Kort svar
Dataminimering er enklest når virksomheten går konkret inn i felter, rutiner og rapporter og spør hva som faktisk trengs for formålet.
Før dere setter behandlingen i drift eller svarer den registrerte, bør dere ha kontroll på hvilke opplysninger som faktisk trengs til hvert formål, hvordan overflødige felter og rapporter oppstår og hvordan endringer gjennomføres uten å bryte driften.
Når dette blir aktuelt
- når skjemaer og CRM er fulle av gamle felt ingen bruker
- når nye systemer kopierer gamle datafelt ukritisk
- når virksomheten vil redusere risiko og rydde i personopplysninger
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Hvilke opplysninger som faktisk trengs til hvert formål | avgjør hva som kan fjernes eller gjøres frivillig |
| Hvordan overflødige felter og rapporter oppstår | er viktig for å hindre at rotet kommer tilbake |
| Hvordan endringer gjennomføres uten å bryte driften | reduserer risikoen for at opprydding stopper opp |
Slik bør dere gå fram
- Gå gjennom sentrale skjemaer og systemer med fokus på hvert enkelt datafelt.
- Spør hvorfor feltet finnes, hvem som bruker det og hva som skjer hvis det fjernes.
- Fjern, skjul eller gjør frivillig det som ikke er nødvendig.
- Bygg dataminimering inn i nye prosjekter og endringsprosesser slik at oppryddingen varer.
Dokumenter og spor som bør være på plass
I personvernspørsmål er det ofte kombinasjonen av formål, tilgangsstyring og dokumentasjon som avgjør om rutinen holder.
- oversikt over skjemaer, felter og formål
- beslutningslogg for hva som fjernes eller beholdes
- oppdaterte spesifikasjoner eller skjermbilder etter endring
- rutine for personvernvurdering ved nye felter
Typiske feil
- virksomheten rydder i ett skjema, men ikke i underliggende systemer
- gamle felter beholdes fordi ingen tør å slette dem
- nye prosjekter bygger videre på samme utestede databehov som før
Når bør dere få konkret hjelp?
Når mange avdelinger bruker de samme systemene eller gamle datamodeller er vanskelige å endre, bør oppryddingen kvalitetssikres og fases klokt.
Relaterte guider
- Tilgangsstyring ved fratreden: hvordan sikre data når noen slutter?
- Backup, logg og arkiv: hvordan passer det med sletterutiner?
- Behandlingsansvarlig eller databehandler: hvordan vurdere rollen?