Hoe richt je dataportabiliteit in?

Onder de Algemene Verordening Gegevensbescherming (AVG) krijgen burgers, klanten en patiënten er een nieuw recht bij: het recht op dataportabiliteit. Hoe kunnen organisaties zich voorbereiden op deze verplichting?

Als een ‘betrokkene’ een verzoek indient om persoonsgegevens over te dragen, hebben organisaties onder de AVG de verplichting om dit te doen in een vorm die hergebruik mogelijk maakt. Concreet geeft de AVG aan dat de organisatie persoonsgegevens in een ‘gestructureerde, gangbare en machineleesbare vorm’ moet verstrekken.

Om gegevensoverdraagbaarheid mogelijk te maken, is het advies om interoperabele formaten te gebruiken. Maar benadrukt wordt ook dat het recht op dataportabiliteit organisaties niet de verplichting oplegt om technisch compatibele systemen op te zetten.

Om welke gegevens gaat het?

Onder een verzoek tot dataportabiliteit vallen alle digitale gegevens die een organisatie met toestemming van de betrokkene verwerkt, maar ook de gegevens die nodig zijn om een overeenkomst uit te voeren. Dat zijn bijvoorbeeld de titels van de boeken die iemand in een online boekwinkel heeft gekocht of de nummers die een betrokkene via een muziekstreamingdienst zoals Spotify heeft beluisterd.

Ook de gegevens die op basis van de activiteiten van betrokkenen gegenereerd of verzameld worden, vallen onder het recht op dataportabiliteit. Denk dan aan de zoekgeschiedenis of locatiegegevens.

Gegevens op papier en gegevens die op basis van een andere grondslag zijn verkregen, vallen niet onder het recht op dataportabiliteit. Als een organisatie op basis van de gegevens van de betrokkene een analyse heeft verricht, zoals een kredietscore of een gebruikersprofiel, dan hoeven deze afgeleide gegevens niet verstrekt te worden. De betrokkene heeft wel het recht om deze gegevens in te zien.

Hoe draag je gegevens veilig over?

De Europese privacytoezichthouders verenigd in de Article 29 Working Party hebben in april 2017 de Guidelines on the right to data portability gepubliceerd. Deze richtlijnen geven meer uitleg over het recht op dataportabiliteit. Daarin geven de toezichthouders aan dat de verzending van persoonsgegevens ook tot beveiligingsproblemen kan leiden. De toezichthouders wijzen met name op het gevaar van inbreuk op de gegevens tijdens de verzending daarvan.

Organisaties zijn in dat verband daarom verantwoordelijk voor het nemen van ‘alle beveiligingsmaatregelen die vereist zijn om te zorgen dat de persoonsgegevens veilig verzonden worden (bijvoorbeeld door deze te versleutelen) en bij de juiste persoon terechtkomen (bijvoorbeeld door gebruik van aanvullende authenticatie-informatie)’.

Tref voorbereidingen

Vanaf 25 mei 2018 kunnen organisaties verzoeken krijgen van hun klanten om persoonsgegevens beschikbaar te stellen. Organisaties zijn dan wettelijk verplicht om de gegevens te verstrekken. Organisaties kunnen zich hierop voorbereiden door alvast na te denken over hoe ze de gegevens veilig beschikbaar gaan stellen. Dit kan volgens de toezichthouder bijvoorbeeld via een tool waarmee de klanten hun gegevens direct op een beveiligde manier kunnen downloaden.

Ook moeten organisaties ervoor zorgen dat betrokkenen hun gegevens direct kunnen doorgeven aan een andere organisatie. Dit kunnen organisaties bijvoorbeeld doen met een application programming interface (API), waarmee een verbinding mogelijk wordt gemaakt tussen het systeem of applicatie van de organisatie en dat van een andere partij. Daarnaast is het mogelijk om een trusted third party in te zetten die de overgedragen gegevens bewaart en op verzoek van de betrokkene de gegevens doorgeeft aan een andere organisatie.

*) Dit artikel is ook gepubliceerd op de website van Security Vandaag.