Dataminimalisatie is een van de grondbeginselen van de AVG. Uw organisatie mag niet meer persoonsgegevens dan strikt noodzakelijk verwerken (minimale gegevensverwerking). Daarnaast mogen persoonsgegevens niet langer dan nodig worden bewaard (opslagbeperking). Dit wordt in de AVG samengevat onder het principe dataminimalisatie. Weet u of alle persoonsgegevens die uw organisatie verwerkt ook daadwerkelijk nodig zijn? En hoe handhaaft u bewaartermijnen? In dit artikel leggen we uit wat het principe van dataminimalisatie inhoudt, en wat dit voor uw organisatie betekent.

 

Minimale gegevensverwerking

Alle persoonsgegevens die u verwerkt moeten een duidelijk vooraf vastgesteld doel hebben. U mag geen gegevens verwerken die geen duidelijk doel hebben of niet relevant zijn. De gegevens gebruiken voor een ander doel dat niet verenigbaar is met het oorspronkelijk bepaalde doel is niet toegestaan. Gegevens die u rechtmatig in het systeem heeft mag u dus niet zomaar overal voor gebruiken. Zo mag een GPS-tracker in bedrijfsauto’s die bedoeld is als kilometerregistratie, niet worden ingezet voor werktijdencontrole als dat niet van te voren zo bepaald (en gecommuniceerd!) is. Hoe controleert u objectief of de gegevens die u verwerkt wel doelmatig zijn? En hoe stelt u procedures vast voor het vernietigen van ondoelmatige gegevens?

 

Opslagbeperking

Aan het verwerken van informatie zit altijd een risico. Het belang van informatiebeveiliging is, mede door de AVG, nog groter geworden. Hoe meer persoonsgegevens worden opgeslagen, maar ook hoe langer ze worden bewaard, hoe groter het privacyrisico. Daarom is het beperken van de hoeveelheid gegevens binnen een organisatie één van de grondbeginselen van de AVG. De eenvoudigste manier om hier aan te voldoen is door bewaartermijnen in te regelen. Idealiter stelt u een bewaartermijn vast voordat u de gegevens verzamelt. Echter, u kunt ook de kaders of richtlijnen vastleggen waarnaar u de bewaartermijn zult vaststellen. Zo kunt u op een later moment de relevantie van de gegevens onderzoeken en aan de hand daarvan een redelijke bewaartermijn vaststellen. Het overzicht van de persoonsgegevens die uw organisatie bezit liggen in principe vast in uw verwerkingsregister. Hierin kunt u ook de doelen en bewaartermijnen van uw verwerkingsactiviteiten vastleggen. Zo heeft u één compleet overzicht waar u op kunt terugvallen.

 

De data minimaliseren

Wanneer u geen duidelijk doel (meer) voor gegevens heeft, of de bewaartermijn van bepaalde gegevens is verlopen, bent u verplicht deze data te vernietigen. Voor digitale gegevens zijn bepaalde programma’s beschikbaar, maar voor fysieke kopieën zult u een ander protocol op moeten stellen. Ook voor data die u met externe partijen heeft gedeeld bent u als verwerkingsverantwoordelijke verantwoordelijk. Heeft u hier al richtlijnen voor opgesteld? Hoe regelmatig controleert u of alle gegevens die u verwerkt nog doelmatig zijn? En heeft u vaste momenten ingesteld waarop uw bewaartermijnen worden gehandhaafd, of wordt dit per proces ad hoc besloten?

Het lijkt eenvoudig om met dataminimalisatie aan de slag te gaan. Maar pas op dat u er niet in doorschiet! Wanneer u te weinig gegevens verwerkt kan er ten onrechte een verkeerd beeld ontstaan van de betrokkene. De plicht tot minimale gegevensverwerking verplicht u dus grondig te kijken naar het nut van de persoonsgegevens die u verwerkt. Tegelijkertijd dient u ook zeker de volledigheid van gegevens mee te nemen.

De consultants van Audittrail kunnen u helpen met de integratie van dataminimalisatie in uw organisatie. Samen onderzoeken we de processen en doelmatigheid van uw verwerkingsactiviteiten en de persoonsgegevens die hierbij komen kijken. We stellen een duidelijk plan op en zorgen er samen voor dat uw organisatie de volgende stap richting compliance maakt. Zo werken we samen aan een compliant en toekomstbestendige organisatie.