AVG: Dataportabiliteit

Onder de AVG moeten webshops en andere organisaties de persoonsgegevens die zij hebben verzameld kunnen overdragen als de betrokkene daar om vraagt. Dit wordt het recht op dataportabiliteit genoemd en in dit artikel gaan we daar dieper op in.

Dataportabiliteit is het recht van betrokkenen (zoals consument en klanten) op de overdraagbaarheid van zijn of haar persoonsgegevens. Hiermee wil de overheid consumenten en klanten meer macht geven over hun eigen persoonsgegevens, aangezien zij dan bijvoorbeeld gemakkelijker dienstverlener kunnen veranderen. Volgens de Autoriteit Persoonsgegevens (AP) wil de Europese Commissie hiermee de concurrentie tussen dienstverleners vergroten.

De Artikel 29-werkgroep, van de gezamenlijke Europese privacytoezichthouders (WG29), heeft de belangrijkste begrippen in het onderwerp over dataportabiliteit in de AVG verduidelijkt.

Hoe moeten de gegevens worden aangeleverd?

Volgens de AVG moet een onderneming de door de betrokkene aangeleverde persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm kunnen verplaatsen, kopiëren en versturen.  Voor webshops betekent dit dat een consument kan verzoeken om zijn persoonsgegevens over te laten dragen aan hem zelf of aan een derde partij. Als de consument de gegevens zelf wil ontvangen, moet dit binnen maximaal een maand gebeuren op een manier waarop de gegevens voor hem gemakkelijk toegankelijk zijn. De WG29 verklaart daarbij dat de gegevens dan eenvoudig te downloaden moeten zijn. 

Als de klant verzoekt om zijn gegevens over te dragen aan een derde partij, dan moeten deze ook binnen een maand in een gangbaar elektronisch formaat naar een ander informatiesysteem worden verstuurd. Daarbij moeten bepaalde gegevens uit het bestand gemakkelijk kunnen worden geïdentificeerd, herkend en uit het grotere geheel worden losgetrokken. In moeilijkere gevallen mag de webshop de termijn verlengen tot drie maanden, zolang de consument of derde partij hiervan op de hoogte wordt gebracht.

Welke persoonsgegevens moeten worden overgedragen?

In de AVG staat dat webshops een wettelijke basis voor het verwerken van de persoonsgegevens nodig hebben. Voor de toepassing van dataportabiliteit moet de consument toestemming hebben gegeven voor de verwerking van zijn gegevens of moeten de gegevens voortkomen uit een overeenkomst tussen onder andere de webshop en de consument. Voorbeelden van gegevens die voortvloeien uit een overeenkomst, zijn bijvoorbeeld de titels en afleveringen die een betrokkene heeft bekeken bij een online videodienst of de aankopen die hij in een webshop heeft gedaan.

De persoonsgegevens die de webshop moet verstrekken, zijn ten eerste de persoonsgegevens over de consument (anonieme gegevens of gegevens die niet herleidbaar zijn tot hem vallen hier niet onder). Ten tweede moeten ook de persoonsgegevens die door de consument zelf zijn verstrekt, worden overgedragen. Deze tweede groep persoonsgegevens kan weer worden onderverdeeld in twee categorieën:

1. Actief verstrekte gegevens, waarbij de consument bewust gegevens overdraagt (bijvoorbeeld via een formulier op de website).
2. Gegevens die door het gebruik van de dienst door de consument worden ‘verstrekt’. Hierbij gaat het om persoonsgegevens die zijn verstrekt en verwerkt door het gebruik van de dienst en om de activiteit die tijdens het gebruik is vastgelegd. In het geval van webshops zijn dit bijvoorbeeld de zoekgeschiedenis die op de site is gegenereerd of het bijgehouden internetverkeer. Het mag echter niet om zogenaamde afgeleide gegevens gaan. De AP zegt hierover: “Eventuele persoonsgegevens die als onderdeel van de gegevensverwerking door de verantwoordelijke gegenereerd zijn, bijv. door middel van een personalisatie- of aanbevelingsproces, zijn gededuceerde of afgeleide gegevens, en vallen niet onder het recht op dataportabiliteit.”

Kritiek van Ecommerce Europe en Thuiswinkel.org

Thuiswinkel.org en Ecommerce Europe zetten zich in voor een gunstig e-commerceklimaat door regels en de interpretatie daarvan te optimaliseren. Op het gebied van dataportabiliteit hebben we kritiek geuit op de uitleg van de WG29. Ons belangrijkste bezwaar hierbij is dat persoonsgegevens die onbewust door een consument zijn aangeleverd (of die zijn verzameld in het kader van het gebruik van een dienst) niet onder het recht tot dataportabiliteit behoren te vallen. Volgens ons richten de bewoordingen van de AVG zich alleen tot gegevens die de consument zelf heeft verstrekt, bijvoorbeeld via het invullen van websiteformulieren. De interpretatie van de WG29 legt een buitenproportionele last op webshops en andere bedrijven, zeker omdat deze gegevens niet gemakkelijk in bepaalde standaardformaten aan te leveren zijn.

Daarnaast vinden Thuiswinkel.org en Ecommerce Europe dat de doelstellingen van de wet te ruim zijn geïnterpreteerd door de WG29. Het vergroten en stimuleren van concurrentie en de technologische ontwikkeling worden genoemd als de belangrijkste doelstellingen van deze wet, maar uit de verordening zelf blijkt dat de enige doelstelling het vergroten van de macht van consumenten over de eigen data is. De interpretatie van de WG29 moet daarom worden aangepast, zodat de reikwijdte van de wet duidelijk komt vast te staan.