Maandag 21 juli 2014

Recht op dataportabiliteit: een utopie?

De Richtlijn 95/46/EG, waar de Wet bescherming persoonsgegevens op is gebaseerd, is bijna 20 jaar oud en opgesteld in het tijdperk waarin computers, internet of de social media nog nauwelijks bestonden voor de gewone mens. De instellingen van de Europese Unie zijn dan ook inmiddels druk aan het onderhandelen over de opvolger van deze richtlijn: de Algemene Verordening Gegevensbescherming (hierna: AVG). 1Uitgegaan wordt van de nieuwste versie, zoals is vastgesteld door het Europees Parlement (zie de tweede link van deze tekst). Eén van de nieuwe rechten die in deze verordening zijn geïntroduceerd is het recht op dataportabiliteit.

Wat is dataportabiliteit?
Dataportabiliteit is kort gezegd de mogelijkheid om je gegevens van het ene elektronische platform naar het andere over te kunnen dragen. In de AVG wordt het daarom ook wel het recht op gegevensoverdraagbaarheid genoemd. Een voorbeeld van dataportabiliteit is de mogelijkheid om je elektronische agenda over te dragen door middel van bestandsformaten als iCalendar. Met de AVG moet dit principe ook toepasbaar zijn op onder meer social media-platformen, zodat het in de toekomst mogelijk moet zijn om je gegevens, posts en vrienden vanuit bijvoorbeeld Facebook over te dragen naar Twitter en andersom.

Functies van het recht
Ten eerste geeft het recht de betrokkene meer controle over zijn data. 2B. van der Sloot, ‘De nieuwe consumentenrechten in de Algemene verordening gegevensbescherming: vergeten worden, dataportabiliteit en profilering’, TvC 2012-6, p. 255. Hij kan, met andere woorden, zelf bepalen wat er gebeurt met zijn data en bij welk platform hij deze onder wil brengen. Dit verklaart waarom het recht is opgenomen in wetgeving die ziet op de bescherming van persoonsgegevens.

Ten tweede heeft het recht ook een economisch aspect. Consumenten zijn met dit recht minder afhankelijk van hun aanbieder, omdat overstappen gemakkelijker is. Bovendien leidt dit weer tot meer concurrentie tussen de verschillende aanbieders, dat weer positieve effecten kan hebben voor consumenten. 3A. Bapat, ‘The new right to data portability’, Privacy & Data Protection 2013, volume 13, issue 3, p. 4.

Het recht in de AVG
Hoe ziet het recht er in de AVG uit? In de nieuwste wettekst maakt het recht onderdeel uit van het recht op inzage in artikel 15. Allereerst moet op grond van het tweede lid worden geverifieerd dat het de betrokkene is die zijn recht uitoefent, opdat derden geen onbevoegde toegang krijgen tot deze data. Indien dit is geverifieerd, zal de verantwoordelijke een kopie van alle persoonsgegevens die zijn aangeleverd door de betrokkene moeten overhandigen aan de betrokkene. Deze kopie moet in een elektronisch, interoperabel en algemeen gebruikt formaat worden aangeleverd dat verder gebruik van de bestanden (bijvoorbeeld overdracht naar een ander platform) mogelijk maakt. De verantwoordelijke bij wie de gegevens zijn weggehaald mag geen belemmeringen opwerpen bij het ontvangen van deze kopie en de overdracht naar derden. 4M. Vermeulen & S. Gutwirth, Empowering social network site users through creating, New rights: analyzing the right to be forgotten and the right to data portability in the EU, januari 2013, http://emsoc.be/wp-content/uploads/2013/07/emsoc_MathiasVermeulen_LSTS_WP3.pdf.pdf, p. 7. Indien het technisch uitvoerbaar en beschikbaar is, zal de verantwoordelijke de gegevens direct moeten overdragen naar het andere platform. De betrokkene kan in dat geval bijvoorbeeld Facebook de opdracht geven de data direct over te hevelen naar Twitter, zonder dat de betrokkene verder iets hoeft te doen.

Probleempunten
Naast de vele positieve aspecten van het recht brengt het in deze vorm ook een aantal, met name praktische, problemen met zich mee. Het eerste probleem is de vaagheid van de begrippen. Wat is bijvoorbeeld een ‘elektronisch, interoperabel en algemeen gebruikt formaat’ en wanneer zijn de persoonsgegevens ‘aangeleverd door de betrokkene’? Met name de eerste kwestie zal in de praktijk een groot probleem kunnen vormen omdat het niet eenvoudig is om een formaat te creëren dat geschikt is om de data over te dragen en interoperabel is met andere platformen. Zo ben je op Twitter bijvoorbeeld gebonden aan de 140-karakterregel, maar op Facebook niet. De vraag is hoe moet worden omgegaan met de verschillende functionaliteiten en beperkingen van elk van deze platformen. Ook het punt dat persoonsgegevens moeten zijn aangeleverd door de betrokkene is niet zonder meer duidelijk. Kunnen automatisch verzamelde data door de verantwoordelijke ook als zodanig worden beschouwd of is er een actievere handeling vereist? 5W.K. Hon e.a., Cloud Accountability: The Likely Impact of the Proposed EU Data Protection Regulation, 7 maart 2014, http://papers.ssrn.com/sol3/Delivery.cfm/SSRN_ID2409602_code1577160.pdf?abstractid=2405971&mirid=3, p. 45.

Een ander probleempunt is gelegen in de eventuele overdracht van data dat ziet op derden. Denk bijvoorbeeld aan een foto die is geplaatst op Facebook waarop naast de betrokkene ook andere personen zijn afgebeeld. Het overdragen van dergelijke foto’s zou een inbreuk kunnen vormen op de privacy van deze personen indien deze worden overgedragen naar een ander platform.

Tenslotte is ook het toepassingsbereik van het recht een punt van aandacht. Overweging 51a van de AVG maakt duidelijk dat het recht bijvoorbeeld kan worden toegepast in het kader van de social media. In theorie zou het op basis van artikel 15 echter ook mogelijk moeten zijn om bijvoorbeeld je eBay-account over te hevelen naar marktplaats. 6G. Zanfir, ‘The right to Data portability in the context of the EU data protection reform’, International Data Privacy Law 2012, afl. 2, DOI 10.1093/idpl/ips009, p. 151. Zelfs je persoonsgegevens bij de overheid zouden kunnen worden overgedragen, al wordt deze mogelijkheid vooralsnog afgewezen door de minister. 7Kamerstukken I 2013/14, 33 169, Q, p. 6-7.

Conclusie
Als het recht op dataportabiliteit in zijn huidige vorm de eindstreep haalt, zou het een revolutie kunnen betekenen voor internetgebruikers. Je kunt dan immers overal je data mee naar toe nemen zonder steeds ‘opnieuw’ te hoeven beginnen. Bovendien heb je meer controle over je gegevens doordat overstappen makkelijker is. De vraag blijft echter hoe dit recht in de praktijk precies zal worden gerealiseerd, gelet op de bovengenoemde problemen. Hierover bestaat nog veel onduidelijkheid en het vereist nadere uitwerking. Het lijkt daarom logischer om zelfregulering te stimuleren in plaats van lastig uit te voeren wetgeving te introduceren. Zo is Google hier al actief mee bezig met Google Takeout, waarmee het mogelijk is om een kopie van al je gegevens bij Google op te vragen. Hoe dan ook is over dit onderwerp het laatste nog niet gezegd en wordt ongetwijfeld vervolgd!

   [ + ]

1. Uitgegaan wordt van de nieuwste versie, zoals is vastgesteld door het Europees Parlement (zie de tweede link van deze tekst).
2. B. van der Sloot, ‘De nieuwe consumentenrechten in de Algemene verordening gegevensbescherming: vergeten worden, dataportabiliteit en profilering’, TvC 2012-6, p. 255.
3. A. Bapat, ‘The new right to data portability’, Privacy & Data Protection 2013, volume 13, issue 3, p. 4.
4. M. Vermeulen & S. Gutwirth, Empowering social network site users through creating, New rights: analyzing the right to be forgotten and the right to data portability in the EU, januari 2013, http://emsoc.be/wp-content/uploads/2013/07/emsoc_MathiasVermeulen_LSTS_WP3.pdf.pdf, p. 7.
5. W.K. Hon e.a., Cloud Accountability: The Likely Impact of the Proposed EU Data Protection Regulation, 7 maart 2014, http://papers.ssrn.com/sol3/Delivery.cfm/SSRN_ID2409602_code1577160.pdf?abstractid=2405971&mirid=3, p. 45.
6. G. Zanfir, ‘The right to Data portability in the context of the EU data protection reform’, International Data Privacy Law 2012, afl. 2, DOI 10.1093/idpl/ips009, p. 151.
7. Kamerstukken I 2013/14, 33 169, Q, p. 6-7.