Inleiding
Artikel 20 van de Algemene Verordening Gegevensbescherming (AVG) introduceert het recht op dataportabiliteit. Het recht op dataportabiliteit (overdraagbaarheid van gegevens) houdt in dat de consument het recht heeft de persoonsgegevens “die hij aan een verwerkingsverantwoordelijke heeft verstrekt, in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen”, en deze gegevens “aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden tegengewerkt door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrekt”. Het doel van dit nieuwe recht is de positie van consumenten te versterken en hen meer controle over hun gegevens te geven.
De Europese Unie ziet het recht op dataportabiliteit als een belangrijk middel in de vrije stroom van persoonsgegevens binnen de EU. Het zou concurrentie in de hand moeten werken. Consumenten zouden makkelijker van dienstverlener kunnen veranderen, wat de ontwikkeling van nieuwe diensten binnen de digitale eenheidsmarktstrategie aanmoedigt. De consument heeft volgens Artikel 20 namelijk ook “het recht dat de persoonsgegevens, indien dit technisch mogelijk is, rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere worden doorgezonden.”
De Europese toezichthouders doen een oproep aan alle belanghebbenden en brancheorganisaties om binnen hun domein samen te werken aan een set van standaarden en formaten om het recht op dataportabiliteit vorm te geven.
Richtlijnen
Een rapport ‘’Guidelines on the right to data portability’’ geeft uitleg geven over het recht op dataportabiliteit.
Welke gegevens wel en niet
De dienstverlener dient bij een verzoek tot dataportabiliteit alle persoonsgegevens beschikbaar te stellen die de desbetreffende consument aan hem heeft verstrekt.
Afgeleide gegevens hoeven niet verstrekt te worden
De dienstverlener hoeft bij een verzoek om dataportabiliteit géén afgeleide gegevens te verstrekken. Onder afgeleide gegevens (inferred data) vallen persoonsgegevens die de dienstverlener zelf heeft gegenereerd door bijvoorbeeld uitvoerige analyse of het opstellen van een – op basis van verstrekte gegevens berekende – kredietscore. Hieronder vallen dus ook gegenereerde adviesdossiers, waarvan het soms wel degelijk wenselijk kan zijn deze te verstekken bij een verzoek om dataportabiliteit. De dienstverlener is hier echter, in tegenstelling tot bij een inzageverzoek, niet toe verplicht: het recht op inzage is breder dan het recht op dataportabiliteit.
Metagegevens meeleveren
Een dienstverlener moet niet alleen de feitelijke inhoud leveren, maar ook zoveel mogelijk relevante metagegevens meeleveren. Zoals tijdstip, afzender, geadresseerde etc. Hierdoor blijft de betekenis van de overgedragen informatie zo goed mogelijk bewaard.
Wettelijke basis: gestructureerd, gangbaar en machineleesbaar formaat
Bij het recht op dataportabiliteit moeten dienstverleners de gegevens verstrekken in een vorm die het voor consumenten gemakkelijk maakt om hun gegevens te hergebruiken en door te geven aan een andere organisatie, als ook direct inleesbaar te maken voor de nieuwe organisatie. Dienstverleners zijn daarom wettelijk verplicht om de gegevens in een gestructureerd, gangbaar en machineleesbaar formaat te verstrekken. Die laatste eis wordt hieronder verder toegelicht.
Overweging 21 van Richtlijn 2013/37/EU17 definieert ‘machineleesbaar’ als een bestandsformaat met een zodanige structuur dat softwaretoepassingen gemakkelijk specifieke gegevens in het document kunnen identificeren, herkennen en extraheren. Gegevens die zijn gecodeerd in bestanden die in een machinaal leesbaar formaat zijn gestructureerd, zijn machinaal leesbare gegevens. Machinaal leesbare formaten kunnen open of geoctrooieerd zijn; zij kunnen al dan niet formele standaards zijn. Documenten die zijn gecodeerd in een bestandsformaat dat een automatische verwerking beperkt – doordat de gegevens niet of niet gemakkelijk uit de documenten kunnen worden gehaald – vallen hier niet onder.
Experts stellen dat het gebruik van open formats (zoals CSV, XML en JSON) de meest voor de hand liggende optie is voor het porteren van data. Open formats vallen immers niet onder de bescherming van intellectueel eigendom, en kunnen zodoende zonder restricties worden geïmplementeerd. Daarnaast zijn ze gebaseerd op open standaarden, zijn ze goed gedocumenteerd en worden ze met grote regelmaat geüpdatet en ontwikkeld. Dit sluit goed aan bij het doel van het recht op dataportabiliteit: meer interoperabiliteit en leveranciersonafhankelijkheid bereiken.