Ook deze week besteden we weer aandacht voor de Algemene Verordening Gegevensbescherming (AVG). Vooral omdat wij u als toezichthouder willen informeren wat AVG inhoudt en betekent voor organisaties. Maar ook omdat wij merken dat veel organisaties er niet mee bezig zijn. Of het te eenzijdig (lees: vanuit de IT kant) benaderen. In deze bijdrage gaan we nader in op het onderwerp recht op dataportabiliteit. Een van de nieuwe rechten van personen waar u mee te maken krijgt als gevolg van de invoering van de AVG.

Wat wordt verstaan onder het (nieuwe) recht op dataportabiliteit?

De Algemene Verordening Gegevensbescherming (AVG) geeft personen (degenen van wie persoonsgegevens worden verwerkt) een nieuw recht. Dit is het recht op dataportabiliteit, oftewel overdraagbaarheid van persoonsgegevens. Het houdt in dat betrokkenen het recht hebben om zijn of haar persoonsgegevens te ontvangen die een organisatie van hem of haar heeft.

Betrokkenen kunnen deze gegevens dan vervolgens zelf opslaan voor persoonlijk (her)gebruik. Ook kunnen ze de gegevens doorgeven aan een andere organisatie. Bijvoorbeeld als ze willen overstappen naar, of als ze een dienst van een andere organisatie willen gebruiken. Voordeel voor de betrokkenen/gebruikers is dat je overal je data mee naar toe kan nemen zonder steeds ‘opnieuw’ te hoeven beginnen. Bovendien heeft de gebruiker hierdoor meer controle over zijn of haar gegevens en is overstappen ook makkelijker.

Dataportabiliteit is gratis

Vanaf 25 mei 2018 kan iedereen waarvan gegevens opgeslagen zijn bij een organisatie gebruik maken van dit nieuwe recht op dataportabiliteit. Dat betekent dat u dus vanaf deze datum verzoeken kunt krijgen van personen om hun gegevens beschikbaar te stellen. U bent dan wettelijk verplicht om de gegevens in een voor deze personen makkelijk leesbaar formaat te verstrekken. Zodat het ook mogelijk is om de gegevens te hergebruiken of over te dragen aan een andere organisatie. Voor het beschikbaar stellen van gegevens mag de organisatie in principe geen kosten in rekening brengen.

Gegevens die door uw organisatie zelf zijn gegenereerd (afgeleide gegevens bijvoorbeeld ten behoeve van data analyse) vallen buiten de scope van dit recht. Deze gegevens vallen dan wel weer onder het inzagerecht en moet u bij een inzageverzoek wel verstrekken.

Nu al voorbereiden

U kunt zich op dit nieuwe recht voorbereiden door alvast na te denken over hoe u de gegevens beschikbaar gaat stellen. Zowel technisch- als ook de administratief organisatorisch moeten hiervoor maatregelen getroffen worden. Ook het instrueren van de medewerkers is hier natuurlijk van essentieel belang.