Dat de algemene verordening gegevensbescherming (AVG), de nieuwe Europese privacy-wetgeving, deze maand van kracht wordt weet inmiddels iedereen wel. Je hoort het meest over de torenhoge boetes die bestuurders riskeren wanneer ze databeveiliging en datalekken niet serieus nemen, of wanneer ze illegaal of onverantwoordelijk met persoonsgegevens omgaan.
De nieuwe wet heeft echter ook een artikel dat veel minder bekend is. Artikel 20 van de algemene verordening gegevensbescherming (AVG) introduceert een nieuw recht: het recht op dataportabiliteit.
Ik citeer de uitleg die de Europese toezichthouders zelf geven maar even:
"Dit nieuwe recht is nauw verbonden met het recht op inzage, maar verschilt hier ook op veel punten van. Het recht op dataportabiliteit (overdraagbaarheid van gegevens) houdt in dat de betrokkene het recht heeft de persoonsgegevens die hij aan een verantwoordelijke heeft verstrekt in een gestructureerde, gangbare en machineleesbare vorm te ontvangen en deze aan een andere verantwoordelijke over te dragen. Het doel van dit nieuwe recht is de positie van betrokkenen te versterken en hun meer controle over hun gegevens te geven. Aangezien dit directe verzending van persoonsgegevens van de ene verantwoordelijke naar de andere mogelijk maakt, is het recht op dataportabiliteit ook een belangrijk middel in de vrije stroom van persoonsgegevens binnen de EU en werkt het concurrentie tussen verantwoordelijken in de hand. Hierdoor kunnen mensen van dienstverlener veranderen, wat de ontwikkeling van nieuwe diensten binnen de digitale eenheidsmarktstrategie aanmoedigt."
Je Spotify playlists als Excel-bestand?
Je kunt vanaf 25 mei met de nieuwe wet in je hand dus aan Spotify, Facebook, de gemeente Haarlem, Thuisbezorgd.nl of KPN vragen of ze de gegevens die jij aan hen hebt verstrekt in een "gestructureerde, gangbare en machineleesbare" vorm aan jou willen verstrekken. Dat kan bijvoorbeeld via een download-knop, een Excel-bestand dat je per e-mail toegestuurd krijgt, of een ander formaat. De nieuwe wet geeft alleen een algemene definitie. Het idee erachter is deels dat je makkelijk zou kunnen overstappen van Spotify naar Apple Music (of andersom) met behoud van al je playlists en voorkeuren. Bekijk het als een riante versie van het nummerbehoud waarop je recht hebt bij een overstap naar een andere bank of telecom-provider.
Het recht op dataportabiliteit geldt ook voor medische gegevens die je aan een zorgaanbieder hebt verstrekt. Onze nationale politici mogen het recht op digitale inzage voor burgers dan wel hebben uitgesteld tot 2020, met de nieuwe wetgeving aan hun zijde kunnen Nederlandse burgers ook nu al om een gestructureerde download of een bestand met hun data vragen.
Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, maakte in een recent interview met SmartHealth korte metten met mogelijke twijfels over de toepasbaarheid van dit recht in de zorg: “Bedrijven, overheden en zorginstellingen moeten dataportabiliteit faciliteren. Als iemand zijn medische dossier mee wil nemen naar een andere zorgverlener, maar hier geen mogelijkheid toe heeft, dan mag hij of zij dat bij ons melden. Een ziekenhuis dat dataportabiliteit niet honoreert, is in feite in overtreding", aldus Wolfsen.
Waar gaat het nu spannend worden?
De AVG is geformuleerd als een verzameling brede principes. Hoe die in de praktijk door de toezichthouders en (nationale) rechters geïnterpreteerd gaan worden is nu nog onduidelijk. De wet zegt bijvoorbeeld dat dataportabiliteit geldt voor gegevens die een burger "aan een verwerkingsverantwoordelijke heeft verstrekt." Je denkt dan in eerste instantie aan een webformulier of een app die je hebt ingevuld.
Maar een werkgroep van de samenwerkende Europese toezichthouders heeft een aantal richtlijnen gepubliceerd waarin ze dat "verstrekken" veel breder opvatten. Zij vinden bijvoorbeeld dat het recht op dataportabiliteit ook geldt voor persoonsgegevens die "door de activiteiten van burgers gegenereerd worden". Het document van de toezichthouders noemt hier expliciet "de hartslag die door een conditie- of gezondheidsmeter gemeten wordt" als voorbeeld.

Zijn je stappen, hartslag en slaap ook "verstrekte" gegevens?
Maar het recht op dataportabiliteit geldt volgens de werkgroep niet meer voor zogeheten "afgeleide" of "gededuceerde" gegevens. Een beoordeling van kredietwaardigheid door een bank of een beoordeling van iemands gezondheid door een verzekeraar zijn volgens de toezichthouders "typische gevallen" van afgeleide gegevens.
Geen recht op inzage algoritmen
Je hebt dus wél recht op alle gegevens die ten grondslag liggen aan een beoordeling, of je die nu actief en bewust, of door het gebruik van een dienst of wearable onbewust hebt verstrekt. Maar je hebt geen recht op het opvragen van de algoritmen (denk hierbij vooral aan AI) of de beoordelingen op basis van jouw data. Dit is overigens niet wat de AVG expliciet stelt, dit is de interpretatie van de Europese toezichthouders. U mag van me aannemen dat de lobby van de Amerikaanse digitale grootmachten op volle toeren draait om een stokje te steken voor een al te ruime interpretatie van de AVG.
En u voelt natuurlijk ook al aan dat de interpretatie van die dataportabiliteit in de komende jaren een walhalla voor juristen wordt. We zullen niet lang hoeven te wachten op activistische burgers als Max Schrems (die Facebook aanpakte) om rechters te dwingen een oordeel te geven over welke digitale rechten je als burger nu heel precies hebt. Het kostte de Europese Commissie tien jaar strijd met Microsoft om de monopoliepraktijken te beboeten, en het vergde eveneens een decennium om een einde te maken aan de excessieve roaming-winsten van telecom-providers. De AVG is de start, niet de finish. En de vraag wat je nu precies moet beschouwen als door de patiënt "verstrekte" gegevens in een medisch dossier is daarmee nog lang niet zo eenvoudig te beantwoorden als AP-chef Wolfsen suggereert. Misschien voegde hij daarom wel de nuance "in feite" toe aan zijn uitspraak dat ziekenhuizen in overtreding zijn als ze dataportabiliteit niet honoreren.
Plaats een Reactie
Meepraten?Draag gerust bij!