FNV ZZP

Nieuw recht onder de AVG: Het recht op dataportabiliteit

Nieuw recht onder de AVG: Het recht op dataportabiliteit

Degene van wie de persoonsgegevens worden verwerkt, heeft vanaf 25 mei 2018 een nieuw recht, namelijk dat van overdraagbaarheid van persoonsgegevens (dataportabiliteit). Hoewel de Algemene verordening gegevensbescherming (AVG) al sinds mei 2016 in werking is getreden, is deze pas vanaf 25 mei 2018 van toepassing. Dit om organisaties de tijd te gunnen om te kunnen voldoen aan de nieuwe eisen die worden gesteld.

Voor organisaties die persoonsgegevens verwerken, betekent dit dat zij vanaf 25 mei 2018 in staat moeten zijn om de persoonsgegevens die zij verwerken conform de AVG aan de betreffende persoon te verstrekken. De AVG brengt dus een versterking en uitbreiding van privacy rechten en ook meer verantwoordelijkheid voor organisaties met zich mee. Hoewel het nieuwe recht op dataportabiliteit nauw verbonden is met het recht op inzage zijn er toch ook verschillen.

Inzagerecht
Op dit moment hebben personen van wie gegevens worden verwerkt alleen een inzagerecht. Dit is geregeld in artikel 35 van de Wet bescherming persoonsgegevens.

Het inzagerecht houdt in dat je een organisatie die je persoonsgegevens verwerkt, mag vragen om inzage. De organisatie moet diegene die verzoekt om inzage op een duidelijke en begrijpelijke manier laten weten:

  • of de organisatie zijn persoonsgegevens gebruikt, en zo ja:
  • om welke gegevens het gaat;
  • wat het doel is van het gebruik;
  • aan wie de organisatie de gegevens eventueel heeft verstrekt;
  • wat de herkomst is van de gegevens, als deze bekend is.

Op welke manier er vervolgens aan dat verzoek gehoor wordt gegeven, is op dit moment grotendeels aan de organisatie zelf. Er zijn meerdere manieren. Zo kan een organisatie er bijvoorbeeld voor kiezen om iemand van wie ze een dik dossier heeft op kantoor uit te nodigen en dan zijn dossier te laten inzien.

Download gratis de brochure 'Alles over de AVG'



Dataportabiliteit
De AVG definieert het recht op dataportabiliteit in Artikel 20(1) als volgt: De betrokkene heeft het recht zijn persoonsgegevens die hij aan een verantwoordelijke heeft verstrekt in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen en hij heeft het recht die gegevens aan een andere verantwoordelijke over te dragen, zonder daarbij te worden gehinderd door de verantwoordelijke aan wie de persoonsgegevens waren verstrekt […]

Het doel van dit nieuwe recht is om de positie van personen wiens gegevens worden verwerkt te versterken en ze meer controle te geven over hun gegevens.

De persoonsgegevens die een persoon verkrijgt van een organisatie die deze verwerkt, kan hij opslaan of (her)gebruiken om zelf aan een andere organisatie te verstrekken. De organisatie die de gegevens verstrekt, mag de persoon niet tegenwerken en moet ervoor zorgen dat de betrokkene zijn gegevens makkelijk krijgt en kan doorgeven. Dat betekent dat de gegevens moeten worden verstrekt in een gestructureerde, gangbare en machineleesbare vorm.

Welke gegevens precies vallen onder het recht op dataportabiliteit is te lezen in de “Guidelines on the right to data portability”.

Belangrijk om te weten is dat het alleen om digitale gegevens gaat. Papieren dossiers vallen er dus niet onder. Ten tweede betreft het alleen persoonsgegevens die een organisatie met toestemming van de persoon verwerkt of om een overeenkomst met die persoon uit te voeren.

Men moet zich realiseren dat het niet enkel de gegevens die personen actief en bewust zelf aan een organisatie hebben verstrekt betreft (zoals namen, telefoonnummers of (e-mail)adressen), maar ook gegevens die een organisatie heeft verkregen doordat personen gebruik hebben gemaakt van een product of dienst, zoals zoekgeschiedenis en locatiegegevens.

Een organisatie moet binnen een maand na ontvangst van een verzoek de gegevens in beginsel kosteloos verstrekken. De toepasbaarheid van de AVG per 25 mei 2018 dwingt organisaties die persoonsgegevens verwerken om zich goed voor te bereiden en maatregelen te nemen zodat vanaf 25 mei 2018 wordt voldaan aan de AVG.

Realiseer je dat de AVG niet alleen van toepassing is op grote organisaties. Heb je bijvoorbeeld een website of webshop en verwerk je daarmee persoonsgegevens? Dan is het raadzaam om alvast te gaan nadenken over hoe je vanaf 25 mei 2018 kan voldoen aan de AVG.

Juliët Limburg

Jurist FNV Zelfstandigen

Laat een reactie achter
Verzend mijn bericht