Gegevensminimalisatie
Het principe dat organisaties alleen de persoonsgegevens mogen verzamelen en verwerken die strikt noodzakelijk zijn voor het vastgestelde doel.
Gegevensminimalisatie is een fundamenteel beginsel onder de GDPR (Artikel 5(1)(c)) dat stelt dat persoonsgegevens toereikend, ter zake dienend en beperkt moeten zijn tot wat noodzakelijk is in relatie tot de doelen waarvoor ze worden verwerkt. In de praktijk betekent dit dat organisaties alleen de gegevens mogen verzamelen die ze daadwerkelijk nodig hebben, het verzamelen van gegevens op de aanname dat ze later nuttig zouden kunnen zijn moeten vermijden, en hun gegevensverzamelingspraktijken regelmatig moeten evalueren om te waarborgen dat ze evenredig blijven.
Het toepassen van gegevensminimalisatie op websites betekent het zorgvuldig evalueren van elk formulierveld, elke trackingtechnologie en elk gegevensverzamelpunt. Heeft u werkelijk een geboortedatum nodig voor een nieuwsbriefaanmelding? Moet uw analysetool volledige IP-adressen verzamelen? Bewaart u gegevens langer dan nodig? Toezichthouders verwachten in toenemende mate dat organisaties aantonen hoe zij het beginsel van gegevensminimalisatie in hun systeemontwerp hebben toegepast, een concept dat bekend staat als gegevensbescherming door ontwerp en standaard (Artikel 25 GDPR). Schendingen van dit beginsel hebben geleid tot aanzienlijke boetes, met name in gevallen waar organisaties buitensporig veel gegevens verzamelden via formulieren of onevenredige tracking inzetten.