Waarom is er geen wetgeving die het organisaties verbiedt om onnodig gegevens te verzamelen?

woensdag 27 augustus 2025, 13:54 door Arnoud Engelfriet, 2 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Het valt me op dat zeer veel websites allerlei persoonlijke gegevens van je vragen, ook als daar evident geen noodzaak voor is (zoals geboortedatum of mobiel nummer). Dit is volgens mij een belangrijke oorzaak van schade bij datalekken. Waarom is er geen wet die organisaties verbiedt dit te verzamelen tenzij met aantoonbare en onderbouwde noodzaak?

Antwoord: Zo'n wet is er al: de Algemene verordening gegevensbescherming (AVG) kent een wettelijke eis tot "dataminimalisatie" (artikel 5(1) onder c). Alle persoonsgegevens die je gebruikt, moeten "toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt". In gewoon Nederlands: je mag het niet verzamelen of hebben tenzij het écht nodig is. En je moet kunnen aantonen (artikel 5(2)) dat je het nodig hebt.

De praktijk is echter weerbarstig. Organisaties en bedrijven vragen van alles, iedereen vult het braaf in en we gaan er maar van uit dat het allemaal goed gaat. Handhaving op dataminimalisatie lijkt vrijwel geheel afwezig. En áls er dan een keer iemand een punt van maakt, dan moet je tot aan het Hof van Justitie om je gelijk bevestigd te krijgen.

(In die zaak ging het over de meneer/mevrouw aanduiding bij het boeken van een treinkaartje. Dus de NS had juridisch volkomen gelijk met haar switch naar "Beste Reizigers!" - het moest van de AVG.)

Tegelijk denk ik ook niet dat alle organisaties bewust kiezen voor massaal datagraaien. Veel webwinkels bijvoorbeeld zouden best af willen van de verplichte meneer/mevrouw op het bestelformulier (of een "wil ik niet zeggen" er bij), maar krijgen dan te horen dat "dat technisch niet mogelijk is" of ontvangen een offerte van duizend euro voor maatwerk. En dat is het natuurlijk ook weer niet waard, vanuit hun perspectief.

Striktere handhaving lijkt me de enige optie. Als ik de baas van de AP was, zou ik een mailtje uitsturen naar alle webwinkels dat er 2000 euro boete volgt als de meneer/mevrouw-keuze op 1 november nog verplicht is. En dat kun je vrij geautomatiseerd checken ook.

Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.

Vandaag, 14:08 door Anoniem
reclame bedrijvenbals meta en google hebben het ECHT nodig...
Vandaag, 14:31 door Anoniem
Mee eens. Toch eist NS bij aankoop van internationale tickets tegenwoordig vaak de naam en geboortedatum van de reiziger. Daar loopt sinds 2018 (! Je gelooft het niet) een procedure over bij de AP. Die wil niet handhaven.
Update 13 juli 2025

Op 11 juli 2025 heeft Jonker een aanvulling op zijn bezwaarschrift naar de AP gestuurd, waarin hij erop wijst dat de AP geen rechtmatig besluit op bezwaar kan nemen als de AP blijft weigeren om na te gaan wie nu eigenlijk de verwerkingsverantwoordelijken zijn bij het opeisen van persoonsgegevens van reizigers die een internationaal treinticket binnen de EU aanschaffen.

https://privacyfirst.nl/artikelen/hoger-beroep-michiel-jonker-inzake-privacy-aantastingen-connexxion-en-ns/
Niet te geloven hoe lang dat duurt. De AP zet de toch al te weinige personeelscapaciteit niet in om te handhaven maar om klachten opzij te schuiven. Kan iemand uitleggen wie daar beter van wordt? Wat maakt dat de AP niet wil handhaven? Kan iemand dat verklaren?
Ze kiezen dan heel bewust voor goedkoop en in strijd met de wet. Begrijpelijk maar wel een bewuste keuze.
Striktere handhaving lijkt me de enige optie.
Precies maar daar gaat dus echt iets mis, al jaren en jaren. Zie boven.
