Vandaag duiken we in een belangrijk aspect van gegevensbescherming: dataminimalisatie, een van de essentiële principes van de Algemene Verordening Gegevensbescherming (AVG). Hoe we slim en verantwoordelijk gegevens verwerken en bespreken we de kracht van dataminimalisatie volgens de AVG. Maar wat houdt dit principe precies in? En belangrijker nog, hoe kunnen we het op een juiste manier toepassen?

 

Dataminimalisatie in de AVG

In artikel 5 is opgenomen dat “persoonsgegevens toereikend en ter zake dienend”, moeten zijn en dat deze “beperkt moeten zijn tot wat noodzakelijk is voor de doeleinden waarvoor zie worden verwerkt”.

We hebben het vaak over dataminimalisatie (of minimale gegevensverwerking) maar feitelijk wordt bedoeld dat je alleen gegevens mag verwerken die zowel noodzakelijk als toereikend zijn om het doel te kunnen bereiken. Dus niet te veel maar ook weer niet te weinig waardoor betrokkenen nadeel ondergaan. Als je bijvoorbeeld niet naar iemands werkervaring vraagt kun je moeilijk die persoon naar werk bemiddelen.

Voorbeelden

In mijn praktijk kom ik veel voorbeelden tegen van te veel verwerkte persoonsgegevens. Een paar willekeurige voorbeelden:

Een bedrijf heeft een intranet waarmee ze medewerkers wil informeren over bedrijfsontwikkelingen en over medewerkers, hun functie en hun contactgegevens. Nu kun je daar ook de privé adressen en telefoonnummers van collega’s vinden. Dat lijkt me meer dan toereikend, maar vooral niet noodzakelijk en overigens ook zeker niet wenselijk.

  • Een ZZP’er is aan het werk via een bemiddelingsbureau. Deze neemt een kopie ID bewijs op in zijn administratie. Dit gegeven is echter niet nodig voor de bemiddeling. Vaak stellen bemiddelaars een ZZP-er gelijk aan een werknemer. Ook vragen werkgevers hierom. Verkeerde gedachtegang. Een ZZP-er voert als zelfstandige opdrachten uit. Een werknemer werkt onder leiding en toezicht. Een heel ander wettelijk kader.
  • Bij inschrijving op een site van een uitzendbureau kom je bij een sollicitatie een verplicht in te vullen lijst tegen, met daarin een bankrekeningnummer. Prima om je CV en motivatie in te vullen maar op dit moment is het niet nodig om je bankrekeningnummer al te verstrekken. En niet wenselijk. Als bedrijf loop je nu onnodig risico van verlies van persoonsgegevens bij een hack.

 

De relatie met wettelijke grondslag

Dataminimalisatie staat niet los van de andere AVG-verplichtingen. Zo moet je een grondslag hebben om persoonsgegevens te verwerken. Dat kan bijvoorbeeld een arbeidsovereenkomst zijn. Ook hier zegt de AVG dat je hierbij alleen noodzakelijke gegevens mag verwerken. Verwerk je meer gegevens dan loop je het risico dat de rechter deze verwerking als onrechtmatig[1] zal verklaren. Je mag best meer gegevens verwerken maar daar moet je dan wel weer een aanvullende grondslag voor hebben. Dat kan toestemming zijn maar dat ligt bij werknemers vanwege hun afhankelijke positie ten opzichte van de werkgever altijd lastig. En uit het voorbeeld van de ZZP-er hierboven blijkt dat het soort overeenkomst ook mede bepalend is voor de te verwerken gegevens.

Je mag dus niet meer gegevens verwerken dan noodzakelijk is. ‘Noodzakelijk’ betekent echt iets anders dan ‘handig om te hebben’. Als het doel ook zonder of met minder persoonsgegevens bereikt kan worden, dan moet dat het uitgangspunt zijn.

Als het goed is heb je alle verwerkingen in een register vastgelegd, waarbij je ook hebt opgenomen welke persoonsgegevens je verwerkt. Ook kan het zijn dat je een Data Protection Impact Assessment (DPIA)hebt uitgevoerd bij nieuwe verwerkingen. Dan heb daar ook vastgesteld welke gegevens noodzakelijk zijn en welke niet.

 

Relatie met bewaren en wissen

Er is ook een duidelijke relatie met het wissen van persoonsgegevens. Zo zegt de wet  dat persoonsgegevens moeten worden verwijderd (of geanonimiseerd) als ze niet meer nodig zijn voor het doel en dat de opslag van persoonsgegevens tot een strikt minimum moet worden beperkt. Een CV heb je alleen nodig voor de selectiefase en vier weken na deze fase kun je dit CV dus gewoon verwijderen. Komt iemand in dient dan hoef je dit CV ook echt niet voor eeuwig te bewaard. ik zie vaak nog dat deze bewaard worden tot einde dienstverband.

 

Relatie met beveiligen

Wat je niet hebt, kan niet verloren gaan en hoef je niet te beveiligen! Het lijkt wel een tegeltjeswijsheid maar zo is het wel. Onderdeel van de beveiliging is vaak het beperken van de toegang. Geef dus alleen toegang aan medewerkers tot persoonsgegevens als zij deze nodig hebben om hun werk te doen. Hoe minder mensen toegang hebben tot persoonsgegevens des te kleiner de kans dat deze betrokken kunnen worden bij een datalek.

Een kopie ID moet je maken voor de loonbelasting. En deze moet je voor de belastingdienst beschikbaar houden. Dit betekent dus niet dat iedere intercedent maar toegang tot dat ID moet hebben. Beperk het tot bijv. de salarisadministratie.

Relatie met AVG Garant

Stichting AVG Garant heeft een groeimodel (prestatieladder) en keurmerk ontwikkeld dat met name voor uitzendbureaus interessant kan zijn. Link naar webstite? Vanaf niveau 3 wordt gecontroleerd op naleving van dataminimalisatie. Controle vindt o.a. plaats door te kijken naar het verwerkingenregister, het beleid en het nemen van steekproeven. Meer informatie via info@avggarant.nl.

Meld je in 2023 aan en ontvang gratis inschrijving voor dit jaar via de code FG2023

 

 

 

[1] https://uitspraken.rechtspraak.nl/#!/details?id=ECLI:NL:RBROT:2020:2257&showbutton=true&keyword=ECLI:NL:RBROT:2020:2257%20