Dataminimalisatie
Dataminimalisatie is een kernprincipe van de AVG dat voorschrijft dat alleen de persoonsgegevens mogen worden verzameld en verwerkt die strikt noodzakelijk zijn voor het aangegeven doel. Dit principe verplicht organisaties om elk verzameld gegeven te rechtvaardigen en elke buitensporige ophoping van informatie te vermijden.
Vastgelegd in artikel 5, lid 1, onder c), van de AVG vereist dataminimalisatie dat persoonsgegevens 'toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt' zijn. Dit principe is van toepassing vanaf het systeemontwerp (privacy by design) en gedurende de gehele levenscyclus van de gegevens.
Op het gebied van KYC vormt dataminimalisatie een bijzondere uitdaging. Wettelijke verplichtingen vereisen het verzamelen van uitgebreide informatie (identiteitsdocument, adresbewijs, herkomst van middelen), maar het principe verbiedt verder te gaan dan strikt noodzakelijk. Een identiteitsverificatie voor een basisbankrekening rechtvaardigt bijvoorbeeld niet het opvragen van een salarisstrook als de regelgeving dit niet vereist.
Moderne documentverificatieoplossingen integreren dit principe door 'selectieve verificatie'-benaderingen aan te bieden: alleen de noodzakelijke velden uit een document extraheren, niet-relevante informatie automatisch afschermen en documentkopieën verwijderen zodra de verificatie is afgerond. Deze aanpak vermindert de blootstelling bij een datalek en vereenvoudigt de AVG-naleving.
Regelgeving
Praktijkvoorbeelden
- 1.Een vastgoedverhuurplatform vraagt om een kopie van het paspoort, bankafschriften van drie maanden en een belastingaangifte: de Autoriteit Persoonsgegevens oordeelt dat het verzamelen van bankafschriften onevenredig is voor een eenvoudige identiteitsverificatie van een huurder.
- 2.Een identiteitsverificatiedienst configureert zijn systeem om alleen de naam, geboortedatum en foto uit een identiteitsdocument te extraheren, zonder het burgerservicenummer op te slaan dat op bepaalde documenten zichtbaar is.
- 3.Een accountantskantoor verwijdert automatisch kopieën van identiteitsdocumenten 30 dagen na de klantvalidatie en bewaart alleen een verificatiehash en de controledatum.