Skip to content
Rechten & Verzoeken calendar_today Bijgewerkt: 11 april 2026 schedule 5 min leestijd

Recht op Overdraagbaarheid van Gegevens: Wat Je Moet Leveren

Een klant wil zijn gegevens in een formaat dat hij kan meenemen naar een andere aanbieder. Dit is een verzoek om dataportabiliteit. Dit artikel legt stap voor stap uit welke gegevens je moet leveren, in welk formaat, en wanneer je mag weigeren.

summarize Kernpunten
  • check_circle Dataportabiliteit geldt alleen voor gegevens die de persoon zelf heeft verstrekt, niet voor gegevens die jij hebt afgeleid
  • check_circle Je moet de gegevens leveren in een gestructureerd, gangbaar en machineleesbaar formaat zoals CSV of JSON
  • check_circle Alleen gegevens die worden verwerkt op basis van toestemming of overeenkomst vallen eronder
  • check_circle Je hebt een maand om te reageren, net als bij andere rechten van betrokkenen

Een portabiliteitsverzoek herkennen

Een verzoek om dataportabiliteit is wanneer iemand zegt: “Geef me mijn gegevens zodat ik ze kan meenemen naar een andere aanbieder.” Het verschilt van een gewoon inzageverzoek. Het doel is niet alleen om de gegevens te bekijken, maar om ze elders te hergebruiken.

Het verzoek hoeft niet de woorden “dataportabiliteit” te bevatten. Als een klant schrijft “ik wil mijn gegevens exporteren” of “stuur mijn gegevens naar [ander bedrijf]”, dan telt dat als een portabiliteitsverzoek.

Stap 1: Registreer het verzoek

Zoals bij elk verzoek van een betrokkene, leg het direct vast:

  • Wie het verzoek doet
  • Wanneer je het hebt ontvangen (de termijn van een maand begint nu)
  • Via welk kanaal het binnenkwam
  • Wat er precies wordt gevraagd - wil de persoon de gegevens zelf ontvangen, of wil hij dat je ze rechtstreeks naar een andere verwerkingsverantwoordelijke stuurt?
description

Sjabloon: Verzoekregister

Houd elk verzoek bij in een register: wie, wanneer, wat is gevraagd en hoe het is afgehandeld.

Bekijk het sjabloon arrow_forward

Stap 2: Controleer of portabiliteit van toepassing is

Hier wordt portabiliteit specifiek. Het geldt alleen wanneer aan alle drie de voorwaarden is voldaan:

  1. De gegevens zijn verstrekt door de betrokkene. Dit omvat gegevens die ze actief hebben verstrekt (naam, e-mailadres, geUploade bestanden) en gegevens die zijn gegenereerd door hun activiteit (aankoopgeschiedenis, gebruikslogs, locatiegegevens). Het omvat niet gegevens die jij zelf hebt gecreeerd, zoals interne notities, risicobeoordelingen of analyses.

  2. Verwerking is gebaseerd op toestemming of overeenkomst. Als je de gegevens verwerkt op basis van gerechtvaardigd belang, wettelijke verplichting of algemeen belang, dan is portabiliteit niet van toepassing op die gegevens.

  3. Verwerking vindt plaats via geautomatiseerde middelen. Papieren dossiers zijn uitgesloten, maar in de praktijk is vrijwel alle verwerking tegenwoordig geautomatiseerd.

Als niet aan deze voorwaarden is voldaan, hoef je niet te voldoen aan een portabiliteitsverzoek. Mogelijk moet je het alsnog behandelen als een gewoon inzageverzoek.

Stap 3: Bepaal wat je wel en niet opneemt

Dit is waar de meeste bedrijven in de war raken. Gebruik deze tabel als leidraad:

Type gegevensOpnemen in portabiliteit?Waarom?
Naam, e-mail, adres verstrekt door de klantJaVerstrekt door de betrokkene
Aankoopgeschiedenis, ordergegevensJaGegenereerd door de activiteit van de betrokkene
Geploade foto’s of documentenJaVerstrekt door de betrokkene
Gebruikslogs, klikgedragJaGeobserveerde gegevens van hun activiteit
Jouw interne notities over de klantNeeDoor jou gemaakt, niet door hen verstrekt
Kredietscore of risicoprofiel dat jij hebt berekendNeeAfgeleide gegevens
Gegevens verwerkt op basis van alleen gerechtvaardigd belangNeeVerkeerde grondslag voor portabiliteit
Werknemersgegevens verwerkt voor wettelijke verplichtingenNeeVerkeerde grondslag voor portabiliteit

Bij twijfel, stel jezelf de vraag: komen deze gegevens van de persoon, of hebben wij ze gemaakt? Als jij ze hebt gemaakt, neem ze dan niet op in het portabiliteitsantwoord.

Stap 4: Bereid de gegevens voor in het juiste formaat

Het formaat is wat portabiliteit onderscheidt van een inzageverzoek. De GDPR (in Nederland ook bekend als AVG) vereist dat de gegevens:

  • Gestructureerd zijn - logisch georganiseerd, geen ruwe database-dump
  • Gangbaar zijn - een formaat dat andere bedrijven en software aankunnen
  • Machineleesbaar zijn - software kan ze automatisch verwerken

Acceptabele formaten:

  • CSV (eenvoudigst en meest breed ondersteund)
  • JSON (goed voor gestructureerde, geneste gegevens)
  • XML (uitgebreider, maar acceptabel)

Niet acceptabel:

  • PDF (niet machineleesbaar)
  • Gescande documenten
  • Screenshots

Voor de meeste kleine en middelgrote bedrijven is een CSV-bestand de beste keuze. Het kan worden geopend in Excel, geImporteerd in andere systemen en is eenvoudig te genereren.

Stap 5: Controleer op verzoeken om directe overdracht

De betrokkene kan vragen om de gegevens rechtstreeks naar een andere verwerkingsverantwoordelijke te sturen - bijvoorbeeld een concurrent. Op grond van artikel 20(2) moet je dit doen waar het technisch haalbaar is.

In de praktijk betekent “technisch haalbaar”:

  • Er is een standaard API of protocol voor gegevensuitwisseling beschikbaar
  • De ontvangende verwerkingsverantwoordelijke heeft een systeem dat de overdracht kan accepteren

Als er geen standaard interface bestaat, hoef je er geen te bouwen. Informeer de betrokkene dat directe overdracht technisch niet haalbaar is en verstrek de gegevens rechtstreeks aan hem of haar.

Stap 6: Verstuur het antwoord

  • Termijn - binnen een maand na ontvangst van het verzoek
  • Verlenging - bij complexe verzoeken kun je de termijn met twee maanden verlengen, maar informeer de verzoeker binnen de eerste maand
  • Kosten - het verstrekken van de gegevens is gratis
  • Veilige verzending - gebruik een beveiligd kanaal, vooral als de gegevens gevoelige informatie bevatten

Portabiliteit vs. inzageverzoek - belangrijkste verschillen

Inzageverzoek (Art. 15)Portabiliteitsverzoek (Art. 20)
ReikwijdteAlle persoonsgegevens die je verwerktAlleen gegevens verstrekt door de betrokkene
GrondslagGeldt ongeacht de grondslagAlleen toestemming of overeenkomst
FormaatElk leesbaar formaat (PDF is prima)Moet machineleesbaar zijn (CSV, JSON)
Directe overdrachtNiet van toepassingJa, als technisch haalbaar
Afgeleide gegevensMoet worden opgenomenMoet niet worden opgenomen

Als je een portabiliteitsverzoek ontvangt, controleer dan of de persoon misschien ook een breder inzageverzoek bedoelt. Soms gebruiken klanten de verkeerde term maar willen ze eigenlijk alles zien wat je over hen verwerkt.

Veelgemaakte fouten

  • Een PDF leveren - dit voldoet niet aan de eis van machineleesbaar formaat voor portabiliteit
  • Te veel opnemen - je interne notities of analyses toevoegen aan een portabiliteitsantwoord gaat verder dan nodig
  • Te weinig opnemen - gebruiksgegevens of transactiegeschiedenis vergeten die de persoon heeft gegenereerd door zijn activiteit
  • Grondslagen door elkaar halen - controleer per gegevenscategorie of de verwerking is gebaseerd op toestemming of overeenkomst voordat je gegevens uitsluit
auto_awesome Wees voorbereid op verzoeken

GDPRWise genereert antwoordsjablonen en helpt je een register bij te houden van alle ontvangen verzoeken.

GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.