Databeskyttelsesforordningen (GDPR) indeholder regler om dataminimering, og Datatilsynet har set flere alvorlige brud på persondatasikkerheden, som måske er opstået ved hacking eller andet cybersikkerhedsproblem, men hvor sikkerhedsbruddet kunne have været mindre alvorligt eller helt undgået, hvis principperne om dataminimering var blevet fulgt.
Data, som ikke længere anvendes, er ofte en unødvendig sikkerhedsrisiko. Ikke mindst, hvis de ligger på et it-system, som der ikke er fokus på (fordi hverken system eller data anvendes). Sådanne data og it-systemer kan blive glemt i det løbende arbejde med at opretholde et passende sikkerhedsniveau, og dermed kan sikkerhedsniveauet falde over tid eller ved ændringer i it-miljøet, organisation eller procedurer.