Blog

Help! Uw huurders hebben recht op dataportabiliteit!

Vanaf 25 mei 2018 start de nieuwe, Europese privacywetgeving: de Algemene Verordening Gegevensbescherming. Eén van de nieuwe regels (ten opzichte van de Wbp) is het recht op dataportabiliteit. Dit houdt in dat betrokkenen (zoals klanten) het recht hebben om hun persoonsgegevens, die een organisatie van hen heeft, te ontvangen. Denk bij een woningcorporatie bijvoorbeeld aan het gemakkelijk laten overstappen van een huurder naar een andere woningcorporatie. Dit recht vraagt om extra werkzaamheden van de organisatie. Waar moet uw organisatie in ieder geval aan denken? 

De Autoriteit Persoonsgegevens en andere betrokken partijen hebben onlangs ter verduidelijking enkele richtlijnen voor de Europese privacywet gepubliceerd. De privacy-toezichthouders bieden hiermee meer duidelijkheid over een aantal belangrijke (nieuwe) begrippen. De informatie hieronder is, volgens ons, de meest belangrijke informatie over dataportabiliteit.

Wanneer mag een klant zijn recht tot dataportabiliteit gebruiken?

Het recht van dataportabiliteit is van toepassing bij de volgende drie condities:

  1. De persoonsgegevens die worden opgevraagd moeten worden verwerkt met automatische middelen (dat wil zeggen zonder papieren dossiers). De betrokkene moet hiervoor voorafgaand toestemming hebben gegeven of de betrokkene is onderdeel van een partij waarmee een overeenkomst is afgesloten.
  2. De opgevraagde persoonsgegevens moeten betrekking hebben op de betrokkene en de gegevens zijn ook door hem verstrekt.
  3. Het opvragen van de persoonsgegevens mag geen negatieve gevolgen hebben voor de rechten en vrijheden van derden.
Hoe kan de verantwoordelijke organisatie de betrokkene identificeren?

Naast het controleren of de betrokkene het recht heeft om de informatie te verkrijgen, is het natuurlijk belangrijk om te controleren of de aanvrager ook daadwerkelijk de betrokkene is. De verantwoordelijke organisatie moet een authenticatieprocedure opstellen voor de aanvraag. In veel gevallen zijn deze procedures al aanwezig. Denk bijvoorbeeld aan de gebruikersnaam en het wachtwoord in een eigen online klantomgeving.

Hoe moet de data worden verstrekt?

Wanneer een betrokkene zijn persoonlijke gegevens opvraagt, moet de organisatie dat in een gestructureerd, algemeen gebruikt en machine-leesbaar format naar hem verzenden. Deze drie specificaties moeten ervoor zorgen dat het format ‘interoperabiliteit’ is. Dat betekent dat het voor verschillende eenheden (zoals systemen, maar ook organisaties) mogelijk is om te communiceren en samen te werken. Ook moet de verantwoordelijke organisatie zo veel mogelijk metadata verstrekken aan de betrokkene, zodat de precieze betekenis van de uitgewisselde informatie begrijpelijk is.

Het wordt de organisatie aangeraden om betrokkenen de mogelijkheid te bieden om hun gegevens te downloaden. Ook wordt het aangeraden om hen de mogelijkheid te bieden om hun gegevens direct door te sturen naar een andere organisatie.

De organisatie die zich bezighoudt met het beantwoorden van de verzoeken is niet verantwoordelijk voor de verwerking wanneer dat is uitgevoerd door de betrokkenen of door een andere organisatie. De verantwoordelijke organisatie die aan het verzoek gehoor geeft moet zich bij het beantwoorden van dataverzoeken wel aan de volgende punten houden ten aanzien van de te versturen data:

  1. De data die verstuurd wordt is relevant (het moet bijvoorbeeld niet gaan om een dossier over huurachterstand van 15 jaar geleden die allang is opgelost.)
  2. De opgeslagen (en de te versturen) data mag niet buitensporig veel zijn vergeleken met de nieuwe dataverwerking.
  3. De betrokkenen dienen duidelijk geïnformeerd te zijn over het doel van deze nieuwe manier van verwerking.
  4. De verantwoordelijke organisatie respecteert de wetgeving omtrent de bescherming van deze persoonsgegevens.
Hoe kan de organisatie kenbaar maken dat klanten dit nieuwe recht kunnen gebruiken?

De organisatie moet betrokken informeren over hun recht tot dataportabiliteit. Dit kan een organisatie bijvoorbeeld kenbaar maken in een privacy statement op de website.

Er wordt organisaties aangeraden om duidelijk het verschil uit te leggen tussen verschillende typen data dat een betrokkene kan ontvangen. Ook moet de organisatie vóór het sluiten van bijvoorbeeld een online account uitgelegd hebben dat de betrokkene recht heeft tot het ontvangen van de gegevens.

Nog meer weten over dit onderwerp? Op deze pagina zijn de FAQ en de richtlijnen te downloaden.

Start met het verbeteren van de privacy!

Het recht op dataportabiliteit is slechts één nieuwe regel voor organisaties. Er zijn meerdere nieuwe regels in de Algemene Verordening Gegevensbescherming t.o.v. de Wet bescherming persoonsgegevens (Wbp). Wilt u meer weten over deze nieuwe Europese privacywetgeving? Volg dan de training Privacywetgeving: wat moet en kunt u concreet doen. Tijdens het eerste deel van de cursus staat de Nederlandse en Europese privacywetgeving centraal. Daarna gaat u aan de slag met uw eigen concrete actieplan voor uw organisatie. Wanneer u de cursus verlaat, heeft u recente kennis opgedaan én weet u hoe u de privacy van de organisatie gaat aanpakken.

Rani Honcoop, Audittrail
docente Kjenning

Datum: 26-01-2017

Delen: