Dataportabiliteit
Artikel 20 van de Algemene Verordening Gegevensbescherming (AVG) introduceert het recht op dataportabiliteit. Het recht op dataportabiliteit (overdraagbaarheid van gegevens) houdt in dat de consument het recht heeft de persoonsgegevens “die hij aan een verwerkingsverantwoordelijke heeft verstrekt, in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen”, en deze gegevens “aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden tegengewerkt door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrekt”. Het doel van dit nieuwe recht is de positie van consumenten te versterken en hen meer controle over hun gegevens te geven.
De Europese Unie ziet het recht op dataportabiliteit als een belangrijk middel in de vrije stroom van persoonsgegevens binnen de EU. Het zou concurrentie in de hand moeten werken. Consumenten zouden makkelijker van dienstverlener kunnen veranderen, wat de ontwikkeling van nieuwe diensten binnen de digitale eenheidsmarktstrategie aanmoedigt. De consument heeft volgens Artikel 20 namelijk ook “het recht dat de persoonsgegevens, indien dit technisch mogelijk is, rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere worden doorgezonden.”
De Europese toezichthouders doen een oproep aan alle belanghebbenden en brancheorganisaties om binnen hun domein samen te werken aan een set van standaarden en formaten om het recht op dataportabiliteit vorm te geven.
Leidend document
De Artikel 29-werkgroep heeft in april 2017 de (definitieve) Guidelines on the right to data portability gepubliceerd die meer uitleg geven over het recht op dataportabiliteit.
De NVB vraagt “de Nederlandse overheid om op Europees niveau verdere invulling te geven aan het bestaande recht op dataportabiliteit en het recht op vergetelheid zoals vastgelegd in de AVG, waardoor data-eigenaren grip op en controle hebben over hun persoonlijke data. De overheid wordt gevraagd om hiervoor een wettelijk kader te creëren, waarmee verplichte cross-sectorale data-deling mogelijk wordt gemaakt, zodat de kansen van de data-economie zo breed mogelijk kunnen worden benut. De consument zou meer centraal moeten worden gezet bij veilige en efficiënte data-toegang en data-deling. Er ontstaat een toenemende data-macht bij enkele partijen. Om de balans te herstellen, is versterking nodig van de positie van individuen en bedrijven in hun rol als data-eigenaren.
“Verder zou de overheid randvoorwaarden moeten scheppen voor een afsprakenstelsel dat de positie van de data eigenaar – de consument – versterkt als het gaat om de regie van en controle op zijn data. De AVG en PSD2 geven hierbij houvast. Maar bieden nog niet de juiste randvoorwaarden om daadwerkelijk controle en inzicht te bieden bij data-deling. Het gedachtegoed van PSD2 kan wel worden gebruikt voor veilige en efficiënte toegang tot en deling van persoonlijke data.”
Welke gegevens wel en niet
De wettelijke basis: digitale persoonsgegevens verstrekt door de consument
Dit betreft alle digitale persoonsgegevens die een dienstverlener van de consument verwerkt; ófwel met toestemming van de consument, ófwel om een overeenkomst met de consument uit te voeren. De dienstverlener dient bij een verzoek tot dataportabiliteit alle persoonsgegevens beschikbaar te stellen die de desbetreffende consument aan hem heeft verstrekt.
Observed data
De Artikel 29-werkgroep stelde dat het niet alleen om gegevens gaat die consumenten actief en bewust hebben verstrekt (bijvoorbeeld e-mailadres, gebruikersnaam, leeftijd etc.), maar ook om de gegevens die consumenten indirect hebben ‘verstrekt’ door een dienst of apparaat te gebruiken: zogenaamde observed data. Hieronder vallen bijvoorbeeld de zoekgeschiedenis, locatiegegevens of andere (ruwe) data als de hartslag die via een fitnesstracker is vastgelegd.
Hoewel de Europese Commissie deze redenatie van de Artikel 29-werkgroep aanvankelijk betwistte , volgt de Nederlandse toezichthouder (de Autoriteit Persoonsgegevens) de richtlijn van de Artikel 29-werkgroep : “Het gaat ook om de gegevens die klanten aan u hebben ‘verstrekt’ door uw dienst of apparaat te gebruiken. Bijvoorbeeld de zoekgeschiedenis of locatiegegevens van uw klanten. Of andere (ruwe) data als de hartslag die via een fitnesstracker is vastgelegd.”
Afgeleide gegevens hoeven niet verstrekt te worden
De dienstverlener hoeft bij een verzoek om dataportabiliteit géén afgeleide gegevens te verstrekken. Onder afgeleide gegevens (inferred data) vallen persoonsgegevens die de dienstverlener zelf heeft gegenereerd door bijvoorbeeld uitvoerige analyse of het opstellen van een – op basis van verstrekte gegevens berekende – kredietscore of klantprofiel . Hieronder vallen dus ook gegenereerde adviesdossiers, waarvan het soms wel degelijk wenselijk kan zijn deze te verstekken bij een verzoek om dataportabiliteit. De dienstverlener is hier echter, in tegenstelling tot bij een inzageverzoek, niet toe verplicht: het recht op inzage is breder dan het recht op dataportabiliteit.
Gegevens die waarde hebben voor de consument
De verstrekte data dienen waarde voor de consument te hebben. Dat wil zeggen: het heeft geen nut om meer data aan te bieden dan de consument behoeft. Omdat het enerzijds onwenselijk is om voor de consument te bepalen wat wel en niet waardevol is, en dit per individu zal verschillen, en het anderzijds voor consumenten lastig zal zijn om uit alle (onder meer machineleesbare) data zelf selecties te maken, bieden de dataverstrekkers idealiter zelf een selectiemogelijkheid aan voorafgaand aan het proces van downloaden/exporteren.
Metagegevens meeleveren
Een dienstverlener moet niet alleen de feitelijke inhoud leveren, maar ook zoveel mogelijk relevante metagegevens meeleveren. Zoals tijdstip, afzender, geadresseerde etc. Hierdoor blijft de betekenis van de overgedragen informatie zo goed mogelijk bewaard.
Wettelijke basis: gestructureerd, gangbaar en machineleesbaar formaat
Bij het recht op dataportabiliteit moeten dienstverleners de gegevens verstrekken in een vorm die het voor consumenten gemakkelijk maakt om hun gegevens te hergebruiken en door te geven aan een andere organisatie, als ook direct inleesbaar te maken voor de nieuwe organisatie. Dienstverleners zijn daarom wettelijk verplicht om de gegevens in een gestructureerd, gangbaar en machineleesbaar formaat te verstrekken. Die laatste eis wordt hieronder verder toegelicht.
Overweging 21 van Richtlijn 2013/37/EU17 definieert ‘machineleesbaar’ als een bestandsformaat met een zodanige structuur dat softwaretoepassingen gemakkelijk specifieke gegevens in het document kunnen identificeren, herkennen en extraheren. Gegevens die zijn gecodeerd in bestanden die in een machinaal leesbaar formaat zijn gestructureerd, zijn machinaal leesbare gegevens. Machinaal leesbare formaten kunnen open of geoctrooieerd zijn; zij kunnen al dan niet formele standaards zijn. Documenten die zijn gecodeerd in een bestandsformaat dat een automatische verwerking beperkt – doordat de gegevens niet of niet gemakkelijk uit de documenten kunnen worden gehaald – vallen hier niet onder.
Experts stellen dat het gebruik van open formats (zoals CSV, XML en JSON) de meest voor de hand liggende optie is voor het porteren van data. Open formats vallen immers niet onder de bescherming van intellectueel eigendom, en kunnen zodoende zonder restricties worden geïmplementeerd. Daarnaast zijn ze gebaseerd op open standaarden, zijn ze goed gedocumenteerd en worden ze met grote regelmaat geüpdatet en ontwikkeld. Dit sluit goed aan bij het doel van het recht op dataportabiliteit: meer interoperabiliteit en leveranciersonafhankelijkheid bereiken.
Standaard voor dataportabiliteit
SIVI publiceerde in 2018 een standaard voor dataportabiliteit , gebaseerd op de gegevensstandaard AFD. Het gebruik is tot nu toe zeer beperkt, afgaande op het aantal vragen dat hierover bij SIVI is gesteld.