Wat is dataminimalisatie?
Dataminimalisatie houdt in de kern in dat niet meer persoonsgegevens dan nodig worden verwerkt. Met dataminimalisatie moet worden voorkomen dat partijen een bulk aan persoonsgegevens verwerken, terwijl zij niet alle gegevens nodig hebben.
Het beginsel van dataminimalisatie komt in meerdere artikelen in de AVG terug, waaronder in de beginselen en in de grondslagen.
Artikel 5 AVG geeft de beginselen die bij iedere verwerking van persoonsgegevens in acht moeten worden genomen. Een daarvan is dat de verwerking van persoonsgegevens “toereikend, ter zake dienend en beperkt zijn tot wat noodzakelijk is” (artikel 5 lid 1 sub c AVG). De AVG zelf noemt dit het principe van minimale gegevensverwerking.
Het principe komt ook terug in artikel 6 AVG. In dit artikel zijn de grondslagen opgenomen op basis waarvan je persoonsgegevens mag verwerken. Elke grondslag, met uitzondering van toestemming, heeft als vereiste dat de gegevensverwerking noodzakelijk moet zijn. Denk aan de grondslagen “noodzakelijk voor de uitvoering van een overeenkomst” en “noodzakelijk voor de vervulling van een taak van algemeen belang”. Wanneer er meer gegevens dan voor die grondslag noodzakelijk worden verwerkt, is een aanvullende grondslag nodig (en dat zal dan vaak toestemming zijn).
Een organisatie die meer persoonsgegevens dan noodzakelijk verwerkt, schendt dus vaak twee wetsartikelen: artikel 5 en artikel 6 AVG.
In de praktijk betekent dit voor organisaties dat zij iedere verwerking van persoonsgegevens kritisch moeten beoordelen. Maak daarom een onderscheid tussen de persoonsgegevens die je als organisatie daadwerkelijk nodig hebt en persoonsgegevens die wellicht handig zijn, maar niet noodzakelijk voor het doel van de verwerking.
Dataminimalisatie: uitspraak rechtbank Rotterdam
Een recente uitspraak laat zien dat dataminimalisatie in de praktijk ook echt van belang is.
In 2017 dient een advocaat namens mevrouw X drie toevoegingsaanvragen in bij de Raad voor Rechtsbijstand. Bij de aanvragen zijn door de advocaat vonnissen toegevoegd waarin bijzondere persoonsgegevens van mevrouw X staan vermeld. Mevrouw X heeft geen toestemming gegeven voor het bijvoegen van de vonnissen. De aanvragen worden door de Raad voor Rechtsbijstand goedgekeurd en de documenten worden in het systeem opgeslagen.
Een half jaar later dient mevrouw X bij de Raad voor Rechtsbijstand een verzoek in tot het verwijderen van de vonnissen uit het systeem. De Raad voor Rechtsbijstand wijst het verwijderingsverzoek af. Mevrouw X is het met de afwijzing oneens en stapt naar de rechter.
Voor de rechtbank stelt de Raad voor Rechtsbijstand dat zij een grondslag heeft voor de verwerking van de vonnissen. De vonnissen zijn onderdeel van de onderbouwing voor de toevoegingsaanvraag. De verwerking van de vonnissen is daarmee noodzakelijk voor de vervulling van een taak van algemeen belang (artikel 6 lid 1 sub e).
De rechtbank gaat hier niet in mee. Het klopt dat de Raad voor Rechtsbijstand zich in beginsel op deze grondslag kan beroepen, maar het loopt spaak op het noodzakelijkheidsvereiste. Noch in de Wet op de Rechtsbijstand, noch in de beleidsregels staat vermeld welke documenten bij een toevoegingsaanvraag moeten worden bijgevoegd. Het is dus onduidelijk welke documenten noodzakelijk zijn voor de beoordeling van een toevoegingsaanvraag. Dit heeft tot gevolg dat ook niet kan worden vastgesteld of de verwerking van vonnissen noodzakelijk is. De rechtbank komt tot het oordeel dat de Raad voor Rechtsbijstand niet voldoet aan het noodzakelijkheidsvereiste en daarmee ook geen grondslag heeft voor de verwerking van de vonnissen. Het verwerken van de vonnissen is onrechtmatig en het verwijderingsverzoek van mevrouw X moet worden toegewezen.
Uit deze uitspraak volgt dat de Raad voor Rechtsbijstand meer gegevens verwerkt dan hij nodig heeft, waardoor hij niet aan het noodzakelijkheidsvereiste voldoet. Voor de Raad voor Rechtsbijstand is het nu van belang om scherp te stellen welke documenten voor hem noodzakelijk zijn voor het beoordelen van toevoegingsaanvragen.
Vertaling naar de praktijk bij uitwisseling van persoonsgegevens
Het beginsel van dataminimalisatie lijkt vanzelfsprekend; verwerk niet meer gegevens dan noodzakelijk. Tegelijkertijd laat de uitspraak van rechtbank Rotterdam zien dat dit in de praktijk vaak complex is. Dataminimalisatie heeft namelijk niet alleen betrekking op gegevens die binnen een organisatie worden verwerkt, maar ook op gegevens die van andere partijen worden ontvangen (zoals hier de advocaat van mevrouw X die de vonnissen naar de Raad voor Rechtsbijstand heeft gestuurd).
Dit keer was het de Raad voor Rechtsbijstand die op zijn vingers werd getikt, maar wie is het de volgende keer? Aan de lopende band worden documenten een-op-een uitgewisseld. Uit de gerechtelijke uitspraak blijkt dat dat niet zomaar kan.
Zowel bij het versturen als het ontvangen van persoonsgegevens moet een beoordeling plaatsvinden of de verwerking daarvan noodzakelijk is. Let er daarom op dat bij het versturen en ontvangen van documenten niet meer persoonsgegevens dan noodzakelijk worden verwerkt. Controleer documenten en schoon deze op voordat je op de verzendknop drukt.
En let wel: de Raad kreeg in dit geval ‘slechts’ de opdracht om de opgeslagen vonnissen alsnog te verwijderen. Zou de Autoriteit Persoonsgegevens echter zijn langsgekomen, dan had er een boete opgelegd kunnen worden vanwege schending van het beginsel van dataminimalisatie. Gelet op de boetebeleidsregels zou de basisboete hiervoor 525.000 euro bedragen, met een bandbreedte die kan oplopen tot 750.000 euro. Sterker nog, omdat er eigenlijk sprake is van twee overtredingen (zie hiervoor) zou zelfs het dubbele boetebedrag opgelegd kunnen worden.
Heeft u vragen over dataminimalisatie? Neem dan gerust contact op. Wij helpen u graag verder.
