Privacywetgeving

Recht op dataportabiliteit (artikel 20 AVG) uitgelegd

Het recht op dataportabiliteit (artikel 20 AVG): welke gegevens kwalificeren, in welk formaat en het verschil met het inzagerecht, met praktijkvoorbeelden.

Also available in:English·Français·Italiano

Het recht op dataportabiliteit geeft een betrokkene het recht om de gegevens die hij aan een organisatie heeft verstrekt, te ontvangen in een gestructureerd, gangbaar en machineleesbaar formaat — en om die gegevens over te dragen aan een andere organisatie. Dit recht uit artikel 20 AVG geldt alleen onder drie voorwaarden: de gegevens zijn door de betrokkene zélf verstrekt, de verwerking berust op toestemming of een overeenkomst, en ze verloopt geautomatiseerd. Anders dan het inzagerecht draait dataportabiliteit niet om inzicht, maar om overdraagbaarheid — het voorkomt dat u vastzit aan één aanbieder.

Kernpunten

  • Dataportabiliteit (art. 20 AVG) geldt alleen voor gegevens die de betrokkene zelf heeft verstrekt, op basis van toestemming of een overeenkomst, en geautomatiseerd verwerkt.
  • De gegevens moeten in een gestructureerd, gangbaar en machineleesbaar formaat worden geleverd (bijvoorbeeld CSV, JSON of XML).
  • Waar technisch mogelijk heeft de betrokkene recht op rechtstreekse overdracht van de ene naar de andere organisatie.
  • Het recht verschilt wezenlijk van het inzagerecht: portabiliteit is smaller in reikwijdte maar strenger in formaat.

Welke gegevens vallen onder dataportabiliteit

De reikwijdte van artikel 20 is bewust smal. Drie cumulatieve voorwaarden bepalen of gegevens kwalificeren.

Verstrekt door de betrokkene. Het gaat om gegevens die de betrokkene actief heeft aangeleverd (naam, adres, ingevulde formulieren) of die zijn gegenereerd door zijn gebruik van een dienst (zoekgeschiedenis, locatiegegevens, transactieoverzichten). Gegevens die de organisatie zélf heeft afgeleid of gecreëerd — een kredietscore, een klantsegment, een risicoprofiel — vallen er níét onder. Die zijn wel opvraagbaar via het inzagerecht, maar niet overdraagbaar via portabiliteit.

Grondslag toestemming of overeenkomst. Het recht geldt alleen als de verwerking berust op toestemming (art. 6 lid 1 sub a) of op de uitvoering van een overeenkomst (art. 6 lid 1 sub b). Berust de verwerking op een wettelijke plicht, een gerechtvaardigd belang of een publieke taak, dan bestaat er geen recht op dataportabiliteit. Dit sluit veel overheidsverwerkingen en wettelijke administraties uit.

Geautomatiseerde verwerking. Papieren dossiers vallen buiten het recht; het gaat uitsluitend om digitaal, geautomatiseerd verwerkte gegevens.

Wie deze drie voorwaarden langs een verwerking legt, ziet snel of het recht van toepassing is. Een goed onderhouden verwerkingsregister, waarin per verwerking de grondslag staat, maakt die beoordeling eenvoudig.

Het formaat: gestructureerd, gangbaar, machineleesbaar

Anders dan bij inzage schrijft artikel 20 een specifiek formaat voor. De gegevens moeten worden geleverd in een vorm die een andere organisatie zonder handmatige bewerking kan inlezen. In de praktijk betekent dit open, gestructureerde formaten zoals CSV, JSON of XML. Een PDF of een uitgeprinte lijst voldoet níét: die is wel leesbaar voor mensen, maar niet machineleesbaar en dus niet herbruikbaar.

Waar het technisch mogelijk is, heeft de betrokkene bovendien recht op rechtstreekse overdracht van de ene naar de andere verwerkingsverantwoordelijke — de gegevens gaan dan direct van aanbieder A naar aanbieder B, zonder dat de betrokkene ze zelf hoeft door te sturen. De AVG verplicht organisaties niet om technisch compatibele systemen te bouwen, maar wel om overdracht mogelijk te maken waar dat redelijkerwijs kan.

Het verschil met het inzagerecht

Dataportabiliteit en het inzagerecht worden vaak verward, maar ze dienen verschillende doelen:

Aspect Inzagerecht (art. 15) Dataportabiliteit (art. 20)
Doel Weten wat wordt verwerkt Gegevens meenemen naar elders
Reikwijdte Alle persoonsgegevens Alleen zelf verstrekte gegevens
Grondslagen Alle Alleen toestemming of overeenkomst
Formaat Begrijpelijke kopie Machineleesbaar (CSV/JSON/XML)
Overdracht Niet vereist Rechtstreeks waar mogelijk

Kort gezegd: het inzagerecht is breder maar vrijblijvender in formaat; dataportabiliteit is smaller maar strenger. Een betrokkene die alleen wil weten wat u over hem verwerkt, gebruikt het inzagerecht. Een betrokkene die wil overstappen naar een concurrent en zijn gegevens wil meenemen, gebruikt portabiliteit.

Dataportabiliteit in de Nederlandse praktijk

De Autoriteit Persoonsgegevens benadrukt dat het recht juist bedoeld is om overstappen te vergemakkelijken; het speelt daarom vooral in sectoren waar overstappen om data draait. Bij energieleveranciers willen klanten hun verbruiksgegevens meenemen om bij een nieuwe leverancier een scherpe aanbieding te krijgen. In de financiële sector overlapt dataportabiliteit met de PSD2-regels, die banken verplichten betaalgegevens via API’s te ontsluiten aan door de klant gemachtigde partijen — een vorm van portabiliteit die verder gaat dan artikel 20 alleen. En bij zorgdossiers vragen patiënten steeds vaker om hun gegevens over te dragen naar een andere zorgverlener of een persoonlijke gezondheidsomgeving, al ligt daar de grondslag vaak in een wettelijke plicht, waardoor artikel 20 niet altijd van toepassing is.

Voor organisaties betekent dit dat een verzoek om dataportabiliteit een concrete, technische uitvoering vraagt: de juiste gegevens selecteren (alleen de zelf verstrekte), in het juiste formaat exporteren, en waar mogelijk rechtstreekse overdracht faciliteren. Net als bij een verzoek tot verwijdering geldt de termijn van één maand, met een verlenging van twee maanden bij complexe verzoeken.

Een valkuil die in de praktijk vaak wordt onderschat, is de aanwezigheid van gegevens van derden. Een transactieoverzicht dat een betrokkene wil meenemen, kan de namen van tegenpartijen bevatten; een berichtenhistorie bevat de gegevens van gesprekspartners. De AVG bepaalt dat het uitoefenen van dataportabiliteit de rechten en vrijheden van anderen niet mag schaden. Een organisatie moet dus beoordelen welke delen van een dataset zij zonder meer kan overdragen en welke delen gegevens van derden bevatten die afgeschermd of anders behandeld moeten worden. Dat maakt een portabiliteitsverzoek soms bewerkelijker dan het lijkt: het is niet simpelweg een knop “exporteer alles”, maar een gerichte selectie waarbij zowel de reikwijdte van artikel 20 als de belangen van derden meewegen. Wie dit proces standaardiseert — bij voorkeur samen met het rectificatie- en inzageproces — voorkomt dat elk verzoek opnieuw maatwerk wordt.

Veelgestelde vragen

Wat is het verschil tussen dataportabiliteit en het inzagerecht?

Het inzagerecht geeft toegang tot álle persoonsgegevens die een organisatie verwerkt, in een begrijpelijke vorm. Dataportabiliteit is smaller: het geldt alleen voor gegevens die de betrokkene zelf heeft verstrekt, op basis van toestemming of een overeenkomst, en vereist een machineleesbaar formaat zodat de gegevens naar een andere organisatie kunnen worden overgedragen.

Moet ik afgeleide gegevens zoals een profiel of score overdragen?

Nee. Het recht op dataportabiliteit geldt alleen voor gegevens die de betrokkene zelf heeft verstrekt of door zijn gebruik heeft gegenereerd. Gegevens die de organisatie zélf heeft afgeleid — een kredietscore, een klantsegment, een risicoprofiel — vallen buiten het recht. Ze zijn wel opvraagbaar via het inzagerecht, maar hoeven niet in overdraagbaar formaat te worden geleverd.

In welk formaat moet ik de gegevens leveren?

In een gestructureerd, gangbaar en machineleesbaar formaat, zoals CSV, JSON of XML. Een PDF of uitgeprinte lijst volstaat niet, omdat die niet zonder bewerking door een ander systeem kan worden ingelezen. Waar technisch mogelijk heeft de betrokkene bovendien recht op rechtstreekse overdracht naar een andere organisatie.

Geldt dataportabiliteit ook bij een wettelijke grondslag?

Nee. Het recht geldt uitsluitend wanneer de verwerking berust op toestemming of op de uitvoering van een overeenkomst. Verwerkingen op basis van een wettelijke plicht, een publieke taak of een gerechtvaardigd belang vallen buiten artikel 20. Dit sluit veel overheidsadministraties en wettelijke registraties uit.

Conclusie

Het recht op dataportabiliteit is smaller dan veel organisaties denken: het geldt alleen voor gegevens die de betrokkene zelf heeft verstrekt, op basis van toestemming of een overeenkomst, en geautomatiseerd verwerkt. Maar waar het geldt, is het veeleisend in de uitvoering — een machineleesbaar formaat en, waar mogelijk, rechtstreekse overdracht. Voor organisaties is de sleutel een register waarin per verwerking de grondslag en de herkomst van de gegevens vastligt, zodat een portabiliteitsverzoek snel en correct kan worden beantwoord. Zo wordt een recht dat is bedoeld om klanten vrij te laten overstappen, een proces dat u beheerst in plaats van vreest.

Automate your GDPR compliance

Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.

Discover Legiscope
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →