AVG Uitgediept #4: Recht van inzage en dataportabiliteit

Mijn collega, Emiel de Joode, vertelde u in de vorige blog dat transparantie een belangrijk onderdeel is van de privacywetgeving. Een belangrijk onderdeel van het transparantiebeginsel is dat betrokkenen moeten weten welke persoonsgegevens verwerkt worden en waarvoor. In de Wbp voorziet artikel 35 in het recht van "kennisneming". Vraagt iemand op grond van de Wbp om inzage (hetgeen alleen met redelijke tussenpozen mag), dan moet de verantwoordelijke op een duidelijke en begrijpelijke manier vertellen welke gegevens van betrokkene zij verwerkt, wat het doel daarvan is, of deze gegevens worden doorgegeven en hoe zij aan de gegevens komt. Dit recht is onder de AVG iets uitgebreider. Artikel 15 van de AVG bepaalt dat de betrokkene het recht heeft om te weten of zijn persoonsgegevens worden verwerkt, en zo ja, om daar inzage en informatie over te krijgen. De verantwoordelijke moet de betrokkene de volgende informatie verstrekken:

• De verwerkingsdoeleinden;
• De categorieën van persoonsgegevens;
• De ontvangers aan wie de gegevens zijn of zullen worden verstrekt;
• De bewaartermijnen;
• Het recht van betrokkene op rectificatie, verwijdering, beperking en bezwaar;
• Het recht van betrokkene om een klacht in te dienen bij de toezichthoudende autoriteit;
• Alle beschikbare informatie over de bron van de gegevens (voor zover dat niet de betrokkene zelf is); en
• Informatie over eventuele geautomatiseerde besluitvorming.

Zoals u ziet is deze informatieverstrekking sterk uitgebreid en komt het deels overeen met de informatie die de verantwoordelijke al op basis van de informatieplicht moet verstrekken. Behalve recht op informatie, heeft de betrokkene ook het recht op een kopie van de gegevens die worden verwerkt. De verantwoordelijke mag zelf bepalen hoe hij de informatie ter beschikking stelt.

Het recht op inzage is natuurlijk niet nieuw, maar het recht op gegevensoverdraagbaarheid is dat wel. Het recht op dataportabiliteit geldt alleen voor verwerkingen die 1) geautomatiseerd plaatsvinden, en 2) op basis van toestemming of overeenkomst (zie blog 1 voor alle grondslagen voor verwerking). Artikel 20 van de AVG bepaalt dat de betrokkene het recht heeft om de hem betreffende persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen. Het essentiële verschil met het recht van inzage is dus de wijze van verkrijging. Voorwaarde is wel dat het gaat om de gegevens die door de betrokkene zelf zijn verstrekt aan de verantwoordelijke. Binnen dat bereik vallen ook de gegevens die de betrokkene heeft verstrekt door middel van het gebruik van een product (denk aan zoekgeschiedenis, locatiegegevens, etc.). De betrokkene kan de verantwoordelijke verzoeken om deze gegevens rechtstreeks te verstrekken aan een derde partij (de nieuwe verantwoordelijke). Dit recht moet het de betrokkene makkelijker maken om van aanbieder te wisselen. Heb je bijvoorbeeld een sporthorloge met allerlei door jou vergaarde en door de aanbieder verwerkte persoonlijke data, maar wil je overstappen naar een andere aanbieder? Dan kan je met dit nieuwe recht gemakkelijk je eigen gegevens over laten zetten.

De toezichthoudende autoriteiten adviseren verantwoordelijken om de betrokkenen twee opties te bieden: 1) een mogelijkheid om alle gegevens direct te downloaden, en 2) een mogelijkheid om alle gegevens direct te verplaatsen naar een andere verantwoordelijke. Dit zou mogelijk moeten zijn door een API (Application Programming Interface) beschikbaar te stellen. De betrokkene zal de mogelijkheid moeten worden geboden om alleen de relevante persoonsgegevens te selecteren voor dataportabiliteit en – bijvoorbeeld – gegevens van derde partijen uit te sluiten. De persoonsgegevens van derde partijen mogen immers niet zomaar worden overgedragen. De verantwoordelijke zal er dan ook voor moeten waken dat de rechten en vrijheden van derde partijen gewaarborgd blijven.

Op grond van de informatieplicht die eerder is genoemd, moet de betrokkene ook worden geïnformeerd over het recht op dataportabiliteit. Aangeraden wordt om bij het verstrekken van de informatie het verschil tussen het recht van inzage en dataportabiliteit duidelijk te maken. Ook wordt aangeraden om de betrokkene te wijzen op het recht van dataportabiliteit bij het beëindigen van een contract.

Voor wat betreft de beveiliging is de verantwoordelijke verplicht ervoor zorg te dragen dat de overdracht van de gegevens veilig gebeurt en naar de juiste locatie gaat. Dit kan bijvoorbeeld door encryptie en additionele authenticatie bij ontvangst. Ook moet de verantwoordelijke de betrokkene informeren over het feit dat de opslag van de gegevens bij de betrokkene zelf wellicht minder goed beveiligd is dan bij de verantwoordelijke. De verantwoordelijke zou manieren kunnen aandragen om de gegevens veilig te bewaren.

Rode draad door de privacywetgeving is transparantie en - mijns inziens - ook controle van de betrokkene over zijn/haar persoonsgegevens. In de aankomende blogs zullen wij dat terug blijven zien. De volgende blog zal het recht van vergetelheid nader toelichten.