Audittrail over ‘het recht op dataportabiliteit’

Geplaatst door CorporatieMedia op
 

Vanaf 25 mei 2018 start de nieuwe, Europese privacywetgeving: de Algemene Verordening Gegevensbescherming. Eén van de nieuwe regels (ten opzichte van de Wbp) is het recht op dataportabiliteit. Dit houdt in dat betrokkenen (zoals klanten) het recht hebben om hun persoonsgegevens, die een organisatie van hen heeft, te ontvangen. Denk hierbij, in het geval van een woningcorporatie, aan het gemakkelijk laten overstappen van een huurder naar een andere woningcorporatie. Dit recht vraagt om extra werkzaamheden van de organisatie. Wij schijnen een licht op waar uw organisatie in ieder geval aan moet denken.

De Autoriteit Persoonsgegevens en andere betrokken partijen hebben onlangs ter verduidelijking enkele richtlijnen voor de Europese privacywet gepubliceerd. De privacy-toezichthouders bieden hiermee meer duidelijkheid over een aantal belangrijke (nieuwe) begrippen. De informatie hieronder is, volgens ons, de meest belangrijke informatie over dataportabiliteit.

Wanneer mag een klant zijn recht op dataportabiliteit gebruiken?
Het recht op dataportabiliteit is van toepassing bij de volgende drie condities:

  1. De persoonsgegevens die worden opgevraagd moeten worden verwerkt met automatische middelen (dat wil zeggen zonder papieren dossiers). De betrokkene moet hiervoor voorafgaand toestemming hebben gegeven of de betrokkene is onderdeel van een partij waarmee een overeenkomst is afgesloten.
  2. De opgevraagde persoonsgegevens moeten betrekking hebben op de betrokkene en de gegevens zijn ook door hem verstrekt.
  3. Het opvragen van de persoonsgegevens mag geen negatieve gevolgen hebben voor de rechten en vrijheden van derden.

Hoe kan de verantwoordelijke organisatie de betrokkene identificeren?
Naast het controleren of de betrokkene het recht heeft om de informatie te verkrijgen, is het natuurlijk belangrijk om te controleren of de aanvrager ook daadwerkelijk de betrokkene is. De verantwoordelijke organisatie moet een authenticatieprocedure opstellen voor de aanvraag. In veel gevallen zijn deze procedures al aanwezig. Denk bijvoorbeeld aan de gebruikersnaam en het wachtwoord in een eigen online klantomgeving.

Hoe moet de data worden verstrekt?
Wanneer een betrokkene zijn persoonlijke gegevens opvraagt, moet de organisatie dat in een gestructureerd, algemeen gebruikt en machine-leesbaar format naar hem verzenden. Deze drie specificaties moeten ervoor zorgen dat het format ‘interoperabiliteit’ is. Dat betekent dat het voor verschillende eenheden (zoals systemen, maar ook organisaties) mogelijk is om te communiceren en samen te werken. Ook moet de verantwoordelijke organisatie zo veel mogelijk metadata verstrekken aan de betrokkene, zodat de precieze betekenis van de uitgewisselde informatie begrijpelijk is.

Het wordt de organisatie aangeraden om betrokkenen de mogelijkheid te bieden om hun gegevens te downloaden. Ook wordt het aangeraden om hen de mogelijkheid te bieden om hun gegevens direct door te sturen naar een andere organisatie.

De organisatie die zich bezighoudt met het beantwoorden van de verzoeken is niet verantwoordelijk voor de verwerking wanneer dat is uitgevoerd door de betrokkenen of door een andere organisatie. De verantwoordelijke organisatie die aan het verzoek gehoor geeft moet zich bij het beantwoorden van dataverzoeken wel aan de volgende punten houden ten aanzien van de te versturen data:

  1. De data die verstuurd wordt is relevant. (Voorbeeld: Het moet niet gaan om een behandelingsdossier van een blaasontsteking van 10 jaar terug, maar van de huidige aandoening waarvoor een second opinion wordt aangevraagd.)
  2. De opgeslagen (en de te versturen) data mag niet buitensporig veel zijn vergeleken met de nieuwe dataverwerking.
  3. De betrokkenen dienen duidelijk geïnformeerd te zijn over het doel van deze nieuwe manier van verwerking.
  4. De verantwoordelijke organisatie respecteert de wetgeving omtrent de bescherming van deze persoonsgegevens.

 Hoe kan de organisatie kenbaar maken dat klanten dit nieuwe recht kunnen gebruiken?
De organisatie moet betrokken informeren over hun recht op dataportabiliteit. Dit kan een organisatie bijvoorbeeld kenbaar maken in een privacy statement op de website.

Er wordt organisaties aangeraden om duidelijk het verschil uit te leggen tussen verschillende typen data dat een betrokkene kan ontvangen. Ook moet de organisatie vóór het sluiten van bijvoorbeeld een online account uitgelegd hebben dat de betrokkene recht heeft tot het ontvangen van de gegevens.

Bron: Audittrail

Klik hier om de bedrijfsprofielpagina van Auditrail in de CorporatieGids 2016 te bekijken