Vanaf 25 mei 2018 treedt de nieuwe Algemene Verordening Gegevensbescherming (ook wel de Europese Privacy-verordening genoemd) in werking, de opvolger van de Wet bescherming persoonsgegevens. Een van de nieuwe verplichtingen is het recht op data-portabiliteit, ook wel het recht op gegevensoverdracht genoemd. Omdat hier nog altijd veel onduidelijkheid over bestaat, vijf tips van Mathieu Paapst van adviesbureau ICTRecht.
‘Het recht op data-portabiliteit is een recht waarmee betrokkenen – kort gezegd – de persoonlijke gegevens die zij hebben verstrekt aan een bedrijf, in een gestructureerde, gangbare en machine-leesbare vorm moeten kunnen krijgen, waarna zij die gegevens zelf kunnen opslaan of aan een ander bedrijf zouden kunnen overdragen’, aldus Paapst. ‘Bovendien wordt het hiermee mogelijk voor een betrokkene om deze gegevens (mits dat technisch mogelijk is) ook rechtstreeks vanuit het ene bedrijf naar het andere door te laten zenden. Doel van deze rechten is om de betrokkenen meer controle te geven over zijn of haar data en mogelijk te maken om over te stappen van de ene naar de andere dienstverlener, waarmee effectief een vendor lock-in wordt bestreden.’
Dit brengt met zich mee dat organisaties voor 25 mei 2018 hun bedrijfsvoering in overeenstemming met de verordening moeten hebben gebracht. It-managers zullen daarom goed moeten begrijpen welke verplichtingen er op ze af komen, welke (hoge) boetes er gaan gelden, en welke organisatorische veranderingen nodig zullen zijn. Paapst geef daarom vijf tips om vandaag nog mee aan de slag te gaan.
De tips zijn…
- Tip 1 – Toepassing
Zoek uit of dit recht op jouw organisatie van toepassing is. Dit nieuwe recht is van toepassing indien de gegevens verwerkt worden op basis van een door de betrokkene gegeven toestemming, of indien er sprake is van verwerking in het kader van een overeenkomst. Vooral die laatste situatie zal zich al vrij snel voor kunnen doen. Denk aan een webwinkel die op basis van een overeenkomst bestellingen verwerkt en een bestelhistorie van de klant bij zal willen houden. Ook is te denken aan de HR-afdeling van een bedrijf, die op grond van een arbeidsovereenkomst gegevens over werknemers verwerkt. Daarbij kan een dergelijk verzoek altijd worden gedaan, en hoeft niet per se te worden gewacht tot de beëindiging van zo’n overeenkomst.
- Tip 2 – Inventarisatie
Voer een data-inventarisatie uit. Om te weten welke gegevens allemaal door dit nieuwe recht geraakt gaan worden, is het noodzakelijk om een data-inventarisatie binnen de organisatie uit te voeren. Breng daarvoor in kaart welke data er zijn en met welk doel. Onderzoek welke derde partijen toegang hebben tot de data, en welke data extern opgeslagen zijn. Bijvoorbeeld in het geval van outsourcing of clouddiensten. Beantwoord daarbij ook direct de vraag welke bewaartermijn uw organisatie wil gaan hanteren, ook voor gegevens die extern zijn opgeslagen. Onder de nieuwe verordening mogen persoonsgegevens niet langer worden bewaard dan noodzakelijk. Dat vereist dus ook dat je besluiten zult moeten gaan nemen ten aanzien van legacy datasets. Bovendien moet ook de ruwe data beschikbaar worden gesteld indien deze gegenereerd zijn door de activiteiten van de betrokkenen. Denk bijvoorbeeld aan de zoekgeschiedenis, verkeersgegevens en locatiedata, of de hartslag die is opgeslagen door gezondheid-apps.
- Tip 3 – Procedures
Ontwerp en hanteer bepaalde procedures waarmee de betrokkene zijn gegevens kan opvragen. Het uitgangspunt daarbij is dat een verzoek tot data-portabiliteit kunnen indienen niet voldoende is, maar dat de betrokkene zelf zijn gegevens moet kunnen downloaden. Tot aan het moment dat de betrokkene de gegevens ontvangt, is de organisatie zelf verantwoordelijk voor een veilige ‘overdracht’ van de gegevens middels, bijvoorbeeld, encryptie. Daarbij zal ook rekening moeten worden gehouden met de mogelijkheid dat gegevens van een persoon afgesplitst moeten kunnen worden van persoonsgegevens van derden. Waar dat echter niet kan, zoals bij de telefoongeschiedenis met inkomende en uitgaande telefoontjes en derhalve de telefoonnummers van derden, is het toegestaan dit mee te leveren aan de betrokkene.
- Tip 4 – Waarborgen
Inventariseer en organiseer de juridische waarborgen. Deze waarborgen zijn nodig omdat het uitdrukkelijk verboden is om de betrokkene te hinderen bij het uitoefenen van zijn rechten. Het is dus niet toegestaan om richting de betrokkene gebruik te maken van een geheimhoudingsverklaring, of je te beroepen op rechten van intellectuele eigendom zoals het databankrecht of het auteursrecht. Bij externe juridische waarborgen gaat het om de vraag of de bestaande contracten met uw toeleveranciers al zijn voorzien in bepalingen aangaande de data-portabiliteit.
- Tip 5 – Eisen
Stel bij een toekomstige opdrachtverstrekking expliciete eisen aan uw leveranciers met betrekking tot de overdraagbaarheid van gegevens en gegevensbestanden. Zo is er pas sprake van een machinaal leesbaar formaat als het gaat om een bestandsformaat met een zodanige structuur dat softwaretoepassingen gemakkelijk specifieke gegevens in de bestanden kunnen identificeren, herkennen en extraheren. Zo’n formaat dient dan bij voorkeur platform-onafhankelijk te zijn en beschikbaar zonder enige beperking die de portabiliteit van de informatie verhindert. Hoewel de Europese privacy-verordening geen standaarden of formaten voorschrijft, is het daarmee onontkoombaar dat er gebruik zal moeten worden gemaakt van openstandaarden.
Dit artikel is eerder gepubliceerd in Computable-magazine #3 van 2017.
De expert
Mathieu Paapst is internetrecht-jurist, en als locatiedirecteur verantwoordelijk voor de vestiging van adviesbureau ICTRecht in de Groningse Mediacentrale. In 2005 studeerde hij als een van de eersten af aan de opleiding Recht en ICT van de Rijksuniversiteit Groningen, en in januari 2013 promoveerde hij op een bestuurskundig onderzoek naar de doorwerking van open-ict-beleid (opensource en openstandaarden) binnen de aanbestedingspraktijk.
