnaast is het belangrijk om te kijken hoe de gegevens werden verzameld. Gaat het om gegevens die bijvoorbeeld door een contract of door de gebruiker zelf zijn verstrekt? Dan kunnen ze ook worden opgevraagd. Als een klant bijvoorbeeld een boek koopt in een online boekenwinkel, of het dagelijkse aantal stappen laat registreren door een fitnessapp, wordt dat gezien als informatie die actief werd gedeeld door de gebruiker. Data die door de organisatie zelf werd afgeleid, bijvoorbeeld de persoonlijke aanbevelingen op basis van het gekochte boek of een analyse van het aantal stappen, werden niet gedeeld door de gebruiker, en moeten dus ook niet worden bezorgd na een verzoek.
Welke plichten houdt dataportabiliteit in voor bedrijven?
Dataportabiliteit draait voornamelijk om het recht voor de gebruiker, maar brengt ook enkele plichten met zich mee voor de organisaties die gegevens verzamelen. De allerbelangrijkste verplichting? Bedrijven moeten op élk verzoek antwoorden: geen uitzonderingen. Zelfs wanneer bepaalde informatie niet kan worden gedeeld, moet aan de gebruiker worden uitgelegd waarom dat niet mogelijk is.
Anders gezegd, zodra een gebruiker een verzoek indient om zijn informatie te bekijken of over te dragen, is het bedrijf verplicht om dat te doen, tenzij dat absoluut onmogelijk is. Organisaties hebben daar één maand te tijd voor, en moeten in die tijd “zonder onnodige vertraging” de informatie tot bij de gebruiker krijgen, omschrijft de wettekst. Als die termijn wordt overschreden, wordt van de organisatie verwacht dat ze kunnen uitleggen waarom er een vertraging is, en hoelang deze kan duren.
[related_article id=”168466″]
Als alles goed gaat, worden gegevens aan de gebruiker bezorgd, of beschikbaar gemaakt door middel van een download. Bovendien moet de organisatie er ook voor zorgen dat de data rechtstreeks naar een andere datacontroller kan worden gestuurd als daar om gevraagd wordt, zodat de klant eventueel kan overstappen. Ten slotte speelt ook de vorm waarin dit gebeurt een rol. Er wordt geen bestandstype voorgesteld – vooral omdat de GDPR nog ettelijke jaren moet meegaan en zulke formats dan misschien niet meer gebruikelijk zijn – maar in essentie moet de informatie makkelijk te openen en te lezen zijn, en eenvoudig te kopiëren uit het bestand.
Om te onthouden
Tot slot nog enkele korte vuistregels die je in het achterhoofd moet houden wanneer het gaat om dataportabiliteit.
Niet méér data bijhouden
Dataportabiliteit betekent niet dat bedrijven opeens méér data moeten bijhouden voor het geval dat gebruikers ernaar vragen. Enkel de gegevens die al bewaard worden, moeten beschikbaar zijn.
Data wordt niet automatisch verwijderd
Ook wanneer een gebruiker data opvraagt om te delen met een andere dienstverlener, betekent dat niet dat de data automatisch verwijderd worden bij de eerste datacontroller. Gebruikers kunnen beide diensten blijven gebruiken.
Geen recht op vergoeding
Bedrijven mogen over het algemeen geen vergoeding vragen om data te delen. In enkele uitzonderingen zou dat mogelijk zijn – bijvoorbeeld wanneer overdreven vaak naar dezelfde data wordt gevraagd – maar in praktijk zal dat zo goed als nooit voorvallen, verklaart WP29.
//www.smartbiz.be/nieuws/169460/dpo-data-protection-officer-nodig/