Prinsippet om dataminimering fastslår at personopplysningene som behandles skal være adekvate, relevante og begrenset til det som er nødvendig for å oppnå de formålene som er fastsatt ved innsamling. Prinsippets viktigste side er at mengden personopplysninger skal begrenses til det som er nødvendig for formålet. For hver behandling må det derfor vurderes om formålet kan oppnås med færre personopplysninger eller om formålet kan oppnås uten at den registrerte må være identifiserbar under hele behandlingen. Prinsippet om dataminimering kommer også til uttrykk i helseregisterloven § 6, hvor det fremgår at «Graden av personidentifikasjon» i helseregistre, ikke skal være av et større omfang enn det som er nødvendig for å ivareta formålene med helseregisteret.
Det er viktig å være oppmerksom på at personvernforordningen ikke gir noe endelig svar på hvilke personopplysninger som er nødvendig å behandle. Avhengig av formålet vil det derfor være store forskjeller på hvordan prinsippet slår ut i det enkelte tilfelle.
Det vil for eksempel være forskjell på hvilke personopplysninger det er nødvendig å samle inn om pasienter for å yte helsehjelp, og hvilke personopplysninger det er nødvendig å samle inn i en ansettelsesprosess. Her er formålene henholdsvis å gi riktig helsehjelp til pasienten og vurdering av jobbsøkerens egnethet. For å sikre riktig helsehjelp, er det ofte nødvendig å hente inn flere personopplysninger enn i ansettelsesprosesser. For eksempel kan innhenting av opplysninger om den registrertes foreldre være nødvendig for å utrede en pasient, men det er neppe nødvendig for å vurdere ansettelse av en jobbsøker. (Fra dette utgangspunktet kan det tenkes visse unntak, for eksempel i forbindelse med sikkerhetsklarering etter sikkerhetsloven).
Eksempel 7 - dataminimering
En psykiatripasient blir overført til behandling på et sykehus for å få helsehjelp. Sykehuset ber om å få opplysninger fra den psykiatriske journalen. I et slikt tilfelle kan det være nødvendig ut fra en medisinskfaglig vurdering å samle inn opplysninger om pasientens psykiatriske diagnoser og behandlingsforløp, men vurderingen kan også vise at det ikke er nødvendig å innhente detaljerte opplysninger om pasientens barndom for å gi helsehjelpen. Siden formålet med denne behandlingen av personopplysninger er å gi forsvarlig helsehjelp (som innebærer at pasientsikkerheten må ivaretas), så må prinsippet om dataminimering likevel ikke tolkes så strengt at det kan går ut over forsvarlig helsehjelp.
