De kracht van dataminimalisatie volgens de AVG

Slim en verantwoordelijk gegevens verwerken: de kracht van dataminimalisatie volgens de AVG

Door Gerrit van Rooij, privacy adviseur bij Stichting AVG Garant en privacy officer bij sociaal ontwikkelbedrijf Pantar.

In deze column belicht ik een belangrijk aspect van gegevensbescherming: dataminimalisatie. Zoals jullie waarschijnlijk al weten, is dataminimalisatie een van de essentiële principes van de Algemene Verordening Gegevensbescherming (AVG). Maar wat houdt dit principe precies in? En belangrijker nog, hoe kun je het op een juiste manier toepassen?

Dataminimalisatie in de AVG
In artikel 5 is opgenomen dat “persoonsgegevens toereikend en ter zake dienend”, moeten zijn en dat deze “beperkt moeten zijn tot wat noodzakelijk is voor de doeleinden waarvoor zie worden verwerkt”.

We hebben het vaak over dataminimalisatie (of minimale gegevensverwerking) maar feitelijk wordt bedoeld dat je alleen gegevens mag verwerken die zowel noodzakelijk als toereikend zijn om het doel te kunnen bereiken. Dus niet teveel maar ook weer niet te weinig, waardoor betrokkenen nadeel ondervinden. Als je bijvoorbeeld niet naar iemands werkervaring vraagt, kun je moeilijk die persoon naar werk bemiddelen.

Voorbeelden
In mijn praktijk kom ik veel voorbeelden tegen van teveel verwerkte persoonsgegevens. Een paar willekeurige voorbeelden:

• Een bedrijf heeft een intranet waarmee ze medewerkers wil informeren over bedrijfsontwikkelingen en over medewerkers, hun functie en hun contactgegevens. Nu kun je daar ook de privé adressen en telefoonnummers van collega’s vinden. Dat lijkt me meer dan toereikend vooral niet noodzakelijk en overigens ook zeker niet wenselijk.
• Een ZZP’er is aan het werk via een bemiddelingsbureau. Deze neemt een kopie ID bewijs op in zijn administratie. Dit gegeven is echter niet nodig voor de bemiddeling. Vaak stellen bemiddelaars een ZZP-er gelijk aan een werknemer. Ook vragen werkgevers hierom. Verkeerde gedachtegang. Een ZZP-er voert als zelfstandige opdrachten uit. Een werknemer werkt onder leiding en toezicht. Een heel ander wettelijk kader.
  • Bij inschrijving op een site van een uitzendbureau kom je bij een sollicitatie een verplicht in te vullen lijst tegen, met daarin een bankrekeningnummer. Prima om je CV en motivatie in te vullen maar op dit is het niet nodig om je bankrekeningnummer al te verstrekken. En niet wenselijk. Als bedrijf loop je nu onnodig risico van verlies van persoonsgegevens bij een hack.

Relatie met wettelijke grondslag
Dataminimalisatie staat niet los van de andere AVG verplichtingen. Zo moet je een grondslag hebben om persoonsgegevens te verwerken. Dat kan bijvoorbeeld een arbeidsovereenkomst zijn. Ook hier zegt de AVG dat je hierbij alleen noodzakelijke gegevens mag verwerken. Verwerk je meer gegevens dan loop je het risico dat de rechter deze verwerking als onrechtmatig [1] zal verklaren. Je mag best meer gegevens verwerken, maar daar moet je dan wel weer een aanvullende grondslag voor hebben. Dat kan toestemming zijn, maar dat ligt bij werknemers vanwege hun afhankelijke positie ten opzichte van de werkgever altijd lastig. En uit het voorbeeld van de ZZP-er hierboven blijkt dat het soort overeenkomst ook mede bepalend is voor de te verwerken gegevens.

Je mag dus niet meer gegevens verwerken dan noodzakelijk is. ‘Noodzakelijk’ betekent echt iets anders dan ‘handig om te hebben’. Als het doel ook zonder of met minder persoonsgegevens bereikt kan worden, dan moet dat het uitgangspunt zijn.

Als het goed is, heb je alle verwerkingen in een register vastgelegd, waarbij je ook hebt opgenomen welke persoonsgegevens je verwerkt. Ook kan het zijn dat je een Data Protection Impact Assessment (DPIA) hebt uitgevoerd bij nieuwe verwerkingen. Dan heb je daar ook vastgesteld welke gegevens noodzakelijk zijn en welke niet.

Relatie met bewaren en wissen
Er is ook een duidelijke relatie met het wissen van persoonsgegevens. Zo zegt de wet dat persoonsgegevens moeten worden verwijderd (of geanonimiseerd) als ze niet meer nodig zijn voor het doel en dat de opslag van persoonsgegevens tot een strikt minimum moet worden beperkt. Een CV heb je alleen nodig voor de selectiefase en vier weken na deze fase kun je dit CV dus gewoon verwijderen. Komt iemand in dienst dan hoef je dit CV ook echt niet voor eeuwig te bewaren. Ik zie nog vaak dat CV’s  bewaard worden tot einde dienstverband.

Relatie met beveiligen
Wat je niet hebt, kan niet verloren gaan en hoef je niet te beveiligen! Het lijkt een tegeltjeswijsheid, maar zo is het wel. Onderdeel van de beveiliging is vaak het beperken van de toegang. Geef dus alleen toegang aan medewerkers tot persoonsgegevens als zij deze nodig hebben om hun werk te doen. Hoe minder mensen toegang hebben tot persoonsgegevens des te kleiner de kans dat deze betrokken kunnen worden bij een datalek.

Een kopie ID moet je maken voor de loonbelasting. En deze moet je voor de Belastingdienst beschikbaar houden. Dit betekent dus niet dat iedere intercedent maar toegang tot dat ID moet hebben. Beperk het tot bijvoorbeeld de salarisadministratie. De opdrachtgever mag ook het BSN-nummer van de uitzendkracht opvragen bij het UZB vanwege inlenersaansprakelijkheid. Hij moet ook zelf het ID-bewijs controleren. Dat zijn andere trajecten. Ook hier lost de opdrachtgever zijn probleem vaak op door een kopie ID op te vragen bij de intercedent. Maar dat is niet correct en niet verstandig.

Relatie met AVG Garant
Stichting AVG Garant heeft een groeimodel (prestatieladder) en keurmerk ontwikkeld, dat met name voor uitzendbureaus interessant kan zijn. Vanaf niveau 3 wordt gecontroleerd op naleving van dataminimalisatie. Controle vindt onder meer plaats door te kijken naar het verwerkingenregister, het beleid en het nemen van steekproeven. Meer informatie via info@avggarant.nl. Meld je in 2023 aan en ontvang gratis inschrijving voor dit jaar via de code FG2023.

Voetnoot
[1] Zie: Uitspraak Rechtbank Rotterdam inzake Verzoek tot wissing van persoonsgegevens op grond van artikel 17 lid 1 AVG.

.