Wat zegt AVG art. 5 lid 1 sub c?

Persoonsgegevens moeten 'toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt'. Dit is het uitgangspunt van data-minimalisatie — verzamel niet meer, niet langer en niet preciezer dan nodig.

Hoe pas je data-minimalisatie toe in praktijk?

Door per gegevenscategorie te bepalen of die echt nodig is voor het concrete doel. Geboortedatum vragen waar leeftijdsgroep volstaat is niet minimaal. Volledig BSN opslaan waar enkel een dossiernummer volstaat is niet minimaal. Documenteer de beoordeling in een DPIA of verwerkingsregister.

Wat is het verschil met doelbinding?

Doelbinding (art. 5 lid 1 sub b) bepaalt dat gegevens alleen mogen worden verwerkt voor een welbepaald doel. Data-minimalisatie is een uitwerking daarvan: gegeven het doel, gebruik je zo min mogelijk. De twee beginselen zijn complementair en worden vaak samen geëvalueerd.

Hoe toon je aan dat je geminimaliseerd hebt?

Verwerkingsregisters (art. 30 AVG), Data Protection Impact Assessments (DPIA) en privacy-by-design-documentatie zijn de standaardinstrumenten. De Autoriteit Persoonsgegevens kan deze documentatie opvragen tijdens een onderzoek.

Data-minimalisatie | Fynqo Entiteiten

Data-minimalisatie

Laatst herzien: 2026-05-23

TL;DR

Data-minimalisatie is het AVG-beginsel dat persoonsgegevens 'toereikend, ter zake dienend en beperkt tot wat noodzakelijk is' moeten zijn voor het doel — vastgelegd in AVG art. 5 lid 1 sub c.

Ook bekend als: minimalisatie van gegevens · need-to-know · doelbinding

Wat is data-minimalisatie?

Data-minimalisatie is een van de zeven beginselen van de Algemene Verordening Gegevensbescherming (AVG). Artikel 5 lid 1 sub c bepaalt dat persoonsgegevens ‘toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt’ moeten zijn. In gewone taal: verzamel niet meer gegevens dan nodig, niet preciezer dan nodig, en bewaar ze niet langer dan nodig.

Toepassing in de praktijk

Data-minimalisatie betekent per gegevenscategorie afwegen of die echt nodig is voor het concrete doel. Een gemeente die vroegsignalen verwerkt heeft het signaal (naam, adres, type achterstand) nodig, maar niet automatisch het volledige financiële profiel van het huishouden. Een schuldhulporganisatie heeft inkomensgegevens nodig om een Vtlb te berekenen, maar niet noodzakelijk de complete medische geschiedenis. Steeds opnieuw geldt: wat is het minimum om dit doel te bereiken?

Documentatie en verantwoording

De AVG vraagt verwerkingsverantwoordelijken om hun keuzes te documenteren. Een verwerkingsregister (art. 30) houdt bij welke gegevenscategorieën voor welk doel worden verwerkt. Bij verwerkingen met hoog risico is een Data Protection Impact Assessment (DPIA) verplicht, waarin de minimalisatie expliciet wordt afgewogen. Privacy-by-design-documentatie laat zien hoe minimalisatie is ingebouwd in de architectuur van het systeem.

Bewaartermijnen

Data-minimalisatie strekt zich ook uit tot tijd: gegevens mogen niet langer worden bewaard dan nodig voor het doel. Bewaartermijnen verschillen per type gegeven en context — financiële documentatie minimaal vijf jaar, zorggegevens vaak twintig jaar of langer onder de Wgbo. Wanneer een wettelijke bewaartermijn afloopt, moeten gegevens worden vernietigd of geanonimiseerd, tenzij een nieuwe rechtsgrond geldt.

Veelgestelde vragen

Wat zegt AVG art. 5 lid 1 sub c?: Persoonsgegevens moeten 'toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt'. Dit is het uitgangspunt van data-minimalisatie — verzamel niet meer, niet langer en niet preciezer dan nodig.
Hoe pas je data-minimalisatie toe in praktijk?: Door per gegevenscategorie te bepalen of die echt nodig is voor het concrete doel. Geboortedatum vragen waar leeftijdsgroep volstaat is niet minimaal. Volledig BSN opslaan waar enkel een dossiernummer volstaat is niet minimaal. Documenteer de beoordeling in een DPIA of verwerkingsregister.
Wat is het verschil met doelbinding?: Doelbinding (art. 5 lid 1 sub b) bepaalt dat gegevens alleen mogen worden verwerkt voor een welbepaald doel. Data-minimalisatie is een uitwerking daarvan: gegeven het doel, gebruik je zo min mogelijk. De twee beginselen zijn complementair en worden vaak samen geëvalueerd.
Hoe toon je aan dat je geminimaliseerd hebt?: Verwerkingsregisters (art. 30 AVG), Data Protection Impact Assessments (DPIA) en privacy-by-design-documentatie zijn de standaardinstrumenten. De Autoriteit Persoonsgegevens kan deze documentatie opvragen tijdens een onderzoek.

Data-minimalisatie

Wat is data-minimalisatie?

Toepassing in de praktijk

Documentatie en verantwoording

Bewaartermijnen

Veelgestelde vragen

Bronnen

Relevante portals

Verder lezen — feiten

Gerelateerde begrippen

Eén mail per maand, niets meer.