Dataminimering

Dataminimering er et grundlæggende GDPR-princip, der kræver, at du kun indsamler og behandler persondata, som er tilstrækkelige, relevante og begrænset til det nødvendige. Princippet forhindrer, at organisationer samler data "for en sikkerheds skyld".

Tilbage til ordbog

Indholdsfortegnelse

    Hvad er dataminimering?

    Dataminimering er et af de syv grundlæggende principper i GDPR artikel 5, stk. 1, litra c. Princippet fastslår, at persondata skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles.

    I praksis betyder det, at du som dataansvarlig ikke må indsamle mere data, end du har brug for. Du skal kunne begrunde hvert enkelt datapunkt med et konkret formål. "Vi kan måske bruge det senere" er ikke et gyldigt argument.

    Dataminimering hænger tæt sammen med formålsbegrænsning. Først definerer du formålet, og derefter vurderer du, hvilke data der er nødvendige for at opfylde det.

    De tre krav til dataminimering

    GDPR stiller tre samtidige krav til de persondata, du behandler:

    • Tilstrækkelige: Du skal indsamle nok data til at opfylde formålet. Indsamler du for lidt, kan du ikke levere den tjeneste eller opfylde den forpligtelse, der er grundlaget for behandlingen.
    • Relevante: Hver type data skal have en direkte forbindelse til formålet. Irrelevante data skal du ikke indsamle.
    • Begrænset til det nødvendige: Selv relevante data skal begrænses til det minimum, der er nødvendigt. Kan du opnå formålet med færre data, skal du gøre det.

    Kravet gælder ikke kun ved indsamling. Du skal også løbende vurdere, om du stadig har brug for de data, du opbevarer. Data, der ikke længere er nødvendige, skal slettes eller anonymiseres.

    Dataminimering i praksis

    Dataminimering starter allerede i designfasen. Når du udvikler formularer, systemer eller processer, der indsamler persondata, bør du spørge for hvert felt: "Er dette strengt nødvendigt for formålet?"

    Konkrete tiltag du kan implementere:

    • Gennemgå alle kontaktformularer og fjern felter, der ikke er nødvendige
    • Indfør automatiske sletterutiner, der fjerner data efter den fastsatte opbevaringsperiode
    • Brug pseudonymisering eller anonymisering , når fuld identifikation ikke er nødvendig
    • Begræns adgang via adgangskontrol , så medarbejdere kun ser de data, de har brug for
    • Dokumentér for hver behandlingsaktivitet i din fortegnelse , hvorfor de indsamlede data er nødvendige

    Privacy by design gør dataminimering til en integreret del af systemudviklingen. Det er lettere at designe korrekt fra starten end at fjerne overflodig dataindsamling bagefter.

    Sammenhæng med andre GDPR-principper

    Dataminimering står ikke alene. Det hænger sammen med flere andre GDPR-principper:

    • Formålsbegrænsning: Du kan kun vurdere, hvad der er "nødvendigt", når du har defineret et klart formål.
    • Opbevaringsbegrænsning: Data skal slettes, når formålet er opfyldt. Det er den tidsmæssige dimension af dataminimering.
    • Rigtighed: Færre data betyder færre risici for unøjagtige oplysninger.

    Dataminimering reducerer også risikoen ved databrud. Jo mindre data du opbevarer, desto mindre skade kan et brud forårsage for de registrerede.

    En konsekvensanalyse (DPIA) kan hjælpe dig med at identificere, hvor du indsamler flere data end nødvendigt. Din DPO bør regelmæssigt gennemgå jeres dataminimeringspraksis.

    Ofte stillede spørgsmål om dataminimering

    Hvad betyder dataminimering i GDPR?

    Dataminimering betyder, at du kun må indsamle og behandle persondata, der er tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt for det specifikke formål. Du må ikke indsamle data "for en sikkerheds skyld" eller til fremtidig, ubestemt brug.

    Hvordan implementerer man dataminimering i praksis?

    Start med at gennemgå alle formularer, systemer og processer, der indsamler persondata. For hvert datapunkt skal du kunne begrunde, hvorfor det er nødvendigt for det specifikke formål. Fjern felter, der ikke er strengt nødvendige, og indfør sletterutiner for data, du ikke længere har brug for.

    Hvad er forholdet mellem dataminimering og anonymisering?

    Anonymisering kan være et værktøj til dataminimering. Hvis du kan opfylde dit formål med anonymiserede data, bør du vælge den løsning, da anonymiserede data ikke er persondata og dermed ikke er omfattet af GDPR.

    Kan man få bøder for manglende dataminimering?

    Ja. Dataminimering er et af de grundlæggende principper i GDPR artikel 5. Overtrædelse af principperne kan medføre bøder på op til 20 mio. euro eller 4 % af den globale årsomsætning.

    +400 virksomheder bruger .legal
    Region Sjælland
    Aarhus Universitet
    aj_vaccines_logo
    Realdania
    Right People
    IO Gates
    PLO
    Finans Danmark
    geia-food
    Vestforbrænding
    Evida
    Klasselotteriet
    NRGI1
    BLUE WATER SHIPPING
    Karnov
    VP Securities
    AH Industries
    Ingvard Christensen
    Lægeforeningen
    InMobile
    AK Nygart
    DEIF
    DMJX
    KAUFMANN (1)
    qUINT Logo
    Axel logo
    SMILfonden-logo
    skodsborg_logo-1
    nemlig.com
    Molecule Consultancy
    Novicell
    Footer topswirl

    Info

    .legal A/S

    hello@dotlegal.com
    +45 7027 0127

    CVR: 40888888

    Support

    support@dotlegal.com
    +45 7027 0127
    Brug for hjælp?

     

    Kontor

    Aarhus

    Store Torv 14, 2. sal
    8000 Aarhus C

    Vi går op i sikkerhed

    Download vores erklæringer:

    ISAE 3000

    ISAE 3402

    Moduler

    Lad mig hjælpe jer i gang

    joa i blob
    Jeg står klar til at hjælpe jer i gang. Fang mig på +45 7027 0127
    arrow-right-white Få en demo

    .legal er ikke en advokatvirksomhed og er derfor ikke under tilsyn af Advokatrådet.

    Footer bottomswirl