De hoofddoelstelling van de GDPR is enerzijds om de overheden en ondernemingen aan te zetten (te verplichten) om bewuster om te gaan met persoonsgegevens. Anderszijds geeft de GDPR aan de betrokkenen de mogelijkheid om meer controle uit te oefenen op de gegevens die over hen bewaard worden.
Wat is dataportabiliteit?
Het recht op portabiliteit van gegevens of dataportabiliteit is één van deze rechten die de GDPR in het leven geroepen heeft om betrokkenen een grotere controle te geven over hun gegevens. Artikel 20 GDPR definieert dataportabiliteit als het recht van de betrokkene om een kopie van de door hem aan de verantwoordelijke verstrekte gegevens te krijgen in een gangbaar, machine leesbaar formaat.
Welke gegevens vallen onder het recht op overdraagbaarheid?
Dataportabiliteit is enkel van toepassing op persoonsgegevens die de betrokkene aan de verwerkingsverantwoordelijke heeft verstrekt. Hierbij is het niet nodig dat de gegevens expliciet door de betrokkene zijn ingegeven. Ook geobserveerde gegevens die betrekking hebben op de gedragingen van de gebruiker van een toepassing vallen onder dataportabiliteit. Zo vallen de looprondjes en de hartslag van de gebruiker van een fitnesstracker onder de gegevens die door de gebruiker verstrekt worden.
De gegevens moeten verstrekt worden op basis van uitdrukkelijke toestemming of in het kader van het uitoefenen van een overeenkomst. Dataportabiliteit is aldus hoofdzakelijk van toepassing op de private sector en niet zozeer op de publieke instellingen, daar het algemeen belang en wettelijke verplichtingen niet opgenomen zijn als rechtsgrond voor persoonsgegevens die onder dataportabiliteit vallen.
Welke rechten heeft een betrokkene?
De betrokkene heeft het recht zijn persoonsgegevens ofwel zelf op te vragen of te vragen om deze gegevens rechtstreeks te laten doorzenden van de ene verwerkingsverantwoordelijke naar de andere. Hierdoor wordt het bijvoorbeeld mogelijk voor een betrokkene om eenvoudig van de ene dienstverlener over te stappen naar een ander, met behoud van zijn gegevens en voorkeuren.
Indien een persoon van de ene muziekstreamdienst wenst over te stappen naar een andere kan de gebruiker op die manier zijn playlists en muziekvoorkeuren eenvoudig mee verhuizen naar het ander platform. Hierdoor is de gebruiker minder gebonden aan een bepaalde dienstverlener en kan hij zich ook beter verzetten tegen privacybeperkende maatregelen van deze dienstverlener en eenvoudig overstappen naar een concurrent. Dit is goed nieuws voor de betrokkenen en hun recht op privacy.
Een valkuil?
Dataportabiliteit houdt daarentegen ook risico’s in, die een averechts effect kunnen hebben op het versterken van de privacy van de betrokkenen. Zo geeft de dataportabiliteit een opportuniteit aan ondernemingen om zich specifiek hierop toe te leggen en op deze manier de betrokkenen te verleiden om hun gegevens via dataportabiliteit af te staan door middel van een kleine promotie of korting met als doel om op die manier op een eenvoudige manier een grote database aan gestructureerde gegevens in het bezit kunnen krijgen.
Daarnaast creëert dataportabiliteit een probleem van beveiliging en vertrouwelijkheid van persoonsgegevens. Enerzijds verlangt de GDPR dat bestanden worden opgeslagen in toegankelijke, machine leesbare bestanden. Hierbij worden de ondernemingen aangemoedigd om bestanden gestructureerd en in gestandardiseerde formaten op te slaan die eenvoudig door iedereen leesbaar moeten zijn. Dit verhoogt uiteraard het risico met betrekking tot deze data indien er zich een veiligheidsincident voordoet daar de bestanden veel toegankelijker zullen zijn dan thans veelal het geval is.
Daarenboven zal het uitvoeren van het recht op dataportabiliteit deze data bij het doorsturen van de bestanden eveneens blootstellen aan bijkomende risico’s. Zo zullen deze data veelal per onversleutelde e-mail verzonden worden in een gangbaar formaat. Op die manier kunnen mensen met slechte bedoelingen wel heel eenvoudig toegang krijgen tot persoonsgegevens die zij ander veel moeilijker in het bezig konden krijgen.
Er kan ook verwacht worden dat dataportabiliteit een nieuwe vorm van phishing kan doen ontstaan, waarbij hackers zich voordoen als de betrokkenen en op die manier gegevens kunnen opvragen bij ondernemingen.
Conclusie
Het moge aldus duidelijk zijn dat het recht op dataportabiliteit mogelijks aan de betrokkene een handig wapen levert om haar data zelf beter te beheren en controleren en haar positie ten opzichte van de dienstverleners kan versterken. Het overstappen voor een consument naar concurrerende services zal er ongetwijfeld door vergemakkelijkt worden.
Echter zorgt de verplichting voor nieuwe risico’s naar databeveiliging, waarbij er een versterkte aandacht zal moeten zijn bij de veilige bewaring van de bestanden in gangbare en machine leesbare formaten, evenals bij de veilig doorzending van deze bestanden.
Meer informatie omtrent onze diensten en de GDPR kan u hier vinden.
Comments