Privacy basics: dataminimalisatie

Dit artikel is geschikt voor elke verantwoordelijke die persoonsgegevens verwerkt, of daarmee gaat starten.

Dataminimalisatie; het beginsel dat je verplicht om alleen die gegevens te verwerken die strikt noodzakelijk zijn voor je verwerkingsdoel. Plat gezegd: verwerk alleen wat je echt nodig hebt. Dat klinkt simpel, maar kan in de praktijk toch lastiger zijn dan op het eerste oog lijkt.

Het begrip dataminimalisatie komt in meerdere artikelen binnen de AVG voor, waaronder in artikel 5. Dit artikel biedt een overzicht van de beginselen waaraan een verwerking moet voldoen, zoals dat persoonsgegevens “toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt” (Artikel 5 lid 1 sub c AVG).

Naast artikel 5 komt het principe van dataminimalisatie ook voor in artikel 6 AVG. Dit artikel geeft een overzicht van de grondslagen op basis waarvan je als organisatie persoonsgegevens mag verwerken. Behalve de grondslag toestemming, heeft elke grondslag als vereiste dat de verwerking van persoonsgegevens noodzakelijk moet zijn. Neem bijvoorbeeld “noodzakelijk voor de uitvoering van een overeenkomst”, of “noodzakelijk voor de vervulling van een taak van algemeen belang”.

Als je meer gegevens wil verwerken dan volgens de gekozen grondslag noodzakelijk is, zou je dus moeten terugvallen op een aanvullende grondslag. Vaak lijkt die aanvullende grondslag toestemming van de betrokkene, omdat je zo in staat zou zijn om meer gegevens te verwerken dan onder een andere grondslag mogelijk lijkt. Maar geldt niet ook voor toestemming het noodzakelijkheidsvereiste? Een betrokkene geeft immers toestemming voor het verwerken van alleen die persoonsgegevens die onder artikel 5 lid 1 sub c worden omschreven als toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.

Dataminimalisatie geldt voor alle verwerkingen van persoonsgegevens, en heeft bijvoorbeeld ook betrekking op big data en algoritmes, als daarbij tenminste persoonsgegevens worden verwerkt. In de praktijk lijken big data en dataminimalisatie lijnrecht tegenover elkaar te staan, en de twee begrippen kunnen zeker schuren. Big data kan tot stand komen door het combineren van verschillende datasets, en dan is het belangrijk om ervoor te zorgen dat dit in lijn is met de grondslagen die bij elke aparte verwerking horen. Belangrijk is ook om dataminimalisatie in de context van andere AVG-begrippen te plaatsen. Want hoewel big data uitgaat van datamaximalisatie en het combineren van zoveel mogelijk gegevens, kan er wel degelijk gezorgd worden voor een privacy-vriendelijkere manier van verzamelen. Denk aan Privacy by Design; het begrip dat ervan uitgaat dat elk systeem, elke verwerking en elk project vanaf de start tactieken toepast die ervoor zorgen dat zelfs bij een grote dataverwerking alleen die gegevens worden verzameld die nodig zijn om het doel te bereiken.

Daarnaast geldt het beginsel van dataminimalisatie ook als je persoonsgegevens ontvangt van een externe partij. Hoewel het ontvangen van persoonsgegevens passief lijkt te zijn, ga je er als verantwoordelijke na ontvangst vaak mee aan de slag. Als je de ontvangen persoonsgegevens bijvoorbeeld verzamelt, vastlegt, opslaat of op een andere manier gebruikt zal ook hier rekening gehouden moeten worden met dataminimalisatie. Dataminimalisatie met betrekking tot persoonsgegevens is vooral moeilijk te handhaven, omdat je nu eenmaal geen controle hebt over wat andere partijen of personen je toesturen. Zaak dus om ook in je inbox en andere communicatiekanalen scherp in de gaten te houden wat je wil behouden en waar je direct een schifting toe moet passen, omdat je meer verwerkt dan je doel je toestaat.

Al met al heb je als verwerkingsverantwoordelijke een flinke verplichting in het minimaliseren van je datastromen met persoonsgegevens en is het vragen van toestemming maar zelden een manier om meer persoonsgegevens te behouden, dan een andere grondslag. Zoals in artikel 25 lid 2 naar voren komt “De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking […]”. Als verantwoordelijke heb je de plicht om ervoor te zorgen dat je niet meer persoonsgegevens verwerkt dan nodig is, ook als je persoonsgegevens ontvangt en verder verwerkt. Dit principe geldt ook voor big data en persoonsgegevens die door een algoritme of automatische besluitvorming worden verzameld.

Ben je benieuwd of jouw organisatie voldoet aan dataminimalisatie of wil je weten waar je een verbeterslag kan maken? Aarzel niet om telefonisch (06- 18088514) of per e-mail (nienke.koorn@lexdigitalis.nl) contact met mij op te nemen.