Dataminimalisatie is nu werkelijkheid geworden met het eerste handhavingsadvies ISMS.online van de CCPA

Dataminimalisatie is nu werkelijkheid geworden met het eerste handhavingsadvies van de CCPA

Door Danny Bradbury • 30 May 2024

Er staat een clausule in de California Consumer Protection Act (CCPA) over dataminimalisatie die de Rolling Stones hadden kunnen schrijven. Er staat dat je als bedrijf niet altijd de gegevens kunt krijgen die je wilt, maar je krijgt wel wat je nodig hebt. Dataminimalisatie betekent dat u alleen voldoende gegevens verzamelt voor het noodzakelijke doel, en niet meer. Als extreem voorbeeld: als u iemand een elektronische nieuwsbrief wilt sturen, mag u om zijn e-mailadres vragen, maar niet om een gescande kopie van zijn rijbewijs.

Zes jaar nadat de wet dataminimalisatie verplicht stelt, heeft de Californische Privacy Protection Agency (CPPA) een besluit uitgevaardigd handhavingsadvies waarin wordt uitgelegd hoe serieus zij deze kwestie neemt.

De CCPA biedt consumenten de mogelijkheid organisaties om toegang te vragen tot de gegevens die over hen worden bewaard, en deze waar nodig te corrigeren of te verwijderen. Het advies van 2 april meldt dat veel organisaties te veel informatie hebben gevraagd bij het inwilligen van deze verzoeken. De boodschap is duidelijk: stop ermee.

Doen zoals de Europeanen doen

De aanpak van de CPPA komt hier nauw overeen met die van Europa, aldus Odia Kagan, partner en voorzitter van de GDPR Compliance & International Privacy Practice bij Fox Rothschild LLP.

“De regel om de informatie die je krijgt in verband met verzoeken niet voor andere doeleinden te gebruiken en alleen te verzamelen wat je nodig hebt, is in Europa precies hetzelfde”, vertelt ze aan ISMS.online. “We hebben hierover richtlijnen van de Europese Gegevensbeschermingsautoriteit.”

Waarom passen bedrijven dan niet gewoon dataminimalisatie toe zoals gevraagd bij het verwerken van verzoeken? Het is geen simpele no-brainer, benadrukt Kagan; het is een balans tussen gemak en veiligheid. Het is vooral belangrijk bij het verwerken van verzoeken om toegang tot en verwijdering van informatie.

"Verwijderen en toegang verkrijgen is belangrijker omdat je informatie verstrekt die voor de persoon riskant kan zijn als deze wordt gecompromitteerd", zegt ze.

Geolocatiegegevens zijn een goed voorbeeld. Als iemand zich voordoet als de legitieme eigenaar van geolocatiegegevens en om toegang vraagt, kan hij of zij gevoelige informatie achterhalen. Zoals Kagan opmerkt, zou dit ook kunnen omvatten of ze naar een abortuskliniek zijn gegaan – een bijzonder gevoelige kwestie in de VS vandaag de dag.

Verwijderingsverzoeken zijn ook riskant. "Wat als iemand vraagt om familiefoto's te verwijderen?" zij voegt toe. Drive-by-fotoverwijderingen zijn misschien niet levensbedreigend, maar ze zijn nog steeds zeer verontrustend – en potentieel juridisch schadelijk voor de gegevenshouder.

Nabootsing van identiteit is een reële bedreiging

Nabootsing van identiteit bij het indienen van verzoeken om gegevenstoegang vormt een reële bedreiging, zoals onderzoeker James Pavur van de Universiteit van Oxford in 2019 aantoonde. Met toestemming van zijn verloofde deed alsof om haar te zijn bij het indienen van verzoeken om toegang tot gegevens onder de AVG-regelgeving.

Bijna een kwart van de 83 bedrijven waarmee hij contact opnam en die gegevens in bezit hadden, verstrekten deze zonder zijn identiteit te verifiëren, terwijl 16% om een gemakkelijk vervalst identiteitsbewijs vroeg. Hij kreeg de resultaten van controles op het strafblad, samen met reisgegevens en schoolcijfers.

Bedrijven moeten hun due diligence doen, maar mogen niet te restrictief zijn, legt Kagan uit.

“Je wilt het niet te moeilijk maken om een verzoek uit te voeren en je wilt niet betrokken raken bij gevoelige gegevens”, benadrukt ze. Het verzamelen van te veel gevoelige gegevens om iemands identiteit te verifiëren, brengt niet alleen het risico van regelgevende maatregelen met zich mee; het riskeert ook meer aansprakelijkheid als die verificatiegegevens vervolgens worden geschonden.

Hoe de lijn te lopen

Dus hoe kunnen bedrijven zich aan de lijn houden zonder erover te stappen? Het handhavingsadvies geeft twee voorbeelden van hoe bedrijven die verzoeken ontvangen, aan deze regels kunnen voldoen.

Het eerste voorbeeld is een opt-outverzoek voor de verkoop van persoonlijke gegevens. Dit is de gemakkelijkste om te navigeren, omdat voor het verwerken van opt-out-aanvragen helemaal geen identiteitsverificatie vereist is onder de CCPA. Het heeft alleen de informatie nodig die nodig is om naar de klant te verwijzen, zoals een e-mailadres.

Het tweede voorbeeld betreft iemand die een bedrijf vraagt om zijn persoonlijke gegevens te verwijderen, terwijl hij geen account bij de organisatie heeft. Dit bedrijf moet de identiteit van het individu verifiëren.

De meest fundamentele vragen worden uiteengezet in 11 CCR § 7002(c)-(d) en zijn in wezen deze:

Is de informatie die we verzamelen meer dan het minimum dat we nodig hebben?
Wat zijn de mogelijke negatieve gevolgen voor individuen als gevolg van het verzamelen of verwerken van de informatie?
Zijn er veiligheidsmaatregelen (zoals encryptie of automatische verwijdering) die consumenten kunnen beschermen?

In de gegeven voorbeelden waarschuwt het adviesbedrijf bedrijven om zich af te vragen of ze nog meer informatie moeten verzamelen dan ze al van de consument hebben. De CCPA fronst over het algemeen haar wenkbrauwen bij het vragen om meer informatie ter verificatie, tenzij dit absoluut noodzakelijk is, en zegt tegen bedrijven dat ze deze moeten verwijderen als deze wordt verzameld.

Tijd om je voor te bereiden

Kagan waarschuwt haar cliënten om zich op deze vragen voor te bereiden door een risicoanalyse uit te voeren. Dit omvat het beoordelen van de gegevens die de organisatie over het individu heeft, samen met de gevoeligheid van die gegevens. Ze kunnen het juiste authenticatieniveau bepalen, gegeven de aard van het verzoek, en kunnen beslissen of ze gegevens die ze al hebben, kunnen gebruiken om een persoon te authenticeren.

Bedrijven moeten dataminimalisatie serieus nemen, zegt ze, omdat het een belangrijk probleem aan het worden is bij de verwerking van data. Het Britse Information Commissioner's Office (ICO) heeft zijn eigen leiding, net als verschillende Amerikaanse staten. De Amerikaanse Federal Trade Commission is ook steeds meer geïnteresseerd geraakt in dit onderwerp en geeft prioriteit aan dataminimalisatie in zijn geval tegen alcoholbezorgservice Drizly, en zou zich naar verluidt op dit punt concentreren in zijn aanstaande regel voor commerciële surveillance en gegevensbeveiliging.

Verschillende rechtsgebieden hebben veelal dezelfde eis: dat de verzamelde gegevens noodzakelijk zijn voor het beoogde doel.

“Het feit dat het gebruikelijk en eenvoudig is, betekent niet dat het gemakkelijk is”, besluit Kagan. “Het is helemaal niet eenvoudig om te implementeren. Maar de standaard is momenteel vrij gebruikelijk.”

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 15 januari 2026

Van perimeterbeveiliging naar identiteit als beveiliging.

Je kunt tegenwoordig geen beveiligingsevenement bekijken zonder de term 'zero trust' tegen te komen. Het is inderdaad een modewoord, maar...

Danny Bradbury

Cyber security 18 December 2025

Hoe navigeer je door het doolhof van AI-compliance in de VS? Banner

Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Als het om regelgeving gaat, is de term 'Verenigde Staten' een contradictie. De wetten van de staten zijn allesbehalve uniform, en elke jurisdictie hanteert eigen regels...

Danny Bradbury

Cyber security 20 November 2025

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

2025 was geen goed jaar voor Salesforce-klanten. Een louche criminele organisatie voerde een reeks aanvallen uit op haar klanten, met uiteindelijk gevolgen voor...

Danny Bradbury