Menu

Wat houdt ‘Het beginsel van de minimale gegevensverwerking’ in?

Het beginsel van de minimale gegevensverwerking wordt als volgt geformuleerd in de GDPR: “Persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.”

18-08-2020 - door Frankie Schram

Anders dan richtlijn 95/46/EG die stelde dat de persoonsgegevens niet bovenmatig mochten zijn, stelt de GDPR dat “de persoonsgegevens moeten worden beperkt tot wat noodzakelijk is”. De gewijzigde formulering wordt geacht weinig effect te hebben op de draagwijdte van het beginsel van de minimale gegevensverwerking, al is ze heel wat strikter1. Deze aangepaste formulering schijnt bovendien in te houden dat de verwerkingsverantwoordelijke moet kunnen aantonen dat er geen andere wijze bestaat om in het gegeven geval op een minder ingrijpende wijze hetzelfde doeleinde te bereiken.2

Dat de gegevens toereikend moeten zijn, betekent dat de verwerking voldoende gegevens bevat om het beoogde doel te bereiken.3 Dat de gegevens terzake dienend moeten zijn, houdt in dat ze het beoogde doel ‘dienen’.4 De gegevens moeten dus relevant zijn voor het beoogde doel. Dat de gegevens beperkt moeten zijn tot wat noodzakelijk is voor de doeleinden waarvoor ze worden verwerkt, houdt onder meer in dat moet worden nagegaan of het beoogde doel niet kan worden bereikt met minder persoonsgegevens of met minder privacyinvasieve persoonsgegevens.5

Dit vereist met name dat ervoor wordt gezorgd dat de opslagperiode van de persoonsgegevens tot een strikt minimum wordt beperkt. Persoonsgegevens mogen alleen worden verwerkt indien het doel van de verwerking niet redelijkerwijs op een andere wijze kan worden verwezenlijkt. Om ervoor te zorgen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is, dient de verwerkingsverantwoordelijke termijnen vast te stellen voor het wissen van gegevens of voor een periodieke toetsing ervan.6 Het is duidelijk dat iemand geen persoonsgegevens mag verwerken als het gaat om een buitensporig groot aantal data. Maar men mag ook niet op eenvoudige wijze gegevens verwerken als dit een disproportionele inmenging met zich zou meebrengen in de rechten en belangen van het datasubject. Het ‘beperkt tot wat noodzakelijk is’-criterium vereist ook te verzekeren dat de periode waarbinnen de persoonsgegevens worden bewaard, tot een strikt minimum is beperkt (zie het principe van de opslagbeperking).

Het beginsel van de minimale gegevensverwerking werd in het verleden ook wel ‘het proportionaliteitsbeginsel’ genoemd. De volgende aspecten van het proportionaliteitsbeginsel kunnen worden onderscheiden:

• een verwerkingsverantwoordelijke mag dus niet zomaar “alle” persoonsgegevens van een betrokkene verwerken. Hij dient af te wegen welke persoonsgegevens er effectief relevant zijn voor de verwezenlijking van de doeleinden van de beoogde verwerking;

• een verwerkingsverantwoordelijke moet zorgen voor een permanente kwaliteitszorg van de verzamelde persoonsgegevens. Dit betekent dat hij moet toezien op de nauwkeurigheid van de verwerking en zo nodig onnauwkeurige persoonsgegevens moet bijwerken. Concreet dient hij hiertoe alle redelijke maatregelen te treffen om de persoonsgegevens die onnauwkeurig of onvolledig zijn, uitgaande van de doeleinden waarvoor ze worden verkregen of waarvoor ze verder worden verwerkt, uit te wissen of te verbeteren. Ook wordt verwacht dat alle te verwerken persoonsgegevens up-to-date en volledig zijn;

• een verwerkingsverantwoordelijke moet garanderen dat de persoonsgegevens niet zomaar kunnen worden gewijzigd of gewist. Hiervoor dient hij de nodige organisatorische en technische maatregelen te nemen.

Het beginsel van de minimale gegevensverwerking kan moeilijk van toepassing zijn in situaties waarin het nagestreefde doel steeds beter gediend is als men beschikt over een groot aantal persoonsgegevens. In dit geval staat het beginsel van de minimale gegevensverwerking haaks op de operationele imperatieven. De eerbied voor het principe van dataminimalisatie mag echter niet op een geïsoleerde wijze worden beschouwd ten aanzien van de andere voorwaarden die op een verwerking van toepassing zijn. Gaat het om voorspellende analyses, dan bevat de GDPR belangrijke nieuwe noties, zoals de profilering, het recht om te wissen of de impactbeoordelingsanalyse, die toelaten om deze activiteit indirect te omkaderen en de risico’s voor de individuele rechten en vrijheden te beperken. Om die reden is het mogelijk om op het niveau van de principes de massale inzameling van gegevens voor voorspellende analyse te rechtvaardigen. Hoe groter het aantal persoonsgegevens immers zijn, des te betrouwbaarder de analyses zullen zijn, op voorwaarde dat kan worden aangetoond dat de verwerkingsverantwoordelijke effectief een legitiem doel nastreeft en het geheel van de bepalingen van de GDPR eerbiedigt.7

Zie ook Frankie Schram - Handboek Privacy & Persoonsgegevens 2e editie

1. A. BENSOUSSAN (ed.), Règlement européen sur la protection des données. Textes, commentaires et orientations pratiques, Brussel, Larcier, 2016, 80.

2. Al onder de richtlijn 95/46 is het Hof van Justitie tot die bevinding gekomen: HvJ 20 mei 2003, C-465/00, C-138/01 en C-139/01, Rechnungshof, § 88.

3. D. DE BOT, Verwerking van persoonsgegevens, Antwerpen, Kluwer, 2001, randnr. 162; B.DOCQUIR, Le droit de la vie privée, Larcier, 2008, 133.

4. D. DE BOT, Verwerking van persoonsgegevens, Antwerpen, Kluwer, 2001, randnr. 162; B. DOCQUIR, Le droit de la vie privée, Larcier, 2008, 132.

5. B. DOCQUIR, Le droit de la vie privée, Larcier, 2008, 132.

6. Overweging 39 van de GDPR.

7. B. DOCQUIR, Droit du numérique. Contrats, innovation, données et sécurité, (Répertoire pratique du droit belge. Législation, Doctrine, Jurisprudence), Brussel, Larcier, 2018, 423.

Ook interessant

Recht

Privacy & Persoonsgegevens: functionaris voor de gegevensbescherming: Cahier | 2de editie

Frankie Schram

Bestel

Recht

Big Data Rapport

Cliff Beeckman
Frank De Smet
Dieter Verhaeghe

Bestel

Recht

Codex algemene verordening gegevensbescherming

Dirk De Bot

Bestel

Recht

Reeks Privacy & Persoonsgegevens

Frankie Schram

Bestel