Wat is dataminimalisatie?

Wat is dataminimalisatie? En wat betekent dat in de praktijk? De AVG (de privacywet) zegt: je moet zo min mogelijk persoonsgegevens verwerken.

Wetboeken

Dataminimalisatie is een term uit de AVG (de privacywet, de Algemene verordening gegevensbescherming). De term dataminimalisatie vertegenwoordigt een basisbeginsel uit de privacywet. Dit basisbeginsel stelt dat organisaties zo min mogelijk persoonsgegevens moeten verwerken en dat persoonsgegevens moeten worden verwijderd, zodra deze niet meer noodzakelijk zijn.

Dataminimalisatie en noodzaak

Best vage bewoordingen! Wat betekent dat nou in de praktijk?

Organisaties zijn verplicht om doelen vast te stellen, waarvoor zij persoonsgegevens verwerken. Zodra het doel is vastgesteld, moet worden getoetst welke persoonsgegevens nou echt noodzakelijk zijn om te gebruiken voor dat doel.

Een voorbeeld:

Als je een brief wilt sturen naar de klant, heb je zijn of haar adresgegevens nodig. Ook wil je de brief richten aan een persoon. Daar gebruik je de voor- en achternaam voor. De noodzakelijkheidstoets is dan als volgt: is het ook noodzakelijk om ‘meneer’ of ‘mevrouw’ bovenaan de brief te zetten en dus om het geslacht te weten? Meestal niet. Het geslacht is voor het doel ‘verzenden van de brief’ niet noodzakelijk.

Een ander, wat lastiger voorbeeld:

Je hebt een grote database met allemaal informatie van jouw klanten. Deze database gaat jaren terug. Zelfs van 10 jaar terug weet jij nog precies wat welke klant bij jou heeft gekocht. Dat moet ook, want op de producten die je verkocht hebt, zit nog garantie.

Je weet bijvoorbeeld de naam, het adres, het telefoonnummer, e-mailadres en de bestelhistorie van jouw klant. In de tussentijd heb je je klant gevolgd over het internet, door middel van cookies. De interesses en gevolgde pagina’s heb je ook bij zijn klantkaart opgeslagen. Deze informatie wil je gebruiken om gerichte advertenties te maken, zodat de klant opnieuw producten bij je koopt.

Je proeft het al: best veel informatie over een persoon. En deze informatie wordt dan ook nog eens ingezet voor een nieuw doel, adverteren. Dit voorbeeld speelde bij Meta (moederbedrijf van Facebook). En Meta werd verplicht om dataminimalisatie door te voeren. Van al die gegevens, interesses, cookies, bestelhistorie etc, moest worden getoetst welke gegevens nou echt nog noodzakelijk waren voor het primaire doel. Dus voor het bieden van garantie. De rest moet worden weggegooid. Dat wat overblijft, daarvan mag je kijken of je dit kunt inzetten voor een nieuw doel. Het adverteren.

Voor dat nieuwe doel heb je dan weer een nieuwe grondslag nodig. Maar daarover lees je meer in een van de andere privacy blogposts.

Vragen over dit blog? Ideeën of opmerkingen?

"*" geeft vereiste velden aan

Laat ons weten wat je bezighoudt. Heb je een vraag voor ons? Stel hem gerust.
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.