De GDPR voorziet in het recht voor de betrokkene om zijn persoonsgegevens over te laten dragen, hetzij aan zichzelf hetzij rechtstreeks aan een andere verwerkingsverantwoordelijke die de betrokkene aanduidt.
Maar om welke persoonsgegevens gaat het dan precies, in welke vorm moeten ze worden overgedragen; en is de ontvangende verwerkingsverantwoordelijke wel verplicht deze persoonsgegevens te aanvaarden en te verwerken?
In deze korte blogpost zal summier ingegaan worden op enkele aspecten van dit recht op overdracht.
Grondslag van het recht
Een betrokkene die op basis van een overeenkomst of toestemming heeft gegeven aan de verwerkingsverantwoordelijke voor de verwerking van zijn of haar persoonsgegevens kan aan deze laatste vragen om zijn of haar persoonsgegevens te verkrijgen en eventueel rechtstreeks over te dragen aan een andere verwerkingsverantwoordelijke die hij of zij aanduidt.
Wanneer de verwerkingsverantwoordelijke deze persoonsgegevens op een andere grondslag heeft verkregen dan een toestemming of de uitvoering van een overeenkomst, dan geldt het recht tot gegevensoverdracht niet.
Bovendien dient er ook op worden gewezen dat het recht tot overdracht zich enkel strekt tot persoonsgegevens die worden verwerkt op een geautomatiseerde manier, en dus niet op persoonsgegevens die op papier zijn te consulteren.
Welke persoonsgegevens?
De vraag voor het overdragen van verwerkte persoonsgegevens door de verwerkingsverantwoordelijke geldt echter niet voor alle verwerkte persoonsgegevens.
Om te beginnen moet het gaan om op een geautomatiseerde manier verwerkte persoonsgegevens, en dus gaat het niet om persoonsgegevens op papier.
Men dient hierbij ook een onderscheid te maken tussen de persoonsgegevens verstrekt door de betrokkene en de persoonsgegevens die de verwerkingsverantwoordelijke heeft bekomen door bijvoorbeeld deductie van via de betrokkene verkregen persoonsgegevens.
Verstrekt door de betrokkene
De persoonsgegevens die vallen onder het recht tot overdracht betreft die persoonsgegevens die de betrokkene aan de verwerkingsverantwoordelijke heeft verstrekt hetzij door toestemming te hebben gegeven voor hun verwerking hetzij voor de uitvoering van een overeenkomst.
Onder deze gegevens kunnen zich ook de persoonsgegevens van derden bevinden, die een relatie hebben of hebben gehad met de betrokkene.
Bijvoorbeeld een lijst van door de betrokkene zelf geleverde persoonsgegevens van familieleden en of kennissen, of de bestemmelingen van e-mails of telefoongesprekken die door de betrokkene werden gevoerd.
Geheimen van de verwerkingsverantwoordelijke
Persoonsgegevens die de verwerkingsverantwoordelijke zelf heeft afgeleid of aangemaakt op basis van de door de betrokkene verstrekte persoonsgegevens vallen daar niet onder.
Bijvoorbeeld kan een verwerkingsverantwoordelijke op basis van de verstrekte persoonsgegevens, zoals het geslacht, de leeftijd, etc., de betrokkene in cohorten of in groepen hebben gedeeld voor commerciële doeleinden, waarbij gebruik werd gemaakt van interne know-how.
Deze door de verwerkingsverantwoordelijke zelf afgeleide persoonsgegevens vallen niet onder het recht tot overdracht dat voorzien is in de GDPR.
Op welke manier overdragen?
De persoonsgegevens dienen te worden overgedragen in een gestructureerde, gangbare en machineleesbare vorm. Dit betekent niet noodzakelijk dat de gegevens moeten worden overgedragen in een vorm die compatibel is met de systemen van de ontvangende verwerkingsverantwoordelijke of met de systemen van de betrokkene zelf.
Gangbare machineleesbare vormen kunnen bijvoorbeeld CSV, XML, JSON, etc. formaten zijn.
Er dient ook op gewezen te worden dat het de verantwoordelijkheid van de verwerkingsverantwoordelijke is om ervoor te zorgen dat de over te dragen persoonsgegevens worden overgedragen op veilige manier.
D.w.z. de verwerkingsverantwoordelijke dient er zich van te vergewissen dat de vraag tot overdracht afkomstig is van de betrokkene zelf en dat de overdracht bijvoorbeeld gebeurt via een end-to-end versleutelde link zoals bijvoorbeeld een SFTP-link die slechts eenmaal kan worden gebruikt binnen een beperkte tijdspanne.
Ontvangende verwerkingsverantwoordelijke
De ontvangende verwerkingsverantwoordelijke dient op zijn beurt na te gaan of hij wel een verwerkingsgrond heeft voor de doorgezonden persoonsgegevens, ongeacht of die persoonsgegevens door de vorige verwerkingsverantwoordelijke of door de betrokkene zelf werden doorgezonden.
Het feit dat de vorige verwerkingsverantwoordelijke een rechtsgrond heeft/had voor de verwerking van de overgedragen persoonsgegevens, wilt immers niet zeggen dat de ontvangende verwerkingsverantwoordelijke deze ook heeft.
Dit is vooral belangrijk bij persoonsgegevens van derden die gelinkt zijn aan de betrokkene wiens persoonsgegevens worden overgedragen.
Bovendien is de ontvangende verwerkingsverantwoordelijke niet verplicht de ontvangen persoonsgegevens te aanvaarden en te verwerken.
Bloep, 2 mei 2026.