Ga naar de inhoud

Dataportabiliteit

De betrokkene heeft het recht op overdraagbaarheid van zijn of haar gegevens van verwerkingsverantwoordelijken, artikel 20 AVG. Wij noemen dit dataportabiliteit. Dit recht is essentieel voor een betrokkene om regie over de eigen gegevens uit te kunnen uitoefenen. De impact van het uitoefenen van het recht op dataportabiliteit heeft een enorme impact op het verwerken van persoonsgegevens. Wij noemen een aantal implicaties:

  • De betrokkene staat centraal bij het verwerken van persoonsgegevens door verschillende verwerkingsverantwoordelijken. De betrokkene verstrekt gegevens aan betrokkene en bepaald daarmee ook de definities van de gegevens. Uitgaande van deze gegevensdefinities is de verwerkingsverantwoordelijke verantwoordelijk voor de instandhouding van de kwaliteit van de gegevens. Naast een verwerkingsverantwoordelijke centrische verwerking van persoonsgegevens is er ook een betrokkene centrische verwerking van persoonsgegevens;
  • Wij verwachten dat er bij betrokkenen de wenst groeit dat er voor categorie specifieke gegevens taxonomieën met onderling samenhangende gegevensdefinities ontstaan die betrokkenen gebruiken in hun PDS; en
  • Verwerkingsverantwoordelijken zullen het eigenaarschap van bepaalde categorieën persoonsgegevens willen doordenken.

Het recht op overdraagbaarheid van gegevens neemt de argumenten bij verwerkingsverantwoordelijke weg betrokkenen niet hun gegevens op een gestructureerde en elektronische wijze te verstrekken. Wil de betrokkene gebruik maken van dit essentiële recht dan heeft de betrokkene een PDS of PII nodig.

Het is een recht om rekening mee te houden bij het ontwerpen van bedrijfsprocessen en deze processen te ondersteunen met aan te schaffen of te ontwikkelen IT-systemen.

Het recht op dataportabiliteit is een abstract recht. Een betrokkene zal niet onmiddellijk doorzien wat de betekenis van dit recht is voor het beschermen “by design” van de eigen gegevens. Het benadrukt duidelijk de bedrijfs- en persoonsperspectieven van het verwerken van (persoons)gegevens.

Voor de bedrijfsleiding en het afdelingsmanagement is het doorgronden van de achterliggende bedoelingen van de wetgever cruciaal voor het organiseren van bedrijfsactiviteiten. Wij zien in verschillende sectoren – om moverende redenen – initiatieven ontstaan die wij kunnen aanmerken als het organiseren van dataportabiliteit.

Introductie van de docenten:

Doelgroep

Het kennen van de achtergronden van het recht op dataportabiliteit stuurt de bedrijfsleiding en het afdelingsmanagement bij het organiseren van de bedrijfsactiviteiten. Wat bedoelt de wetgever met verwerkersverantwoordelijk centrische gegevensverwerking en verwerkersverantwoordelijke/ betrokkene centrische gegevensverwerking, en wat is de impact van deze verschuiving in het paradigma van het ontwerpen en onderhouden van bedrijfsprocessen op de digitale transformatie van een applicatie naar een data centrische verwerking van gegevens?

De betrokkene profiteert – en veelal ook het algemeen belang – van het uit kunnen oefenen van regie op het verwerken van persoonsgegevens. Veelal zal de participatie van de betrokkene bij het verwerken van gegevens leiden tot een substantiële stijging van de kwaliteit van de gegevens (zowel de semantische zuiverheid als de kwaliteit van de gegevens).

De compliance manager en ook de CISO zullen het perspectief van de betrokkene bij selectie, bouw en beheer van IT-systemen laten doorklinken in (non-)functionele specificaties van bedrijfsprocessen en ondersteunende IT-systemen. Het helpt als de bedrijfsleiding en het management beleidsuitgangspunten formuleren voor het organiseren van het recht van de betrokkene op overdraagbaarheid van persoonsgegevens.

Uiteraard ziet de FG toe op het faciliteren van de rechten van de betrokkene op het vlak van dataportabiliteit.

Doelen

Wanneer persoonsgegevens gestructureerd elektronisch en in een algemeen gebruikt formaat worden verwerkt, heeft de betrokkene het recht om van de verantwoordelijke een gestructureerd elektronische kopie te krijgen. Ook heeft de betrokkene het recht om zijn persoonsgegevens en alle andere informatie die hij heeft verstrekt en door verantwoordelijke worden bewaard, in een algemeen gebruikt elektronisch formaat over te dragen naar een ander geautomatiseerd verwerkingssysteem, zonder daarbij te worden belemmerd. Het zijn een rechten van betrokkene waarmee de verwerkingsverantwoordelijke rekening wil houden bij het ontwikkelen van beleid dataportabiliteit, ontwerpen en beheren van bedrijfsprocessen en het aanschaffen en ontwikkelen van ondersteunende IT-systemen. Het is immers technisch niet altijd op voorhand mogelijk dit recht te effectueren.

De cursisten leren rekening te houden met het recht van betrokkenen om hun gegevens op te vragen en mee te nemen.

Wij gaan in de cursus een stap verder dan de opsomming van de verplichtingen voor de verwerkingsverantwoordelijke uit artikel 20 AVG, “Recht op overdraagbaarheid van gegevens”. Waarom neemt de wetgever dit verstrekkende artikel voor het organiseren van de bedrijfsactiviteiten op in de wet? In de overwegingen bij de AVG en in de guidelines kunnen wij het antwoord vinden. Wij noemen een paar thema’s:

  • Van verwerkingsverantwoordelijk centrische naar verwerkingsverantwoordelijke én betrokkene centrische verwerking van persoonsgegevens. In het verlengde van dit thema houden wij rekening met de digitale revolutie; van een applicatie naar data centrische verwerking van (persoons)gegevens;
  • Wie faciliteren de taxonomieën met samenhangende datadefinities van categorieën van persoonsgegevens en hoe worden deze taxonomieën beheerd?
  • Wat is de toegevoegde waarde van het faciliteren van dataportabiliteit voor de betrokkene, de verwerkingsverantwoordelijke en het maatschappelijk verkeer of algemeen belang? De toegevoegde waarde ontstaat als de betrokken daadwerkelijk regie voert over de eigen gegevens.

Het centraal zetten van de betrokkene door de betrokkene daadwerkelijk te faciliteren met het uitoefenen van regie over de eigen gegevens zet de verwerkingsverantwoordelijke vooral een strategische stap. Het technische en organisatorisch organiseren van de PDS van de bedtrokkene (zie de cursussen “Lifecycle privacy protection management” en “Een afsprakenstelsel PDS en voorbeelden”) is alleen mogelijk als er een duidelijke business case aan ten grondslag ligt. Wij verkennen de argumenten op het vlak van datakwaliteit.

Cursuscategorie organiseren van bedrijfsactiviteiten

Het organiseren van dataportabiliteit is een noodzakelijke randvoorwaarde (maar niet voldoende) voor het betrokkene een PDS ter handstellen en toepassen van het ontwerpprincipe ‘privacy by design’.

Organisatie van de opleiding

Vanuit uw persoonlijke leeromgeving heeft u toegang tot deze cursus. Ervaren FGs met toereikende IT en bedrijfskennis verzorgen deze cursus. Zij verzorgen het programma materieel en adviseren u ingebrachte stukken te bestuderen voordat u deelneemt aan de workshop. In de cursus zijn diagnostische toetsen opgesteld waarmee u uw kennisniveau kunt testen. In de workshop behandelt de docent een aantal casussituatie waarin uw bijdrage gewenst is. U heeft de gelegenheid vraagstukken uit de praktijk aan de docent voor te leggen.

Na het volgen van de workshop bereidt de docent tentamenvragen voor die u vanuit uw leeromgeving kunt uitwerken en aan de docent aanbiedt.

Na het succesvol afronden van het tentamen blijft de cursus voor u beschikbaar. De docenten onderhouden de cursus en het staat u vrij hiervan kennis te nemen. Het is aan te bevelen om de twee jaar de workshop bij de cursus opnieuw te volgen.

De docenten

De docenten hebben een bedrijfskundige, juridische en IT achtergrond, voldoende kennis van het brede veld van het beschermen van persoonsgegevens en hebben ervaringen met het beschermen van persoonsgegevens bij bedrijven en instellingen (adviseren, vervullen van de rol van FG en of bijstaan van bedrijven in rechtszaken of uitvoeren van onderzoeken door de toezichthouder).

Aanmelding en investering

Duthler Academy biedt een cursist een persoonlijke leeromgeving op de bedrijfsspecifieke leeromgeving aan waarin de het programma opleiding functionaris voor gegevensbescherming toegankelijk is (cursist kan ook kiezen voor een persoonlijke leeromgeving van de leeromgeving van Duthler Academy).

De zelfstudie duurt ongeveer 16 uur en het uitvoeren van een diagnostische toets 2 uur. Het volgen van de workshop is 4 uur op onze locatie. De cursus is van 10:00 tot 14:00 en het tentamen is 2 – 4 uur. Aantal PE-punten: 4.

Neem contact op met de servicedesk als u vragen heeft. Ga naar het overzicht met de programma’s en categorieën van cursussen.