Minder is veiliger: dataminimalisatie in de praktijk

Share

Om criminele zaken efficiënter op te lossen is het initiatief Burgernet ontstaan. Gebruikers van de app krijgen een melding wanneer er in de buurt een misdaad is gepleegd. Uit een onderzoek van Stichting Privacy First blijkt echter dat onduidelijk is in hoeverre de privacy van de gebruikers wordt gewaarborgd.

Uit een samenwerkingsverband tussen politie, gemeenten en burgers is Burgernet ontstaan. Burgernet heeft als doel om criminele zaken efficiënt op te lossen. Burgers die gebruikmaken van de Burgernetapp krijgen een melding wanneer er in de buurt bijvoorbeeld een inbraak of beroving is geweest. Stichting Privacy First heeft de bescherming van privacy van Burgernet beoordeeld en de resultaten zijn zorgwekkend.

Privacy First constateert dat het privacybeleid van de app van Burgernet op meerdere vlakken niet volledig transparant en duidelijk is. Het gaat daarbij om vragen als wat exact het doel is waarvoor de gegevens worden verwerkt en wie de eigenaar is van de data. Andere knelpunten zijn gerelateerd aan het toestemmingsvereiste, de doelbinding en het beginsel van dataminimalisatie.

Naar aanleiding hiervan heeft Kamerlid Van Nispen aan de Minister voor Rechtsbescherming Kamervragen gesteld om opheldering te verkrijgen omtrent de privacyrechtelijke knelpunten.

Het beginsel van dataminimalisatie is een van de zaken die Privacy First aan de orde stelt. De Burgernetapp vraagt namelijk naast de noodzakelijke live locatie van de gebruiker, ook naar de postcode en het huisnummer van de gebruiker.

In deze blog wordt getracht een antwoord te geven op de vraag: Heeft Burgernet voldaan aan het beginsel van dataminimalisatie? Om tot een antwoord te komen wordt allereerst uiteengezet wat het beginsel van dataminimalisatie inhoudt.

Dataminimalisatie

Dataminimalisatie wil zeggen dat er niet meer persoonsgegevens verwerkt worden dan nodig zijn om het doel van de verwerking te bereiken. Hiermee wordt getracht te voorkomen dat excessieve hoeveelheden data worden verwerkt, terwijl deze niet noodzakelijk zijn. Zowel in de AVG als in de rechtspraak van het Europese Hof voor de Rechten van de Mens (EHRM) komt het beginsel van dataminimalisatie – al dan niet in een andere bewoording – terug. Zo heeft het EHRM in het Santander-arrest bepaald dat aan het beginsel van dataminimalisatie moet worden voldaan, ook wanneer sprake is van toestemming voor de verwerking. Toestemming van de betrokkene geeft dus geen vrijbrief voor het opslaan en verwerken van disproportionele hoeveelheden data.

In de AVG komt het beginsel van dataminimalisatie meerdere malen terug. Zo staat onder meer in artikel 5 lid 1 sub c AVG dat de verwerking van persoonsgegevens ‘toereikend, ter zake dienend en beperkt moet zijn tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt’. Dataminimalisatie wordt in de AVG benoemd als het principe van ‘minimale gegevensverwerking’. Wanneer meer gegevens worden verwerkt dan noodzakelijk zijn om het doel te bereiken, schendt een organisatie de artikelen 5 en 6 van de AVG.

Burgernet

In een artikel van RTL Nieuws verklaart een politiewoordvoerder dat wel wordt voldaan aan het beginsel van dataminimalisatie en dat de gegevens worden opgeslagen in een beveiligde politieomgeving. Als reactie op de vraag van Privacy First waarom het privé-adres aan gebruikers wordt gevraagd, stelt de politiewoordvoerder dat gebruikers van Burgernet ook kunnen deelnemen aan digitale buurtonderzoeken. Dit is een extra functie in de app, waarbij de gebruiker een e-mail ontvangt vanuit een politieteam als er een misdaad is gepleegd in de woonwijk van de gebruiker. Om deel te nemen aan het digitale buurtonderzoek is het woonadres wel nodig.

Dit is echter wel tegenstrijdig met de privacyverklaring van Burgernet. Daarin staat namelijk dat postcode, huisnummer, telefoonnummer en e-mailadres worden opgeslagen zodra iemand zich inschrijft voor Burgernet. Er staat niet dat deze gegevens enkel opgeslagen zullen worden wanneer gebruik wordt gemaakt van de extra functionaliteit digitale buurtonderzoeken.

Zo bezien trekt Privacy First terecht de conclusie dat Burgernet in principe niet voldaan heeft aan het beginsel van dataminimalisatie. Stel dat het wel zo zou zijn dat Burgernet de woonplaats van gebruikers niet opslaat wanneer zij aangeven geen gebruik te willen maken van het digitale buurtonderzoek, dan zou wel zijn voldaan aan het beginsel van dataminimalisatie. Als dit laatste het geval is, dan is het aan Burgernet om zo snel mogelijk de privacyverklaring zodanig aan te passen dat duidelijk blijkt wat het precieze doel van de gegevensverwerking is en op te helderen welke gegevens voor welke dienst gebruikt worden.

Darinka Zarić

Darinka Zarić

Darinka Zarić is jurist bij The Privacy Factory. Nieuwe juridische vraagstukken die ontstaan in een gedigitaliseerde samenleving spreken haar enorm aan. Met name op het gebied van privacyrecht en de inzet van big data. Momenteel volgt zij aan de Vrije Universiteit Amsterdam de master Internet, intellectuele eigendom en ICT.

Recente publicaties

Privacy Weekly

Meld u aan voor Privacy Weekly en blijf op de hoogte van recente trends en ontwikkelingen rondom privacy.

Op zoek naar

Gratis AVG|Check

Volg ons op social media

Meld u aan voor Privacy Weekly

Aanmelden Privacy Weekly
Elke donderdag een privacy alert, blog of whitepaper in uw inbox!
cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.