Wat is dataminimalisatie?

Dataminimalisatie houdt in dat bij het verzamelen en verwerken van persoonsgegevens niet meer gegevens mogen worden gebruikt dan nodig is om het doel waarvoor ze gebruikt zullen worden te bereiken.

Lees meer

Dataminimalisatie

De AVG / GDPR kent een regelmatig terugkerend begrip: dataminimalisatie. Dit houdt in dat je als organisatie niet meer gegevens mag verzamelen dat strikt noodzakelijk voor het beoogde doel. Of zoals in de wettekst officieel gesproken wordt: Dataminimalisatie houdt in dat bij het verzamelen en verwerken van persoonsgegevens niet meer gegevens mogen worden gebruikt dan nodig is om het doel waarvoor ze gebruikt zullen worden te bereiken.

Het begrip is niet geheel nieuw: ook in de ‘oude’ privacywetgeving wordt al gesproken van dataminimalisatie. De AVG / GDPR breidt deze regel echter uit met een aantal nieuwe voorwaarden en toepassingsgebieden.

Waarom is dataminimalisatie zo belangrijk voor privacy?

Dataminimalisatie is waardevol om een eenvoudige reden: wat je niet bezit, kun je ook niet verliezen of verkeerd verwerken. Dankzij dataminimalisatie is een betrokkene ervan verzekerd dat er niet meer privacygevoelige data dan noodzakelijk over hem of haar in een organisatie rondwaren. Dat alleen al zorgt voor meer privacy. Een organisatie weet immers niets meer van de betrokkene dan het nodig heeft voor het beoogde doel. Het verkleint daarnaast ook de kans op een verkeerde verwerking. Denk aan inzage door een onbevoegd persoon, of zelfs diefstal door hackers. Data die een organisatie niet bezit, kan niet op straat belanden of onder verkeerde ogen komen.

Wat is de relatie met big data en marketing?

De wens om dataminimalisatie is min of meer ontstaan uit een recent verschijnsel. Marketingafdelingen hadden (en hebben) de neiging zoveel mogelijk data rondom een klant of prospect te verzamelen. Met reden: hoe meer zij weten van hun klant, hoe beter zij hun marketing kunnen laten aansluiten op die klant. Dit noemen we ook wel ‘profiling’ of ‘big data marketing’.

Dankzij geavanceerde analyticstools kunnen marketeers met al die klantgegevens bijvoorbeeld aankoopvoorspellingen doen, of klantvoorkeuren binnen een regio in kaart brengen. Allemaal zeer bruikbare informatie. Met een nadeel: het brengt schade toe aan de privacy van de betrokkene. De EU heeft hier in de AVG / GDPR nu paal en perk aan gesteld.

Wanneer is dataminimalisatie noodzakelijk?

Dataminimalisatie is noodzakelijk zodra het gaat om de verwerking van persoonsgegevens. Het heeft dus geen betrekking op gegevens die niet herleidbaar zijn naar individuele personen.

Wat is het verband met privacy by design?

Dataminimalisatie is in de nieuwe privacywet gekoppeld aan privacy by design. Dat was in de oude wet nog niet zo. Dit betekent dat je al tijdens de ontwikkeling van een product of dienst moet nadenken over wat je wilt verzamelen, en of dat daadwerkelijk nodig is. Het strikt beperken van de persoonsgegevensverzameling tot het hoognodige moet inherent (‘by design’) onderdeel zijn van een product, dienst of (marketing)project. Overigens is dit een kostenbesparende insteek: het scheelt het maken van allerlei aanpassingen en doen van restricties achteraf.

Wat betekent dataminimalisatie in de praktijk?

Bij de ontwikkeling van nieuwe producten, diensten en projecten zul je je af moeten vragen welke persoonsgegevens strikt noodzakelijk zijn voor het doel dat je voor ogen hebt. Een veelvoorkomende praktisch toepassingsgebied van dataminimalisatie is bijvoorbeeld het webformulier. In zo’n formulier mag slechts het hoognodige gevraagd worden. Is die informatie bedoeld voor het versturen van een pakketje, dan mag je in dat formulier niet vragen om bijvoorbeeld geslacht of leeftijd. Deze zaken doen immers niet ter zake voor het beoogde doel: het versturen van een pakketje vanaf het magazijn naar de klant. Enkel naam- en adresgegevens, en eventueel een telefoonnummer en/of mailadres voor statuswijzigingen zijn hier voldoende.

Mag ik persoonsgegevens na het beoogde doel wel hergebruiken voor een ander doel?

Je mag persoonsgegevens die je hebt verzameld niet zomaar opnieuw inzetten voor een ander doel. Hiervoor is opnieuw uitdrukkelijke toestemming nodig van de betrokkene. Je zult deze persoon bovendien duidelijk moeten maken wat je van plan bent met zijn of haar gegevens.

Ik beschik over data die niet noodzakelijk zijn voor het doel. Wat moet ik doen?

Beschikt jouw organisatie op dit moment over persoonsgegevens die niet strikt noodzakelijk zijn voor het beoogde doel? Dan zijn er een aantal opties:

1. Data verwijderen

Dit is de meest rigoureuze variant. Hierbij verwijder je alle overbodige data en kopieën van deze data. Dus ook in bijvoorbeeld de back-ups.

2. Data anonimiseren

Een andere, minder verregaande optie is het anonimiseren van de data. Hierbij verwijder je de gegevens over een persoon niet, maar verbreek je in de database wel de koppeling met de betrokkene. Je bewaart bijvoorbeeld wel iemands adres na het versturen van een pakket, zonder dat te achterhalen is wie op dat adres woont. Anonimisering kan zeer waardevol zijn. In bovenstaand voorbeeld zijn adresgegevens bijvoorbeeld nuttig voor het bepalen van je afzetgebied. Dankzij de ‘ontkoppeling’ met het individu blijft de privacy van de betrokkene gewaarborgd.

3. Data fading

Is anonimisering geen optie? Dan kan data fading een goed alternatief zijn. Hierbij wordt na een geleverde dienst de data sterk uitgekleed. Zo kan enkel iemands woonplaats achterblijven in de database na het versturen van een pakket, omdat die informatie bruikbaar is voor strategische bedrijfsdoeleinden. Let hierbij wel op: bij data fading zijn de achtergebleven gegevens nog altijd herleidbaar tot een persoon, en zijn het dus persoonsgegevens. Je zult hiervoor dan ook expliciet toestemming moeten vragen aan de betrokkene, en het ‘doel’ hiervan duidelijk moeten overleggen. Een groot voordeel van data fading is dat bij een eventueel datalek de schade minder groot is dan wanneer alle gegevens intact zouden zijn gebleven.

Wat is recht op vergetelheid?

In de AVG / GDPR is in Artikel 17 een belangrijk nieuw recht voor betrokkenen opgenomen: het recht op vergetelheid. Dit geeft betrokkenen het recht op verwijdering van al zijn of haar persoonsgegevens. Dit is een van de manieren waarop de EU haar burgers meer controle en zeggenschap wil geven over hun privacygevoelige data.

Lees meer
Wat is privacy by design?

Wat is privacy by design?

Privacy by design wil zeggen dat je tijdens de ontwikkeling van een product of dienst zo goed mogelijk rekening houdt met de privacy van de gebruiker. In het Nederlands wordt dit principe ook wel aangeduid met ‘Gegevensbescherming door ontwerp en door standaardinstellingen’.

Wat is pseudonimiseren?

Wat is pseudonimiseren?

Pseudonimisering is een manier persoonsgegevens te beschermen tegen privacyinbreuk. Wanneer je een persoonsgegeven pseudonimiseert, dan zorg je ervoor dat een persoonsgegeven zonder aanvullende informatie niet meer te herleiden is naar een persoon.

YourSafetynet Q&A (YourSafetynet geeft antwoord)

De ontwikkelingen rondom dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen gaan razendsnel en er worden veel nieuwe termen geïntroduceerd. Onze Q&A geeft inzicht in deze nieuwe terminologieën.

Op Weg Naar De GDPR - Whitepaper YourSafetynet

Whitepaper:
Op weg naar de GDPR

Inmiddels is de nieuwe privacywetgeving AVG een feit. Wat moet je weten? Wat moet je regelen? Onze uitgebreide whitepaper vertelt je alles.

Aanmelden nieuwsbrief

Blogs en artikelen over dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen. Blijf up-to-date en laat je niet verrassen.

Je bent succesvol aangemeld voor onze nieuwsbrief!

YourSafetynet Folder

De 4 pijlers van YourSafetynet

Voldoen aan de AVG duur, tijdrovend en ingewikkeld? Niet met YourSafetynet. Onze totaaloplossing maakt jouw organisatie 100% AVG-proof. Zonder ingewikkeld gedoe. Download de 4 pijlers van YourSafeynet.

Bedankt voor je aanvraag. Check je e-mail... ook de SPAM-box. Binnen een paar minuten ontvang je een bericht.

YourSafteynet eBook

Jouw website 100% AVG-proof

De nieuwe Europese privacywetgeving heeft grote gevolgen voor je website. In dit eBook laten we zien hoe je privacy-issues voorkomt en jouw site 100% in lijn brengt met de AVG/GDPR. Eenvoudig en stap-voor-stap.

Bedankt voor je aanvraag. Check je e-mail... ook de SPAM-box. Binnen een paar minuten ontvang je een bericht.

Share This