AVG en recht op dataportabiliteit: een onderzoek
| Sieuwert van Otterloo |
Privacy
Artikel 20 van de AVG geeft gebruikers recht op dataportabiliteit: Gebruikers van websites mogen hun eigen gegevens downloaden of overdragen. In zijn afstudeeronderzoek heeft Julien Benistant onderzoek gedaan hoe verschillende sociale netwerksites hiermee omgaan en welke problemen en uitdagingen er zijn.
Dataportabiliteit in de AVG
Eén van de doelen van de Algemene Verordening Gegevensbescherming (AVG) is om mensen meer controle te geven over hun eigen persoonsgegevens. De AVG geeft mensen (betrokkenen in de AVG) daarom een aantal rechten (zie ook overzicht rechten van betrokkenen)
- Recht op informatie over de verwerking en inzage in de gegevens
- Recht op correctie van gegevens of verwijdering
- Recht op beperking of verzet van de verwerking van de gegevens
- Recht om niet onderworpen te zijn aan automatische besluitvorming
- Recht op overdraagbaarheid van gegevens (dataportabiliteit)
De meeste organisaties hebben processen ingericht voor inzage en correctie. Zij hebben of een portaal dat mensen zelf hun gegevens kunnen zien of controleren, of hebben een privacystatement met een mailadres waar mensen zich kunnen melden voor inzage of correcties. Dataportabiliteit is echter minder makkelijk in te richten. Het idee is dat mensen als zij willen overstappen van de ene dienst naar de andere, zij hun gegevens mee kunnen nemen. Hiervoor is het nodig dat de gegevens in een handig formaat worden opgeleverd. De AVG definieert helaas niet wat een handig formaat is, dus organisaties moeten zelf uitzoeken wat hun concurrenten zijn en wat voor formaat zijn gebruiken. Grote organisaties hebben vaak iets geregeld, maar het is niet duidelijk of dit goed werkt in de praktijk.
Wat is dataportabiliteit?
Het recht op dataportabiliteit staat in de AVG, artikel 20. Hier staat letterlijk
De betrokkene heeft het recht de hem betreffende persoonsgegevens, die hij aan een verwerkingsverantwoordelijke heeft verstrekt, in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen, en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrekt, indien de verwerking berust op toestemming of uitvoering overeenkomst en de verwerking via geautomatiseerde procedés wordt verricht. Bij de uitoefening van zijn recht op gegevensoverdraagbaarheid uit hoofde van lid 1 heeft de betrokkene het recht dat de persoonsgegevens, indien dit technisch mogelijk is, rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere worden doorgezonden.
Het recht bestaat uit twee delen: Gebruikers hebben het recht om de data direct zelf te krijgen, en hebben het recht om het direct aan een andere website over te dragen. Het recht heeft een aantal beperkingen. Het geldt alleen voor gegevens die gebruikers zelf hebben aangeleverd. Dus wel voor foto’s en tekst die de gebruiker zelf verschaft, en niet voor loggegevens of financiële gegevens die zijn ontstaan door gebruik platform. Het recht geldt alleen bij automatische verwerking, dus niet bij verwerking op papier. Verder geldt het alleen bij verwerking op basis van toestemming of een directe overeenkomst.
Onderzoeksfocus en opzet
Het onderzoek is uitgevoerd als afstudeeronnderzoek voor de Master Information Science aan de Vrije Universiteit Amsterdam. Bij ICT Institute begeleiden we elk jaar meerdere projecten, zie dit overzicht van uitgevoerd onderzoek. Het doel van dit onderzoek was om te kijken naar sociale netwerksites. Dit zijn websites die voldoen aan drie eisen:
- Gebruikers hebben een uniek profiel met gegevens die ze zelf hebben aangeleverd
- Gebruikers kunnen verbindingen maken met andere gebruikers
- Gebruikers kunnen berichten of posts zien van andere gebruikers met wie ze verbonden zijn.
Bekende voorbeelden van sociale netwerksites zijn Facebook, Linkedin en Instagram. In de onderstaande tabel zijn voorbeelden te zien van een aantal bekende websites en websites die claimen een alternatief te zijn van de grote website erboven. Dit is met een * aangegeven.
Het onderzoek vbestond uit een aantal stappen. Ten eerste een direct onderzoek van de functies die elke website aanbiedt. Vervolgens zijn er twee fictieve websites gemaakt, en is er getest met echte gebruikers hoe zij gegevens het liefste overzetten. Naast deze stappen is literatuur-onderzoek gedaan, en is er in detail gekeken naar het Data Transfer Initiative (voorheen Data Transfer Project) waar grote bedrijven als Facebook en Google op aangesloten zijn.
Resultaten
Het belangrijkste resultaat van het onderzoek is dat er bij dataportabiliteit bijna altijd tussen heel verschillende diensten is. Dit is bijvoorbeeld te zien in onderstaande tabel, waarin staat naar welke andere websites je Facebook data kan overzetten. In alle gevallen is de website waar gebruikers naar toe willen geen concurrent van Facebook, maar een andere dienst waar een deel van de gegevens gebruikt kan worden. Er is dus altijd sprake van verlies van data en conversie naar een nieuw formaat. Het maken van interfaces voor overzetten van data is hierdoor onbegonnen werk: elke website zou honderden of duizenden interfaces moeten bieden. De AVG biedt hier geen duidelijkheid over.
Het tweede resultaat is dat er teveel bestandstypen zijn en het niet duidelijk is wat de AVG bedoelt met een gestructureerd, gangbaar en machineleesbare vorm. De onderstaande tabel laat zien welke formaten in dit onderzoek zijn aangetroffen. Al deze formaten zijn gangbaar. De formaten HTML en TXT en JS zijn niet echt machineleesbaar. Verder geldt dat XML en JSON alleen de codeermethdoe vastleggen. Veel XML-bestanden en JSON-bestanden hebben een ander dataformaat met heel veel verschillende velden.
Ten derde valt op dat er in de AVG niet goed is nagedacht over selectie van data. De AVG verplicht bedrijven om één knop te hebben om al je data te ontvangen, of alle data van alle afgelopen jaren te delen met een nieuwe dienst. In de praktijk wil je als gebruik controle hierover: je wilt kunnen kiezen of alleen tekst overgezet wordt of ook foto’s of video’s, of je data van alle jaren wilt overzetten of alleen van het afgelopen jaar. Een aantal websites heeft een tool waarmee je als gebruiker dit nauwkeurig kan aangeven. Andere organisaties geven altijd alles waarna de gebruiker het zelf moet uitzoeken. Het zou goed zijn als hier een oplossing voorkomt.
Conclusie
Het idee van dataportabiliteit is goed, maar in de praktijk is het moeilijk om dit recht te gebruiken. Websites bieden mogelijkheden aan om aan je eigen data te komen en voldoen dus formeel aan de AVG. Er zijn echter teveel verschillende formaten en teveel verschillen tussen website om een den In de praktijk zullen gebruikers die overstappen naar een ander platform opnieuw hun profiel moeten vullen.
Thesis downloaden
De volledige thesis is hier te downloaden: Benistant, J. Data portability on social networking sites. Amsterdam, 2023. Kijk voor meer onderzoek ook naar de andere scriptie-projecten.
Img src: Sun Lingyan via unsplash
Dr. Sieuwert van Otterloo (CISA, CIPP/E) is IT-deskundige met kennis van ISO 27001, NEN 7510, software-kwaliteit, projectmanagement, privacy, en verantwoord gebruik van AI. Hij geeft les aan de VU, doet onderzoek aan de HU en geeft advies en doet reviews bij organisaties door heel Nederland. Hij oprichter en directeur van ICT Institute.