Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag:Mag een bedrijf je onder de AVG nog verplichten om je geboortedatum te geven?
Antwoord: Onder de AVG geldt het principe van dataminimalisatie: je mag niet meer persoonsgegevens gebruiken dan je strikt nodig hebt om je doel te halen. Vanuit dat principe mag je dus ook niet meer vragen dan wat je nodig hebt.
Veel bestelformulieren zijn van voor de AVG en vragen dus van alles en nog wat, ongeacht of het nu echt nodig is. De geboortedatum van de klant is typisch zo'n element. Hoe belangrijk is het dat je weet wanneer je klant jarig is, of dat je weet hoe oud deze is?
Ik kan eigenlijk nauwelijks een scenario bedenken waarin je dat móet weten. Misschien bij producten die alleen voor volwassenen zijn, zoals drank. Vragen om de geboortedatum is dan deel van een procedure om leeftijden te checken. Maar bij zo ongeveer alle andere bestellingen zeg ik: nee, je kunt me niet verplichten mijn geboortedatum in te vullen.
En op het gevaar af om politiek correct te klinken, ik denk dat hetzelfde geldt voor de vraag of ik de heer dan wel mevrouw ben. (Over mejuffrouw hebben we het al helemaal niet meer.) Dat zou ook een optionele vraag moeten zijn, of in ieder geval de optie "wil ik niet zeggen/gaat je niets aan". Want dat je een correcte aanhef wilt hanteren in de correspondentie, is volgens mij óók geen noodzaak.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.