Datalekken bij grote bedrijven, websites die gehackt worden, privacy-regels die geschonden worden … Hoe zit het met de wetgeving rond privacy en data? Hoe moet je daarmee omgaan als bedrijf? Wat is dataminimalisatie en hoe moet dat geïmplementeerd worden?
Dataminimalisatie in theorie
Vaak moet je bij het online inschrijven voor een nieuwsbrief een waslijst aan gegevens invullen. Naast naam en e-mailadres wordt er ook (optioneel) gevraagd naar functietitel, woonplaats, telefoonnummer … om het individuele klantprofiel te verrijken.
Dataminimalisatie zorgt ervoor dat enkel de strikt noodzakelijke gegevens opgevraagd worden om het doel te bereiken. Zo volstaat het opgeven van het e-mailadres al bij het inschrijven voor een nieuwsbrief bijvoorbeeld.
Dataminimalisatie in de praktijk
Dataminimalisatie werd eerder al opgenomen in de GDPR (General Data Protection Regulation), maar wordt nu verder uitgebreid. De GDPR gaat uit van een businessmodel waarbij zo weinig mogelijk data wordt verzameld, terwijl business intelligence- en data-analisten net die data nodig hebben. De GDPR staat haaks op het principe van datawarehousing of big data. Belangrijk is om dat probleem te tackelen.
Concreet betekent dat dat dataminimalisatie een wettelijke vereiste blijft voor organisaties, maar dat er ook het onderdeel ‘Privacy by Design’ bijkomt. Dat houdt in dat tijdens de ontwikkeling van nieuwe diensten of producten de organisatie zo vroeg mogelijk in het proces aandacht besteedt aan de bescherming van de persoonsgegevens en aan dataminimalisatie. Best is om te starten met de vraag: “Welke persoonsgegevens heb ik echt nodig om mijn dienst of product af te leveren?” Bij een online formulier bijvoorbeeld verwijder je alle optionele velden, zodat er niet meer gegevens worden verzameld dan noodzakelijk.
Anonimisering en data fading als oplossing
Als je toch extra gegevens opvraagt, wees dan altijd duidelijk waarvoor ze gebruikt zullen worden. Daarnaast kan je ervoor zorgen dat de data zo snel mogelijk geanonimiseerd worden. Je kan dan de gegevens bewaren en gebruiken zonder dat ze tot een individueel persoon herleidbaar zijn.
Data fading is een andere optie. De verzamelde persoonsgegevens worden geleidelijk aan geaggregeerd. Bij een levering van een product, bijvoorbeeld, zijn de adresgegevens van de consument nodig. Als het pakketje geleverd is, zijn de gegevens niet meer noodzakelijk. Voor de organisatie zijn die wel nog relevant om te kunnen bepalen wat de beste locatie is om een nieuwe vestiging te openen. Hiervoor heeft de organisatie niet het exacte adres nodig, maar volstaat de locatie op stadsniveau.
Zin in meer? Wil je up-to-date blijven over de nieuwe regelgeving rond privacy en data? Wil je weten hoe je om moet gaan met dataminimalisatie? Bekijk dan zeker het uitgebreid opleidingsaanbod van privacy & security.
Bron: Privacy Company
