Door Ruud Koorneef en Ad Boumans
Op 27 april 2016 is de Europese privacyrichtlijn vastgesteld. In het Engels staat deze bekend als General Data Protection Regulation (GDPR). De Nederlande naam is Algemene Verordening Gegevensbescherming. Onlangs (13 december 2016) zijn nadere richtlijnen gepubliceerd over het recht op overdracht van gegevens: dataportabiliteit: ‘Guidelines on the right to data portability’ aangenomen. Dat document geeft meer diepgang en uitwerking aan artikel 20 van de privacyrichtlijn.
Mijn eerste reactie op het lezen van artikel 20 was: wat is de bedoeling van dit artikel? Welke klant zou nou vragen om zijn gegevens vanuit de huidige naar een nieuwe leverancier of zijn eigen datastore te sturen? Het opgeven van de NAW gegevens en wat ‘aanhangend spul’ is toch niet zo omvangrijk dat dit een issue zal worden?
De toelichting (Guidelines on the right to data portability) van 13 december 2016 laat hier een toch veel complexer beeld zien. Het gaat in deze niet alleen om de gegevens op klantniveau maar ook om de onderhangende gegevens; gegevens die de klant heeft gegenereerd of ingebracht.
Mijn eerste reactie op het lezen van artikel 20 was: wat is de bedoeling van dit artikel? Welke klant zou nou vragen om zijn gegevens vanuit de huidige naar een nieuwe leverancier of zijn eigen datastore te sturen? Het opgeven van de NAW gegevens en wat ‘aanhangend spul’ is toch niet zo omvangrijk dat dit een issue zal worden?
De toelichting (Guidelines on the right to data portability) van 13 december 2016 laat hier een toch veel complexer beeld zien. Het gaat in deze niet alleen om de gegevens op klantniveau maar ook om de onderhangende gegevens; gegevens die de klant heeft gegenereerd of ingebracht.