De Algemene Verordening Gegevensbescherming (“AVG”) geeft betrokkenen een nieuw recht: het recht op dataportabiliteit. Dit recht, ook wel het recht op gegevensoverdraagbaarheid genoemd, houdt in dat betrokkenen het recht hebben om de persoonsgegevens te ontvangen die een organisatie van hen verwerkt. Betrokkenen kunnen deze gegevens vervolgens zelf opslaan voor persoonlijk (her)gebruik of de gegevens doorgeven aan een andere organisatie, zoals bij de overstap van telecomprovider. Het doel van dit nieuwe recht is de positie van betrokkenen te versterken en hun meer controle over hun gegevens te geven.
Het gaat om persoonsgegevens die een organisatie met toestemming van de betrokkene verwerkt (zoals postadres, gebruikersnaam, leeftijd, etc.) óf om een overeenkomst met de betrokkene uit te voeren. Onder dit laatste vallen bijvoorbeeld de muzieknummers die een gebruiker heeft afgespeeld via een dienst als Spotify. Het begrip gegevens moet ruim worden opgevat. Naast de gegevens die een betrokkene actief heeft verstrekt, gaat het ook om gegevens die een betrokkene aan de organisatie hebben verstrekt door het gebruik van een bepaalde dienst. Denk hierbij aan iemands zoekgeschiedenis of locatiegegevens. De gegevens die een organisatie zelf heeft gegenereerd (bijvoorbeeld via data-analyse zoals het opstellen van een profiel), vallen niet onder het recht op dataportabiliteit.
De AVG schrijft voor dat de persoonsgegevens moeten worden overgedragen in een formaat dat gestructureerd, veelgebruikt en machineleesbaar is. Het doel daarvan is dat gebruikers hun gegevens makkelijk in een andere omgeving kunnen hergebruiken. Het beste formaat om gegevens te verstrekken, zal per sector verschillen.
Richtlijnen
Het verbond van Europese privacytoezichthouders, de artikel 29 werkgroep, heeft richtlijnen opgesteld met uitleg over het recht op dataportabiliteit. De richtlijnen bieden informatie over de interpretatie en implementatie van het recht op dataportabiliteit. De richtlijnen verduidelijken de voorwaarden waaronder dit nieuwe recht geldt en bieden tevens concrete voorbeelden en criteria voor de situaties waarin dit recht geldt. Ook wordt in de richtlijnen aangeraden dat belanghebbenden in de industrie en vakbonden samenwerken aan gezamenlijke interoperabele normen en formats om aan de vereisten van het recht op dataportabiliteit te voldoen.
Verschil met inzagerecht
Betrokkenen hebben nu al het recht om inzage te vragen in de persoonsgegevens die een organisatie van hen verwerkt. Op welke manier dit wordt ingericht is aan de organisatie zelf. Zo kan een organisatie ervoor kiezen om een betrokkene uit te nodigen en zijn gegevens in te zien of juist om op afstand inzage te bieden. Het recht op dataportabiliteit is anders in die zin dat de gegevens in een gestructureerd, veelgebruikt en machineleesbaar formaat moeten worden verstrekt en dat het gaat om gegevens die de betrokkene zelf heeft verstrekt. Het toepassingsbereik van het recht op dataportabiliteit is ook beperkt ten opzichte van het inzagerecht, omdat het alleen van toepassing is als de verwerking berust op een toestemming of een overeenkomst en als het een automatische verwerking betreft.
Op de website van de Autoriteit Persoonsgegevens zijn veelgestelde vragen over en antwoorden op het recht op dataportabiliteit te lezen.