Door Ruud Koorneef en Ad Boumans
Op 27 april 2016 is de Europese privacyrichtlijn vastgesteld. In het Engels staat deze bekend als General Data Protection Regulation (GDPR). De Nederlande naam is Algemene Verordening Gegevensbescherming. Onlangs (13 december 2016) zijn nadere richtlijnen gepubliceerd over het recht op overdracht van gegevens: dataportabiliteit: ‘Guidelines on the right to data portability’ aangenomen. Dat document geeft meer diepgang en uitwerking aan artikel 20 van de privacyrichtlijn.
Mijn eerste reactie op het lezen van artikel 20 was: wat is de bedoeling van dit artikel? Welke klant zou nou vragen om zijn gegevens vanuit de huidige naar een nieuwe leverancier of zijn eigen datastore te sturen? Het opgeven van de NAW gegevens en wat ‘aanhangend spul’ is toch niet zo omvangrijk dat dit een issue zal worden?
De toelichting (Guidelines on the right to data portability) van 13 december 2016 laat hier een toch veel complexer beeld zien. Het gaat in deze niet alleen om de gegevens op klantniveau maar ook om de onderhangende gegevens; gegevens die de klant heeft gegenereerd of ingebracht.
Mijn eerste reactie op het lezen van artikel 20 was: wat is de bedoeling van dit artikel? Welke klant zou nou vragen om zijn gegevens vanuit de huidige naar een nieuwe leverancier of zijn eigen datastore te sturen? Het opgeven van de NAW gegevens en wat ‘aanhangend spul’ is toch niet zo omvangrijk dat dit een issue zal worden?
De toelichting (Guidelines on the right to data portability) van 13 december 2016 laat hier een toch veel complexer beeld zien. Het gaat in deze niet alleen om de gegevens op klantniveau maar ook om de onderhangende gegevens; gegevens die de klant heeft gegenereerd of ingebracht.
Dit inbrengen kan het resultaat zijn van typewerk (adreslijst van contacten, boodschappenlijstjes, agenda gegevens) maar ook van muisklikken waarmee bijvoorbeeld voorkeuren zijn vastgelegd. Ook gegevens die direct het gevolg zijn van het gedrag van de klant vallen hieronder.
Bijvoorbeeld:
Niet onder de regel vallen de gegevens die door analyse van de vastgelegde gegevens zijn verkregen (door profilering of meten).
De gegevens moeten –binnen een redelijke termijn- worden opgeleverd in “a structured, commonly used and machine-readable format”. Daarnaast moet een duidelijke omschrijving worden geleverd van de opgeleverde data. De structuur en de betekenis van de elementen.
Het is de verwerker van de gegevens in de meeste gevallen niet toegestaan om voor dergelijke opleveringen een rekening bij de betrokkene neer te leggen. Het moet dus een onderdeel zijn van de service die de organisatie levert.
Al met al betekent dit dat het recht op overdraagbaarheid in veel gevallen heel wat meer voeten in aarde zal hebben dan je in eerste instantie zou denken…
Bijvoorbeeld:
- logging van de gegevens van het rijgedrag in de auto
- verplaatsing in de fysieke wereld
- metingen aan het lijf bij fysieke inspanning
Niet onder de regel vallen de gegevens die door analyse van de vastgelegde gegevens zijn verkregen (door profilering of meten).
De gegevens moeten –binnen een redelijke termijn- worden opgeleverd in “a structured, commonly used and machine-readable format”. Daarnaast moet een duidelijke omschrijving worden geleverd van de opgeleverde data. De structuur en de betekenis van de elementen.
Het is de verwerker van de gegevens in de meeste gevallen niet toegestaan om voor dergelijke opleveringen een rekening bij de betrokkene neer te leggen. Het moet dus een onderdeel zijn van de service die de organisatie levert.
Al met al betekent dit dat het recht op overdraagbaarheid in veel gevallen heel wat meer voeten in aarde zal hebben dan je in eerste instantie zou denken…