Wanneer geldt het recht op dataportabiliteit?

Dataportabiliteit onder de AVG is het (nieuwe) recht dat persoonsgegevens worden overdragen. Dat betekent dat de betrokkene niet alleen de gegevens kan inzien, maar ze ook kan opvragen.  Hiermee kunnen gegevens makkelijker worden doorgegeven aan bijvoorbeeld een andere dienstverlener. Vooral omdat gegevens in een gestructureerd, gangbaar en machineleesbaar formaat – dus geen pdf - moeten worden overgedragen.  Het zou zo kunnen gaan:  de dienstverlener exporteert gegevens op verzoek van de diegene die de gegevens betreft naar een formaat dat de persoon zelf en/of een andere dienstverlener kan verwerken in een andere dienstverleningsomgeving. Het doel van dataportabiliteit is om de controle van de betrokkene op de eigen gegevens verder te verbeteren en zijn/haar positie ten opzichte van dienstverleners te versterken.

Het recht op dataportabiliteit geldt alleen wanneer gegevens worden verwerkt op basis van de volgende twee grondslagen: de gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst of als de betrokkene heeft toestemming gegeven voor de verwerking ervan. Voor andere grondslagen vervalt het  recht op dataportabiliteit. Dat zijn in ieder geval alle diensten vanuit een wettelijke regeling. Uitkeringen, toeslagen, langdurige zorg, studiefinanciering, WMO. Voor veel van deze diensten is er maar één uitvoeringsorganisatie, dan is dataportabiliteit inderdaad onzin. Maar ook voor wettelijke regelingen kan dataportabiteit een prettige oplossing zijn. Bijvoorbeeld wanneer je gebruik maakt van WMO voorzieningen en je verhuist naar een andere gemeente, dan worden de voorzieningen in ene gemeente volledig geannuleerd, lever je je (maatwerk) spullen in  en start je in de andere gemeenten met een geheel schone lei en een fris indicatietraject. Deze manier van werken zou overigens vele financiële en administratieve voordelen kunnen hebben voor de dienstverlener en de klant (lees: het scheelt een hoop werk en geld).

Niet alle gegevens gaan mee

De wet bepaalt dat het bij dataportabiliteit niet gaat om alle persoonsgegevens, maar dat het zich beperkt tot gegevens die je als gebruiker zelf ‘bewust en actief’ hebt verstrekt aan de dienstverlener (zoals producten die je hebt gekocht, artikelen die je hebt gelezen, betalingen, meetgegevens, dagboekje, verbruik), en gegevens die daarvan zijn afgeleid (kredietwaardigheid, feedback op metingen en logs)

De juristen buigen zich nu over welke gegevens er precies onder dataportabiliteit valt. Gaat het alleen om ongeveer naam, adres, woonplaats of kan, mag or moet er wat meer bij. Wat niet mag is dat de dienstverlener zich beperkt tot standaardgegevens bijv. via een webformulier of intake. Ook architecten buigen zich over dataportabiliteit:  hoe zorgen we dat gegevens overdraagbaar zijn,  welk formaat of standaard, welk uitwisselingsprotocol, hoe ze te beveiliging, etc.

Aan de slag met dataportabiliteit

Het recht op dataportabiliteit is typisch iets waar dienstverleners mee worstelen: welke gegevens kan je delen, wat wil je delen en wat moet je delen. Als dienstverlener heb je een dienstverleningshistorie met je klant/burger/patiënt/cliënt. Welke onderdelen daarvan vallen onder dataportabiliteit, maar ook welke onderdelen daarvan zouden relevant kunnen zijn voor een andere dienstverlener. Wat valt er onder ‘gegevens die actief verstrekt zijn door de klant’? Ik waag me– als niet-jurist –niet aan een juridische discussie, maar ga door  enkele casussen te bespreken op zoek naar de win-win voor dienstverleners en betrokkenen. Immers de ene keer zal de dienstverlener de versturende partij zijn, de andere keer de ontvangende partij.

Klik op de tabel om de afbeelding te vergroten

Als we de casussen bekijken, dan lijkt de dienstverlener die data beschikbaar moet stellen in de regel wat terughoudend, terwijl de ontvangende partij graag de gegevens wil ontvangen om de eigen dienstverlening zo goed mogelijk te kunnen uitvoeren. Als je als dienstverlener die data beschikbaar moet stellen, wil je niet dat met ‘jouw’ data dingen gebeuren waar je geen grip op hebt. Dat je er last mee krijgt, bijvoorbeeld omdat een andere dienstverlener het niet eens is met jouw beoordeling of dat er gegevens ontbreken of onjuist zijn. Dat de partij die de gegevens ontvangt de gegevens gebruikt om jou producten en diensten te diskwalificeren en je daarmee je klant kwijt raakt.  De wet bepaalt overigens wel dat de verantwoordelijkheid van de dienstverlener ophoud zodra de gegevens zijn overgedragen. Dan is het aan de klant of aan de ontvangende dienstverlener.

Het aardige is natuurlijk wel dat een dienstverlener beide rollen kan aannemen, de ene keer wordt om gegevens gevraagd en de andere keer brengt een klant gegevens mee van een andere dienstverlener. Wellicht dat dat een goed begin om na te denken over dataportabiliteit: wat zou ik als dienstverlener graag aangeleverd willen krijgen en zou in welke mate zou ik deze gegevens zelf willen meegeven. Hoe richt ik mijn processen en systemen zodanig in dat dataportabiliteit mogelijk is. Hoe zorg ik er uberhaupt voor dit ik gegevens die een klant meebrengt kan verwerken en bij voorkeur zo efficiënt mogelijk.

Blauwe knop

Dataportabiliteit vereist dat er afspraken worden gemaakt over het formaat waarin data van de ene partij naar de andere gaat, evt via de klant. Dat vraagt nogal wat van dienstverleners. Het is ondoenlijk om in elk formaat te kunnen exporteren of importeren. Het helpt om gebruik te maken van standaarden die de verschillende afsprakenstelsels voor gegevensuitwisseling hebben ontwikkeld (Medmij, Qiy, iShare, Idensys/eHerkenning, …). Een andere mogelijkheid is de zogenaamde Blauwe knop, waarmee de klant/patiënt/cliënt  zelf de gegevens van een dienstverlener kan ophalen en die op eigen initiatief kan doorgeven naar een andere dienstverlener. De Blauwe knop is open source en verschillende partijen, waaronder InnoValor, werken aan aanvullende componenten om dataportabiliteit via de blauwe knop verder mogelijk te maken. Zie ook de blog van collega Bob Hulsebosch. 

Heeft u vragen over het implementeren van dataportabiliteit of andere rechten van gebruikers onder de AVG? Dan bent u van harte welkom om hierover van gedachten te wisselen met mij of een van mijn collega’s.