De lange arm van het "Recht op overdraagbaarheid van gegevens"

Op grond van de Europese algemene verordening gegevensbescherming (AVG) heeft een organisatie een verantwoordingsplicht als zij persoonsgegevens verwerkt. Deze verantwoordingsplicht blijft in stand bij de overdracht van deze gegevens van de ene naar de andere verwerkingsverantwoordelijke. Dit kan leiden tot hoofdelijke aansprakelijkheid van iedere verwerkingsverantwoordelijke in de keten.

Er is echter een oplossing die dit voorkomt.

Wat houdt het recht op overdraagbaarheid van persoonsgegevens precies in?

Artikel 20 van de AVG kent aan elk individu een nieuw recht toe: “het recht de hem betreffende persoonsgegevens, die hij aan een verwerkingsverantwoordelijke heeft verstrekt, in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen” en, “hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrekt”.

Een individu heeft deze rechten indien de verwerking is gebaseerd op toestemming die ad hoc is gegeven of op basis van een overeenkomst. Bovendien bepaalt ditzelfde artikel van de AVG dat “de persoonsgegevens, indien dit technisch mogelijk is, rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere” moeten worden doorgezonden.

Weliswaar bepaalt artikel 20 dat het alleen betrekking heeft op persoonsgegevens die het individu aan een verwerkingsverantwoordelijke heeft verstrekt, maar op 5 april 2017 heeft het samenwerkingsverband van de autoriteiten persoonsgegevens van de EU lidstaten (de “Article 29 Data Protection Working Party) in een “Opinion”, richtlijnen gepubliceerd (WP 242 rev.01) waarin het volgende staat:

“WP29 considers that the right to data portability covers data provided knowingly and actively by the data subject as well as the personal data generated by his or her activity. This new right cannot be undermined and limited to the personal information directly communicated by the data subject, for example, on an online form.

As a good practice, data controllers should start developing the means that will contribute to answer data portability requests, such as download tools and Application Programming Interfaces.

They should guarantee that personal data are transmitted in a structured, commonly used and machine-readable format, and they should be encouraged to ensure the interoperability of the data format provided in the exercise of a data portability request.”

Op basis hiervan beveelt de “Working Party” aan “that industry stakeholders and trade associations work together on a common set of interoperable standards and formats to deliver the requirements of the right to data portability”.

De Qiy Foundation doet dit laatste al sinds enkele jaren. In januari 2015 heeft dit geresulteerd in de eerste versie van het Qiy Afsprakenstelsel, op grond waarvan overheidsinstanties, bedrijven en maatschappelijke organisaties de individuen van wie zij persoonsgegevens verwerken, de controle kunnen geven over die gegevens.

Het Qiy Afsprakenstelsel bestaat uit een technische standaard, een uitgebreide set van “rules & regulations” en een organisatorisch model (zie: https://www.qiyfoundation.org/qiy-scheme/).

Verantwoordingsplicht en aansprakelijkheid bij het overdragen van persoonsgegevens

Artikel 5, lid 2 van de AVG bepaalt dat een verwerkingsverantwoordelijke er voor verantwoordelijk is dat persoonsgegevens,

worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is;
voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt;
toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt;
juist zijn en zo nodig worden geactualiseerd;
worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is;
door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

Wanneer een verwerkingsverantwoordelijke persoonsgegevens overdraagt aan een andere verwerkingsverantwoordelijke dan blijven bovengenoemde verplichtingen in stand. Het derde lid van artikel 26 bepaalt immers dat “de betrokkene zijn rechten uit hoofde van deze verordening met betrekking tot en jegens iedere verwerkingsverantwoordelijke” kan uitoefenen. Er is dan ook sprake van een ketenverantwoordelijkheid. Die ketenverantwoordelijkheid leidt bovendien tot hoofdelijke aansprakelijkheid van verwerkingsverantwoordelijken!

Voorkomen hoofdelijke aansprakelijkheid bij verplichte overdracht persoonsgegevens

Er is een manier om hoofdelijke aansprakelijkheid te voorkomen. Hiervoor is het nodig de keten van verantwoordelijkheid te doorbreken. Dit kan door het individu centraal te stellen (hetgeen ook de bedoeling is van de Europese wetgever, gelet op Overweging 7 AVG: “Natuurlijke personen dienen controle over hun eigen persoonsgegevens te hebben”): als een individu zelf zijn recht op overdraagbaarheid uitoefent en zelf zijn gegevens van de ene aan de andere verwerkingsverantwoordelijke overdraagt, dan wordt de ketenverantwoordelijkheid doorbroken.

Meer over de oplossing die DigitalMe biedt leest u hier