Column


IT-jurist Peter van Schelven over...

Dataportabiliteit: zijn we de weg kwijt?

Stel, ik stuur bol.com een verzoekje om alle boektitels waarop ik het laatste jaar in haar webshop online heb gezocht te verzamelen en om de lijst van al die titels vervolgens naar uw bedrijf te zenden. De kans is groot dat u denkt dat ik niet spoor. Terecht! Ook bij bol.com zullen ze dat wellicht denken. Of nog een stap verder: ik vraag bol.com de lijst niet naar u te sturen, maar naar een van haar concurrenten in de markt, bijvoorbeeld Amazon. Wat moet bol.com dan doen? Neemt zij mijn verzoekje serieus of verdwijnt het linea recta in de digitale prullenbak?

Voor deze tamelijk curieuze problematiek heeft de Europese wetgever een regeling getroffen in de nieuwe Europese privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG). Het gaat hier om het recht op dataportabiliteit, een recht dat burgers met ingang van 25 mei 2018 kunnen inroepen. Het betreft een wonderlijk nieuw recht dat door de Europese voorloper van de AVG – de privacyrichtlijn uit 1995 – nog niet werd gegeven. Het lijkt een beetje op het al jaren bestaande recht op nummerportabiliteit, het recht om uw huidige telefoonnummer mee te nemen naar een nieuwe telecomprovider.

Vendor lock-in
Het recht op dataportabiliteit komt er in de kern op neer dat ik van bedrijven en organisaties waarmee ik in zee ben gegaan, mag verlangen dat zij op mijn verzoek mijn persoonsgegevens in een gestructureerd, algemeen gebruikt en machinaal leesbaar formaat aan mij zullen verstrekken of zullen doorsturen naar een ander. Een lijst met door mij bezochte boektitels in de systemen van bol.com is zo’n set van persoonsgegevens.

Hoewel het recht op dataportabiliteit in de AVG voorkomt, heeft het van origine eigenlijk weinig met privacyrecht te maken. De regeling is door de Europese wetgever vooral ingegeven door de gedachte dat burgers makkelijk moeten kunnen overstappen van de ene aanbieder van producten of diensten naar een andere aanbieder, net als bij de telefoonnummers. De wetgever heeft met name een ‘vendor lock-in’ bij burgers willen voorkomen. Daarmee ligt de regeling eigenlijk meer in de sfeer van het economisch ordeningsrecht en consumentenrecht dan in de sfeer van het privacyrecht.

De Europese wetgever is met het opnemen van het recht op dataportabiliteit in de AVG in mijn ogen principieel in de fout gegaan. Het nieuwe recht is in de AVG in zodanig algemene termen gegoten, dat het recht ook kan worden uitgeoefend in al die situaties waarin van een vendor lock-in of een ander consumentenprobleem totaal geen sprake is. Ik ben niet gevangen door bol.com en zonder enig probleem kan ik de door mij gewenste boeken ook bij Amazon.co.uk bestellen. Daar heb ik een recht op dataportabiliteit uiteraard niet voor nodig. Toch verschaft de nieuwe Europese privacywetgeving mij het recht om bol.com op te zadelen met een dergelijk onzinnig verzoek. Bol.com zal volgens de AVG aan mijn verzoek uitvoering moeten geven, zelfs onverwijld en uiterlijk binnen een maand.

Privacy-autoriteiten
Met dit recht op dataportabiliteit zijn ook de privacy-autoriteiten in Europa zich inmiddels uitgebreid gaan bemoeien. Zo heeft de Autoriteit Persoonsgegevens er inmiddels een bedenkelijke richtlijn over gepubliceerd. Bij de privacytoezichthouder in ons land bestaat bedroevend weinig gevoel voor economische verhoudingen en consumentenproblematiek. Het is er alleen maar privacy en privacy wat de klok slaat. Dataportabiliteit: wat ooit begon als een klein consumentenvraagstukje is inmiddels breed gekaapt door de privacyjuristen van de toezichthouder.

Waste of money
De Autoriteit Persoonsgegevens roept bedrijven en organisaties op om stevig te investeren in ICT-systemen die de goede en snelle uitvoering van dataportabiliteit mogelijk maken. Want: wet is nou eenmaal wet…! Op die manier worden bedrijven en organisaties die werkzaam zijn in sectoren waarin consumenten nul-komma-nul last hebben van een vendor lock-in, en er in dit opzicht vanuit een consumentenoptiek dus geen probleem bestaat, aangezet tot nodeloze ICT-investeringen. Waste of money!

Bedrijven en organisaties die zich gezagsgetrouw aan de AVG willen houden, moeten aldus stevig de knip opentrekken voor een ICT-oplossing van een non-probleem. In sommige sectoren, zoals de verzekeringssector in ons land, doet men dat reeds. Die sector werkt er hard en netjes aan om op het vlak van dataportabiliteit AVG-compliant te zijn. Zullen andere sectoren volgen. Bol.com wellicht ook?

Ik denk wel eens: we raken de weg in privacyland steeds meer kwijt. Met dank aan de Europese wetgever!


IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com. 

Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Verder lezen?

Log in en lees verder of maak hier uw persoonlijk profiel aan en ontvang als eerste het laatste securitynieuws. Speciaal voor u geselecteerd!

Dit veld is verplicht
Vul een geldige e-mailadres in
Dit veld is verplicht