Dataminimalisatie is een buzzwoord onder veel privacyprofessionals. Veel mensen associëren het met het schrappen van datavelden op invulformulieren. Maar het principe, zoals verwoord in art. 5 lid 1 sub c AVG, gaat veel verder dan dat. Dat leg ik even uit.
Elke gegevensverwerking moet voldoen aan de principes genoemd in art. 5 lid 1 AVG, dus ook dataminimalisatie. ‘Gegevensverwerking’ is een microbegrip: verzamelen, opslaan, raadplegen, verstrekken, verwijderen; het zijn allemaal losse ‘verwerkingen’. Het kan dus voorkomen dat je aan het begin van het proces meer gegevens moet (en dus mag) verzamelen, maar in een later stadium minder data nodig hebt (en dus niet mag gebruiken). Dat je alle gegevens mag verzamelen, wil dus niet zeggen dat je steeds alle gegevens mag gebruiken.
Bij de datahack van een laboratorium, dat onder meer het bevolkingsonderzoek naar baarmoederhalskanker uitvoert, zijn veel gegevens buitgemaakt. Naast namen en woonadressen van patiënten zijn ook hun burgerservicenummers en de uitgevoerde medische onderzoeken op het dark web gepubliceerd.
Welke data zijn echt nodig?
Dat je als BVO of ziekenhuis voor de communicatie iemands naam en adres nodigt hebt om de uitslag te kunnen communiceren, wil niet zeggen dat het laboratorium die gegevens óók nodig heeft. Op zich heeft het lab voor het doen van laboratoriumonderzoek niet meer nodig dan het te onderzoeken monster gekoppeld aan een unieke sleutel (pseudo-ID). Echter, als het voor het lab nodig is (lees: objectief onmisbaar, HvJ EU, Meta Platforms) om een bepaald demografisch gegeven te weten (bijv. geslacht, leeftijd) om het onderzoek goed te kunnen uitvoeren of daarover goed terug te rapporteren, dan mag dat ook verstrekt worden. Maar ik zou niet weten waarom een lab iemands naam en adres nodig heeft (tenzij het lab ook namens BVO – dus als verwerker – de uitslag aan de betrokkene zou versturen).
Medische data meest gevoelig
Volgens het Europees Hof voor de Rechten van de Mens behoren medische gegevens tot de meeste gevoelige data die er zijn. Niet alleen vanwege privacy, maar ook vanwege het risico op stigmatisering en uitsluiting en het behoud van vertrouwen in de zorg.
Juist in de zorg mag je dus verwachten dat ze dataminimalisatie en privacy-by-design hoog in het vaandel hebben staan, zodat áls het onverhoopt tóch fout gaat, de impact op de betrokkene ook minimaal blijft. Alleen de medische informatie beveiligen tegen indringers is niet genoeg. Art. 5 lid 1 sub c en 25 AVG hebben immers een wezenlijk andere scope dan art. 5 lid 1 sub f en 32 AVG.
Tip aan bestuurders
Vraag niet alleen of de informatiebeveiliging op orde is, maar kijk ook of in de architectuur van het proces dataminimalisatie en privacy-by-design is toegepast.
En wil je je als bestuurder in een avondje snel inlezen in dit onderwerp voor die ‘kan-dit-ook-ons-overkomen’-bestuursvergadering deze week? Lees dan het Blauwe Boekje van Jaap-Henk Hoepman. Dan kan je de juiste vragen stellen. En dan hoef je als jouw organisatie aan de beurt is (want ja, een datalek op z’n tijd hoort erbij), ook niet te zeggen dat je “er heel erg van bent geschrokken”. Juist in de zorg is privacy en informatiebeveiliging chefsache!
Lees ook:
