Skip to main content

Dataminimalisatie: waarom minder soms meer is.

| Erna Havinga | ,

In de digitale wereld waarin we leven, verzamelen we een enorme hoeveelheid gegevens. Organisaties verzamelen, verwerken en analyseren gegevens om te leren en hun diensten te verbeteren. Maar in deze tijd van dataverzameling is er gelukkig ook een AVG-principe dat steeds meer aandacht krijgt: dataminimalisatie. In deze blog leg ik uit wat dataminimalisatie is en waarom het waardevol is voor zowel organisaties als individuen.

Wat is dataminimalisatie?

Dataminimalisatie, ook wel gegevensminimalisatie genoemd, is eigenlijk heel simpel: het betekent dat je alleen de gegevens verzamelt en bewaart die echt nodig zijn. Of zoals in de wettekst staat: ‘Dataminimalisatie houdt in dat bij het verzamelen en verwerken van (persoons)gegevens niet meer gegevens mogen worden gebruikt dan nodig is om het doel waarvoor ze gebruikt zullen worden te bereiken.’

In feite draait dataminimalisatie om het beperken van de hoeveelheid persoonlijke gegevens die worden verzameld en bewaard tot wat echt nodig is. Stel je voor dat je als gemeentelijke organisatie een webformulier maakt. Als je alleen iemands naam en e-mailadres nodig hebt om de dienst of het product te leveren, dan vraag je alleen dat. Andere gegevens, zoals telefoonnummers of adressen, worden pas gevraagd als ze echt nodig zijn voor het doel. Door alleen relevante gegevens te verzamelen en te bewaren, bescherm je de privacy van burgers en voldoe je aan de eisen van de Algemene Verordening Gegevensbescherming (AVG). Bovendien verklein je hiermee het risico op datalekken, want wat je niet hebt, kan je ook niet verliezen of verkeerd gebruiken. In een tijd waarin we worden overspoeld door gegevens, geldt vaak dat minder meer is.

Waarom is dataminimalisatie belangrijk?

Dataminimalisatie is om verschillende redenen belangrijk:

  • Privacybescherming: Dataminimalisatie is van essentieel belang om de privacy van individuen te beschermen. Dankzij dataminimalisatie is een persoon er zeker van dat er niet meer privacygevoelige data dan noodzakelijk over hem of haar in een organisatie aanwezig is.
  • Beperken van risico’s: Hoe meer gegevens je als organisatie verzamelt, des te groter het risico op datalekken of informatiebeveiligingsincidenten. Dataminimalisatie vermindert dit risico, omdat bij een data-inbreuk slechts een beperkte hoeveelheid gegevens toegankelijk is voor onbevoegden.
  • Efficiëntere gegevensopslag: Het minimaliseren van gegevens biedt ook voordelen voor de organisatie zelf. Het verwerken en opslaan van grote hoeveelheden gegevens kan kostbaar en tijdrovend zijn. Door alleen relevante gegevens te verzamelen en te verwerken, kan je als organisatie efficiënter werken en tijd en geld besparen.
  • Opbouwen van vertrouwen: Door het toepassen van dataminimalisatie, toon je als organisatie aan dat je actief bezig bent met gegevensbescherming. Dit kan het vertrouwen van mensen vergroten en hun bereidheid om gegevens te delen positief beïnvloeden.

Hoe pas je gegevensminimalisatie toe?

Om dataminimalisatie in jouw organisatie te implementeren, kan je de volgende stappen volgen:

  1. Data-inventarisatie: Identificeer welke persoonsgegevens jouw organisatie allemaal verzamelt en verwerkt. Bepaal welke gegevens echt nodig zijn voor het doel en verwijder of anonimiseer overbodige gegevens.
  • Beperk gegevensverzameling: Stel duidelijke regels op voor het verzamelen van gegevens en beperk deze tot wat echt nodig is. Probeer het verzamelen van gevoelige gegevens te vermijden, tenzij je deze gegevens echt nodig hebt voor het doel.
  • Gegevensretentiebeleid: Ontwikkel een beleid voor het bewaren en verwijderen van gegevens. Bewaar gegevens niet langer dan nodig is en hanteer bewaartermijnen die in overeenstemming zijn met de wettelijke vereisten en het doel van de gegevensverwerking.
  • Privacy by design: Besteed bij de ontwikkeling van nieuwe producten en diensten aandacht aan gegevensbescherming. Integreer dataminimalisatie al in de ontwerpfase van nieuwe systemen, processen en diensten, en zorg dat gegevensbescherming een standaard onderdeel is van alle stappen waar gegevens bij betrokken zijn.
  • Bewustwording en training: Zorg ervoor dat alle medewerkers begrijpen waarom dataminimalisatie belangrijk is en hoe ze dit in de praktijk kunnen toepassen. Begin met het opstellen van algemene regels. Blijf medewerkers ook regelmatig trainen over de principes van gegevensbescherming en dataminimalisatie. Het is van cruciaal belang dat medewerkers de juiste aanpak volgen, zowel wat betreft dataminimalisatie en de AVG, als wat betreft de algehele informatiebeveiliging van de organisatie. Dat vormt de basis voor naleving.

De rol van de Privacy Officer bij dataminimalisatie

De Privacy Officer speelt een cruciale rol bij het waarborgen van gegevensminimalisatie in de organisatie. Hieronder zijn enkele taken en verantwoordelijkheden uitgelicht:

  1. Beleidsontwikkeling: De Privacy Officer zorgt ervoor dat er beleid en richtlijnen zijn met betrekking tot dataminimalisatie. Dit omvat het definiëren van wat dataminimalisatie inhoudt, het opstellen van regels voor gegevensverzameling en het vaststellen van bewaartermijnen voor gegevens.
  • Bewustwording en training: De Privacy Officer is verantwoordelijk voor het creëren van bewustzijn binnen de organisatie over dataminimalisatie. Ze moeten ervoor zorgen dat alle medewerkers begrijpen waarom dataminimalisatie belangrijk is en hoe zit dit in de praktijk kunnen toepassen. Dit doen ze o.a. door trainingen en praktische richtlijnen te ontwikkelen.
  • Beoordelen van gegevensverwerkingen: De Privacy Officer moet betrokken worden bij de beoordeling van nieuwe of bestaande gegevensverwerkingen binnen de organisatie. Ze moeten ervoor zorgen dat alleen de (persoons)gegevens worden verzameld en verwerkt die nodig zijn om het beoogde doel te bereiken. De proceseigenaar (vaak lijnmanager) blijft verantwoordelijk dat er binnen zijn/haar afdeling alleen gegevens verwerkt worden die noodzakelijk zijn. De gegevensverwerkingen waar persoonsgegevens in worden gebruikt moeten ook vermeld worden in het register van verwerkingen.
  • Toezicht op naleving: De Privacy Officer moet ervoor zorgen dat dataminimalisatie wordt nageleefd binnen de organisatie. Ze kunnen met enige regelmaat audits en controles uitvoeren om te controleren of de verzamelde gegevens in overeenstemming zijn met de vastgestelde richtlijnen en procedures. Indien nodig moeten ze corrigerende maatregelen nemen.
  • Samenwerking met anderen: De Privacy Officer moet nauw samenwerken met verschillende belanghebbenden binnen de organisatie, zoals de IT-afdeling, de juridische afdeling en de Functionaris voor Gegevensbescherming (FG). Ze moeten ervoor zorgen dat dataminimalisatie deel uitmaakt van de bredere strategie om gegevens te beschermen, en dat er een gecoördineerde aanpak is om de privacy van persoonsgegevens te waarborgen.

Kortom, de Privacy Officer heeft een cruciale rol bij het ontwikkelen, implementeren en handhaven van dataminimalisatiebeleid binnen de organisatie. Ze zorgen ervoor dat alle medewerkers zich houden aan de regels voor gegevensbescherming en stimuleren een veiligheidscultuur van bewust en verantwoord omgaan met gegevens binnen de organisatie.

Meer informatie of hulp nodig?
Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? IB&P helpt je graag. Laat ons dit dan weten en neem contact met ons op.  

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…

Wat is een gerechtvaardigd belang?

Wanneer je als organisatie persoonsgegevens verwerkt, heb je altijd een zogeheten ‘grondslag voor de verwerking van persoonsgegevens’ nodig. Eén van de grondslagen is een ‘gerechtvaardigd belang’. Maar wat houdt een ‘gerechtvaardigd belang’ eigenl…

Het volwassenheidsmodel voor authenticatie

In de factsheet ‘Volwassen authenticeren – gebruik veilige middelen voor authenticatie’ adviseert het NCSC om accounts te beveiligen op een manier die past bij de gevoeligheid van de gegevens en middelen waar deze toegang toe bieden.