'Wat je niet hebt kan je ook niet kwijtraken'
Elke verwerking van persoonsgegevens brengt risico’s en verantwoordelijkheden met zich mee.
'Wat je niet hebt kan je ook niet kwijtraken.' Wie het was die aan de hand van deze zin de AVG toelichtte, weet ik niet meer, maar alle credits voor diegene. Ik hergebruik de quote, omdat deze zo treffend het concept van dataminimalisatie illustreert. Eén van de beginselen van de AVG is dat elke verwerking van persoonsgegevens 'toereikend, ter zake dienend en beperkt dient te zijn tot wat noodzakelijk is' (art. 5 lid 1 sub c AVG). Dat noemen we minimale gegevensverwerking, of dataminimalisatie.
Elke verwerking van persoonsgegevens brengt risico’s en verantwoordelijkheden met zich mee. U bent als verwerkingsverantwoordelijke organisatie verplicht de gegevens up to date en correct te houden. Ook moet u de gegevens passend beveiligen. De persoonsgegevens kunnen interesse wekken van hackers, of op onhandige wijze per ongeluk met onbevoegden gedeeld worden. U zult zich moeten inspannen om deze gevaren van binnen en buiten de organisatie te beperken. En dan begin ik nog niet eens over doelspecificatie en doelbinding. Kortom: best veel gedoe, die verwerking van persoonsgegevens.
Een ski-ongeval is nog het makkelijkst te voorkomen door niet te gaan skiën. De risico’s op datalekken zijn het makkelijkst te verkleinen door geen overbodige data te gebruiken. Want zoals de titel al zegt: 'wat je niet hebt, kan je ook niet kwijtraken'.
Wees dus niet verbaasd wanneer uw FG aan u vraagt 'waarom doen we dit eigenlijk?'. Zij doet dit niet om moeilijk te doen, maar wil graag helpen het dode hout weg te snoeien. Soms komt een intern jurist aangesneld om u in te fluisteren dat 'het wel degelijk mag van de wet'. Dat is mooi, maar geen antwoord op de vraag.
Natuurlijk ‘mag’ ik gaan skiën, maar wil ik het ook? En pas daarna ga ik afwegen of ik het de risico’s waard vind. En dat gaat nog over een risico voor mezelf. In uw geval, als bestuurder in het openbaar bestuur, staat wel meer op het spel; het vertrouwen van de burger dat u op juiste wijze met haar gegevens omgaat!
Van een gemeentelijk FG hoorde ik dat naar aanleiding van zijn ‘waarom’-vraag na initiële irritatie vol verbazing meerdere (!) gegevensverwerkingen werden gevonden die al jaren liepen, zonder dat iemand nog wist waarom eigenlijk. Ja, het ‘mocht’, er was een procesuitvoerder, maar verder deed niemand er iets mee, dat niet op een andere manier zonder die gegevens ook had gekund. Dat is niet alleen inefficiënt, het maakt ook onnodig kwetsbaar. Het is al moeilijk genoeg de écht benodigde gegevens veilig te houden.
Een andere reden om te vragen naar het ‘waarom’ bij het checken op dataminimalisatie is dat wanneer het antwoord is: 'alleen voor zeer incidenteel gebruik' gelijk de alarmbellen mogen afgaan. Want laten we eerlijk zijn: die ‘zeer uitzonderlijke gevallen’ waarin u deze gegevens écht goed kunt gebruiken en écht ‘nodig’ hebt…hoe uitzonderlijk blijven deze?
Is dat niet hetzelfde als één chipje nemen? Of twee, of een handje chips, en voor je het weet is de zak leeg? Het vraagt (te)veel zelfbeheersing van een organisatie om een gegevensstroom of tools in de lucht te houden waarvan men alleen in zeer uiterste gevallen gebruik zou mogen maken. Misschien krijgt u het juridisch nét sluitend onderbouwd, maar is dat het risico waard?
Als u wil dat thuis geen chips gegeten wordt, is het slim om helemaal geen chips in huis te halen. Zo ook met gegevens. Daarom: Wat je niet hebt kan je niet kwijtraken. ‘En ook niet opeten’, zou ik eraan toe willen voegen.
Volgens mij was dat Tim Bijvoet (2019)
Dat neemt niet weg dat er duizenden ambtenaren zijn die nog steeds menen 'altijd handig om erbij te hebben', al dan niet geforceerd door 'beleidsdwang'. AVG-cursussen en van gemeenschapsgeld betaalde workshops 'met lunch en naslagwerk' en een wegkijkende FG ten spijt.
Voor de rest een artikel dat menigeen ter harte kan nemen.
Per slot kan het ook om uw eigen persoonsgegevens gaan.