Zorg als organisatie voor dataminimalisatie! Laten we eerst beginnen met wat dataminimalisatie inhoudt:
Bij het verzamelen en verwerken van persoonsgegevensmogen niet meer gegevens worden gebruikt dan nodig is om het doel waarvoor ze gebruikt zullen worden te bereiken.
Sinds ik het begrip dataminimalisatie vorig jaar voor het eerst hoorde, heb ik bijna elke week wel een concrete voorbeeld gezien hoe het niet meer mag. Vooral in koppelingen met allerlei externe systemen wordt voor de zekerheid maar zoveel mogelijk gegevens naar Moodle gestuurd.
Overigens bestaat het beginsel van dataminimalisatie al in de huidige wetgeving. Nieuw is echter dat het ook een onderdeel is van het vereiste Privacy by Design. Dit houdt in dat bij de ontwikkeling van nieuwe producten en diensten organisaties zo vroeg mogelijk aandacht moeten besteden aan het beschermen van de persoonsgegevens en zo ook aan dataminimalisatie. Maar Moodle is al ontwikkeld en het aantal standaardprofielvelden bij een Moodle gebruiker is groot. Daarnaast kunnen er onbeperkt extra profielvelden aangemaakt worden.
Wat kan je nu doen om te voldoen aan de wettelijke eis van dataminimalisatie? Ik denk dat maar één vraag centraal staat:
Ga na bij elk (extra) profielveld of het echt nodig is om het online leren te kunnen managen?
Is het personeelsnummer echt nodig? Moet een telefoonnummer van een cursist in Moodle staan als deze ook in een CRM-pakket staat? Zijn de logfiles van drie jaar geleden met alle IP-adressen van ingelogde gebruikers nodig om te bewaren?
Bedenk ook dat je alle type gegevens die je als Verwerkersverantwoordelijke verwerkt, moet registeren. Ook als een externe partij de Verwerker is. En hoe minder gegevens je verwerkt (dataminimalisatie), hoe minder werk je hebt aan dat verplichte register.
Je moet ingelogd zijn om een reactie te plaatsen.