Laat Dataminimalisatie de basis zijn van uw digitale veiligheidsstrategie
Dataminimalisatie, ook wel minimale gegevensverwerking genoemd, is niet alleen een basisbeginsel van de Algemene Verordening Gegevensbescherming (AGV of GDPR), het draagt ook aanzienlijk bij tot meer digitale veiligheid. Minder gegevens betekent immers minder risico op data-inbreuken of identiteitsfraude en de daarmee gepaard gaande economische- en reputatieschade. Dataminimalisatie zou daarom in iedere digitale veiligheidsstrategie ingebed moeten zijn. Dit garandeert niet alleen meer veiligheid, het ontzorgt ook.
Het principe van minimale gegevensverwerking betekent dat organisaties alleen persoonsgegevens verwerken die echt nodig zijn voor het doel waarvoor ze worden gebruikt. Met andere woorden, je mag niet meer gegevens verwerken dan strikt noodzakelijk is. Voordat je gegevens verwerkt, moet je je dus afvragen of het doel niet op een andere manier bereikt kan worden, zonder (bepaalde) persoonsgegevens te gebruiken. De verzamelde gegevens moeten bovendien beschermd worden tegen ongeoorloofde toegang of wijzigingen, bijvoorbeeld door ze te anonimiseren of minder toegankelijk te maken met encryptie. De ultieme manier om een datalek te voorkomen, is om zelf zo weinig persoonsgegevens in bezit te hebben. Dat is meteen ook het uitgangspunt van Automatisch Advies, een MAGDA-dienstverlening van Digitaal Vlaanderen.
Hoe werkt Automatisch advies?
De beste manier om de werking van Automatisch advies uit te leggen is aan de hand van een fictief voorbeeld: stel de Vlaamse overheid wil aan langdurig werklozen een bijzondere premie toekennen als ze werk vinden. Wie in aanmerking wil komen, moet hiertoe een formulier invullen. De overheid bepaalt de voorwaarden, bijvoorbeeld de woonplaats, het aantal maanden werkloosheid, het aantal maanden opnieuw aan de slag, … Die voorwaarden worden door “Automatisch Advies” verwerkt in een applicatie die de relevante bronnen ondervraagt. De kracht van Automatisch advies zit in het feit dat de overheidsdienst die de premie uitbetaalt zelf geen overzicht krijgt van het de persoonsgegevens, maar een advies onder de vorm van: “de persoon komt in aanmerking” of “de persoon komt niet in aanmerking”. Met andere woorden, de brongegevens worden niet geraadpleegd.
Van Automatisch advies naar proactieve dienstverlening: de totale ontzorging
Veronderstel dat de overheid een stap verder wil gaan en dat ze de burger die recht heeft op de bijzondere premie totaal wil ontzorgen. Dan kan ze kiezen voor “Proactieve Dienstverlening”. Het automatisch advies wordt dan omgezet in de uitvoering ervan. De rechthebbende hoeft enkel nog zijn/haar rekeningnummer door te geven, bijvoorbeeld via Mijn Burgerprofiel en de premie wordt automatisch uitbetaald. Met andere woorden: mocht de organisatie die de premie uitvaardigt slachtoffer worden van een cyberaanval, dan zullen geen of veel minder persoonlijke gegevens van de bezoekers ontvreemd kunnen worden.
Of het nu over een een premie of een GAS-boete voor het overtreden van een LEZ-zone gaat, het principe van de dienstverlening blijft dezelfde: de databron (Vlaams of federaal) is gescheiden van de toepassing. Dat betekent dat wie “Automatisch advies” gebruikt, zich minder zorgen hoeft te maken over de veiligheid en zoveel mogelijk handelt in overeenstemming met GDPR. Ook het onderhoud van de databank is niet de zorg van de gebruiker. Het is de bronbeheerder die hiervoor verantwoordelijk is. Daarnaast wordt de afnemer van het “Automatisch Advies” ook technisch ontzorgd. De toepassing maakt gebruik van bestaande bouwstenen en wordt verder op maat geschreven door de MAGDA diensten bij Digitaal Vlaanderen.