Less is More met Dataminimalisatie

Agnes Norrman
By: Agnes Norrman AVG | 2 december

Bedrijven willen de behoeften van hun klanten begrijpen. Hiervoor proberen velen zoveel mogelijk gegevens over hen te verzamelen, denkend dat meer beter is. In deze blogpost bespreken we echter waarom deze mentaliteit een dure aangelegenheid kan zijn. We gaan dieper in op het concept van dataminimalisatie. Je leert waarom het houden van minder gegevens een goede zaak is en hoe dataminimalisatie zich verhoudt tot de AVG.

Wanneer het opslaan van te veel gegevens een probleem wordt

Laten we zeggen dat je werkt als verkoper bij een bedrijf. Een bedrijf dat zoals de meeste, afhankelijk is van terugkerende klanten. Je bedrijf heeft het belang van een persoonlijke relatie met elke klant benadrukt. Echter, je vindt dat veel klanten op elkaar lijken en je vindt het moeilijk om ze van elkaar te onderscheiden. Om de lastige situaties te vermijden waarin je de klant met een ander zou kunnen verwarren, heb je een bestand aangemaakt waarin je informatie over de klant en de onderwerpen van het gesprek dat je met hen hebt gevoerd, opslaat.

Wat je niet hebt overwogen is het risico van het opslaan van deze gegevens, en de naleving van de AVG. Als jouw bedrijf een data-inbreuk zou meemaken – waarbij een onbevoegd persoon toegang krijgt tot jouw bestand met klantgegevens, ben je verplicht dit te melden aan jouw nationale instantie voor gegevensbescherming. Als onderdeel van het proces zul je ook de betrokken klanten moeten informeren dat hun gegevens in handen kunnen zijn van cybercriminelen. Een gesprek dat veel ernstigere gevolgen kan hebben dan het niet herinneren van het laatste gesprek dat je met hen had. Het niet voldoen aan de eisen van de AVG kan bovendien leiden tot een hoge boete voor je organisatie. Ook kan je organisatie negatief in de media terecht komen en een slechte reputatie krijgen, waardoor de klant het vertrouwen in je verliest.

Dataminimalisatie is een onderdeel van de AVG-principes

Toen organisaties de kracht van data begonnen te begrijpen, en hoewel het veel gemakkelijker is geworden om het te verzamelen, hebben velen de impuls gehad om alle data voor altijd op te slaan.

Toen de AVG werd geïmplementeerd, werd deze kwestie in de verordening benadrukt, omdat het fundamentele recht van het individu op bescherming van zijn of haar persoonsgegevens centraal staat. Dat betekent dat organisaties geen gegevens van hun klanten permanent mogen opslaan, omdat dat in strijd is met de bescherming van individuele rechten. Daarom is dataminimalisatie een van de zeven principes van de AVG geworden.

De principes vatten de vele vereisten van de AVG samen en ze zijn een essentiële hulpbron bij het begrijpen van de manier waarop de naleving kan worden bereikt. Ze kunnen zeer nuttig zijn voor kleinere bedrijven die soms niet over de middelen beschikken om deskundigen op het gebied van gegevensbescherming in te zetten om hen te begeleiden bij de naleving.

Dataminimalisatie betekent het beperken van het verzamelen van gegevens tot wat nodig is om een specifiek doel te bereiken, wat overeenkomt met het individuele recht op gegevensbescherming. Het volgen van dit beginsel heeft meerdere voordelen. Als er in jouw organisatie een data-inbreuk zou plaatsvinden, heeft de onbevoegde persoon slechts toegang tot een beperkte hoeveelheid gegevens. Bovendien zullen de gegevens die worden opgeslagen, als gevolg van het verwijderen van verouderde gegevens, nauwkeuriger en actueler zijn.

Het is de verantwoordelijkheid van jouw organisatie om te controleren en te beoordelen hoeveel gegevens essentieel zijn voor je bedrijfsvoering en dat irrelevante gegevens niet verzameld worden. De AVG geeft aan dat bij de behandeling van persoonsgegevens deze adequaat, relevant en beperkt moeten zijn met betrekking tot het vervullen van het doel van de gegevensverzameling. De gegevens moeten dus kunnen voldoen aan dit doel (adequaat); het doel heeft een rationeel verband met de gegevens (relevant); en je organisatie beschikt niet over meer gegevens dan nodig is voor het vastgestelde doel (beperkt).

Smart CTA_e-book NL

De voordelen van dataminimalisatie zijn meer dan de AVG

Veel organisaties kunnen hun gegevensbescherming beperken om aan de eisen van de AVG te voldoen. Sommigen denken misschien dat het minimaliseren van de gegevens alleen maar nodig is om een boete gegevensbeschermingsautoriteit te vermijden. De toepassing van dataminimalisatie zal echter veel meer positieve resultaten opleveren.

Dataminimalisatie verkleint het risico van gegevensverlies en -schendingen, omdat het aanhouden van minder gegevensbestanden de kans op schade verkleint. Het creëert een efficiëntere gegevensopslag; je team moet minder tijd besteden aan het doorzoeken van archieven en de gegevens die ze opvragen zijn accurater omdat ze er zeker van kunnen zijn dat de gegevens niet verouderd zijn. Bovendien zorgt het voor een snellere respons op verzoeken, omdat er minder gegevens zijn om naar te kijken. Het geeft je ook een meer tevreden klant. Veel klanten worden zich meer en meer bewust van de waarde van hun persoonsgegevens; ze zullen een bedrijf meer vertrouwen als ze weten dat hun gegevens niet misbruikt worden. Tot slot zorgt dataminimalisatie voor lagere kosten. Omdat alle gegevensopslag geld kost, bespaart je organisatie met minder gegevens een deel van de kosten.

Hoe je dataminimalisatie in jouw organisatie kan implementeren

Als je dataminimalisatie in jouw bedrijf wilt implementeren, kan je de volgende richtlijnen volgen die je in de juiste richting zullen helpen.

Begin ten eerste met het verminderen van je gegevensverzameling. Je organisatie moet bepalen welke gegevens nodig zijn voor je bedrijfsvoering, en welke niet. Je moet ook duidelijke en gedefinieerde protocollen opstellen waarop medewerkers toegang hebben tot specifieke gegevens. Zo is het bijvoorbeeld relevant dat de persoon die verantwoordelijk is voor de betaling van het salaris wel over bankinformatie van het personeel beschikt, maar dat zijn geen relevante gegevens voor een medewerker van de klantenservice.

Ten tweede, het regelmatig beheren van gegevens. De gegevens zullen vroeg of laat verouderd zijn, wat in overweging moet worden genomen. Met dataminimalisatie zorg je ervoor dat de databases regelmatig bijgewerkt worden om alleen de relevante informatie te bewaren.

Ten derde, verwijder de gegevens systematisch. Dit is een kernaspect van dataminimalisatie. Wanneer gebruikersgegevens oud zijn, zijn ze nutteloos voor je organisatie en nemen ze alleen maar onnodige ruimte in beslag. Je moet er zeker van zijn dat alle gegevens in je organisatie waardevol zijn.

Hier kan je meer lezen over onze awareness trainingsmodule over dataminimalisatie.

Hoe dataminimalisatie in de dagelijkse praktijk wordt toegepast

Het opstellen van algemene richtlijnen voor het bereiken van dataminimalisatie is een goed begin. Je zult je medewerkers echter ook de juiste mindset moeten aanleren die ze in de dagelijkse praktijk kunnen gebruiken. De juiste aanpak van de medewerkers is de basis voor naleving, zowel als het gaat om dataminimalisatie en de AVG, maar ook om de algehele cybersecurity van je organisatie.

Wanneer je team data verzamelt, moeten ze vijf vragen onthouden die moeten worden beantwoord voordat de gegevens worden verkregen:

  1. Hoe ga ik deze gegevens gebruiken?

  2. Weet de eigenaar van de gegevens dat ik ze verzamel?

  3. Weet de eigenaar waarom?

  4. Kan ik het doel bereiken zonder deze gegevens?

  5. Hoe lang heb ik deze gegevens nodig? 

Door deze vragen te stellen, zal je team begrijpen wat voor soort gegevens je organisatie moet opslaan en wat je niet kunt opslaan.

Wanneer je organisatie de richtlijnen volgt en de medewerkers zich de vragen herinneren, bereik je daarmee dataminimalisatie en voldoe je aan de AVG.