Op 25 mei 2018 wordt de Europese privacyverordening van kracht. In artikel 20 van die verordening wordt een recht op dataportabiliteit geïntroduceerd. Dat is een recht waarmee betrokkenen kort gezegd de persoonlijke gegevens die zij hebben verstrekt aan een bedrijf, in een gestructureerde, gangbare en machine leesbare vorm dienen te kunnen verkrijgen, waarna zij die gegevens zelf kunnen opslaan of aan een ander bedrijf zouden kunnen overdragen.
Bovendien wordt het hiermee mogelijk voor een betrokkene om deze gegevens (mits dat technisch mogelijk is) ook rechtstreeks vanuit het ene bedrijf naar het andere door te laten zenden. Doel van deze rechten is om de betrokkenen meer controle te geven over zijn of haar data en mogelijk te maken om over te stappen van de ene dienstverlener naar een andere, waarmee effectief een zogeheten vendor lock in wordt bestreden.
Wanneer is het recht op dataportabiliteit van toepassing?
Dit nieuwe recht is van toepassing indien de gegevens verwerkt worden op basis van een door de betrokkene gegeven toestemming, of indien er sprake is van verwerking in het kader van een overeenkomst. Vooral die laatste situatie zal zich al vrij snel voor kunnen doen. Denk aan een webwinkel die op basis van een overeenkomst bestellingen verwerkt en een bestelhistorie van de klant bij zal willen houden.
Maar ook kan gedacht worden aan de HR-afdeling van een bedrijf die op grond van een arbeidsovereenkomst gegevens over werknemers verwerkt. Daarbij kan een dergelijk verzoek altijd worden gedaan, en hoeft niet per se te worden gewacht tot de beëindiging van zo’n overeenkomst. Dat vraagt nogal wat van bedrijven. Niet alleen organisatorisch maar ook technisch moet er binnen de meeste organisaties in de komende maanden het een en ander aangepast gaan worden.
Organisatorische procedures voor dataportabiliteit
Organisatorisch zou je bijvoorbeeld bepaalde procedures moeten ontwerpen en gaan hanteren waarmee het bedrijf zekerheid kan verkrijgen dat de persoon die een portabiliteitsverzoek indient daadwerkelijk degene is over wie de gegevens worden opgevraagd. Ook zal er rekening mee moeten worden gehouden dat gegevens van een persoon afgesplitst moeten kunnen worden van persoonsgegevens van derden.
Waar dat echter niet kan, zoals bij de telefoon geschiedenis met inkomende en uitgaande telefoontjes en derhalve de telefoonnummers van derden, is het toegestaan dit mee te leveren aan de betrokkene. Bovendien moet ook de ruwe data beschikbaar worden gesteld indien deze gegenereerd zijn door de activiteiten van de betrokkenen. Denk bijvoorbeeld aan de zoekgeschiedenis, verkeersgegevens en locatiedata, of de hartslag die is opgeslagen door gezondheid-apps.
Technische aanpassingen voor dataportabiliteit
In technische zin moeten bedrijven bovendien rekening gaan houden met de vereiste overdraagbaarheid van gegevens en gegevensbestanden. Zo is er pas sprake van een machinaal leesbaar formaat indien het gaat om een bestandsformaat met een zodanige structuur dat softwaretoepassingen gemakkelijk specifieke gegevens in de bestanden kunnen identificeren, herkennen en extraheren. Zo’n formaat dient dan bij voorkeur platform onafhankelijk te zijn en beschikbaar zonder enige beperking die de portabiliteit van de informatie verhinderd. Hoewel de Europese privacyverordening geen standaarden of formaten voorschrijft, is het naar mijn mening onontkoombaar dat er gebruik zal moeten worden gemaakt van open standaarden.
Het is voor ieder bedrijf verstandig om dit aspect bij toekomstige aankoopbeslissingen mee te nemen, en ook om reeds nu bij uw huidige leveranciers na te gaan of zij zich hier goe