In het kader van big data en big content wordt veel gesproken over het perspectief controle krijgen over die grote hoeveelheden content, het onderhouden daarvan, opschonen, kwaliteit verhogen enzovoort. En dit is zeker een uitdaging voor informatiemanagement, maar privacy- en security officers, hebben een hele andere uitdaging. En zeker in het kader van de EU-privacyverordening.
Big data en big content openen vele deuren qua waarde en toepassingen voor je organisatie. Verborgen patronen en trends, inzichten waarmee strategie op allerlei vlakken kan worden geoptimaliseerd, slimmer samenwerken, de juiste informatie op het juiste moment beschikbaar en ga zo maar verder. Maar het heeft ook een keerzijde. De groei van data en content, ook binnen de eigen organisaties brengt grote risico’s met zich mee en ook deze zul je als organisatie onder controle moeten krijgen.
EU-verordening een feit
De nieuwe EU privacy verordening is een feit. Deze bevat een aantal pittige consequenties voor overtredingen tegen deze aanstaande wetgeving. Het is nu mogelijk boetes te geven tot maximaal honderdmiljoen euro of 5 procent van de wereldwijde omzet bij overtreding van de regels en bestuurders kunnen gemakkelijker verantwoordelijk worden gesteld. Daarbij blijft de reputatieschade die je loopt als bedrijf in een dergelijke situatie misschien nog wel het belangrijkste risico. Dit kan je maken of breken. Ik merk dat hierdoor vele organisaties serieuzer en met meer focus aan het kijken hoe zich te wapen tegen deze risico’s.
Verandering in de regels zijn onder meer de strengere eisen die worden gesteld aan de beveiliging van privacygevoelige informatie en een meldplicht (aan de toezichthouder) bij datalekken. Verder is expliciete toestemming van klanten vereist zodra bedrijven persoonsgegevens (big data) willen verwerken. Klanten moeten deze toestemming ook weer kunnen intrekken. Ook is de NO-NSA clausule ingevoerd. Bedrijven mogen persoonsgegevens niet meer zonder toestemming van de toezichthouder delen met buitenlandse overheden. Daarnaast is er de verplichting om een Functionaris voor de Gegevensbescherming aan te stellen bij instanties die persoonsgegevens verwerken van meer dan vijfduizend mensen in een jaar.
Bottum up benadering
Om deze risico’s te voorkomen moeten op het gebied van informatie en data een flink aantal zaken geregeld worden. Natuurlijk is er ‘information governance’ en beleid nodig, maar dat vanaf een ivoren toren inrichten is niet de aanpak. Mijn mening is dat het beter is een bottom up approach te hebben en te beginnen met het kijken naar de informatie en data. Van hieruit kan het juiste beleid worden opgesteld.
Vooral de overheid en organisaties met veel b2c hebben gigantische hoeveelheden persoonlijke data. Zowel binnen omgevingen met gestructureerde data als ongestructureerde omgevingen. In beide omgevingen bevindt zich privacygevoelige data, waar de regelgeving voor geldt. Qua gestructureerde data kun je denken aan een crm-systeem met adresgegevens van organisaties die geen klant meer zijn, een systeem met naw-gegevens, BSN-nummers, rekeningnummers, et cetera. Maar waar ik op wil focussen is de ongestructureerde variant. Naar mijn mening nog lastiger te controleren en dus gevaarlijker in de context van risico. Geen veld in een database dat creditcard_nr heet, of naw, waar je veel aan kunt afleiden, maar een berg content vol van potentiële risico’s is een ander verhaal. Omgevingen als file shares, e-mail, maar ook SharpPoint, Dropbox. Inzicht in deze data creëren is lastig, want wat typisch is aan content, je het moet lezen of bekijken om te interpreteren.
Gelukkig is met de technologische vooruitgang die het hele big data en big content tijdperk heeft geïnitieerd, ook technologie ontwikkeld die de problemen kan voorkomen. Software die met natural language processing (NLP), data mining, machine learning technieken, tekst kan analyseren en net als jij een document kan lezen en begrijpen. Deze technieken zijn nodig om de grote massa aan ongestructureerde informatie geautomatiseerd te doorzoeken op gevoeligheden die risico’s met zich meebrengen. Na wat analyse en configuratie kunnen ze vervolgens eenvoudig in een rapport of zelfs dashboard getoond worden aan de geïnteresseerden. Hieronder een mogelijke aanpak.
Overzicht
Waar het mee begint is een eerste overzicht. Inzicht in wat je hebt, waar het staat. Of waar mogelijke risico’s bestaan. In onze aanpak is dit vaak een quick scan, die nog niet de inhoud van de documenten analyseert, maar een overzicht geeft van waar dit nog zou moeten gebeuren. Dit is redelijk snel te verkrijgen, afhankelijk van een aantal variabelen als: het aantal verschillende systemen waar naar toe verbonden moet worden, de totale hoeveelheid data et cetera. Maar in mijn ervaring is dit een snelle, doch zeer veel inzicht biedende activiteit, waarvandaan business cases en verdere trajecten eenvoudig kunnen worden bepaald.
Analyse
Vervolgens zal de analyse moeten plaatsvinden en indexeren we de ongestructureerde data met de software. Er bestaan een aantal standaard ‘gevoeligheden’ die de software zal herkennen, maar het is een samenspel met de klant en organisatie om deze fijn te slijpen en voor de specifieke organisatie toepasbaar te maken. De analyse zal ook tussentijds rapportages opleveren die al gebruikt kunnen worden, het is dus iteratief met de volgende fase.
Rapportage
De output van deze analyse kan op verschillende manieren gegenereerd worden. In de ultieme situatie heb je als privacy-officer een dashboard voor je neus, waarin alle regels actief zijn en zie je waar gevoelige informatie wordt gecreëerd en of dit binnen de governance van de organisatie valt. Ik denk dat we deze ‘privacy- of sensitivity dashboards’ voor ongestructureerde data de komende tijd steeds meer zullen zien verschijnen.
Het is belangrijk in dit soort trajecten te beginnen bij de data. Natuurlijk zijn er allerlei processen die ingericht moeten worden en een totale privacy governance structuur zal moeten worden opgezet. Maar begin bij de data, gebruik dit inzicht om vervolgens controle en grip te krijgen en daarna het juiste beleid er op in te richten.
Sjoerd een goede oproep om privacy serieus te nemen!
Dat moest natuurlijk al onder de Wbp, maar de impact van de Europese verordening is inderdaad groot. Saillant detail bijvoorbeeld is dat de door jou genoemde boete per incident geldt! Het is wijs de verordening te vertalen naar beleid voor de eigen organisatie. Daarin staat, behalve uitgangspunten, beschreven hoe de organisatie met privacy omgaat, voor de grotere ondernemingen de taken en werkwijzen van de privacy-officer en niet in de laatste plaats de verantwoordelijkheden rondom privacy en wie deze dragen.
Voor de implementatie en uitvoering zijn er gelukkig al veel hulpmiddelen voor handen, zoals Triages, Privacy Impact Assesments (PIA’s) voor systemen en handreikingen om bij de systeemontwikkeling van het begin Privacy by Desing toe te passen. Maar niet onbelangrijk zijn ook de PIA’s voor processen. Want uiteindelijk gaat het ook hier er weer om wat het personeel met de data doet. Vandaar dat veel organisaties flink investeren in privacy-bewustwording en –training. Daarnaast moeten er allerlei procedures ontwikkeld en ingericht worden, waaronder voor het melden en afhandelen van datalekken, voor de inzage, aanpassing en verwijdering van persoonsgegevens etc.
Goed dat je wijst op de brede scope: ook de ongestructureerde data in bijvoorbeeld de kantoortoepassingen vallen onder de wetgeving en behoeven zeer zeker aandacht. En dan hebben we het nog niet eens over de persoonsgegevens die ook nog eens in fysieke vorm –lees op papier- overal aanwezig kunnen zijn.
Tot slot wil ik nog wijzen op de data van het eigen personeel. Bij de meeste organisaties verdient dit –naast de klantgegevens- eveneens aandacht. En daarbij gaat het niet alleen over de data in de systemen van de personeelsadministratie, maar ook hier weer over de ongestructureerde data bij medewerkers zelf, bij de secretariaten en de managers. Denk bijvoorbeeld aan de CV’s “in portefeuille” die de manager nog op zijn schijf heeft staan of in zijn bureaula heeft liggen.
Kortom, veel werk aan de winkel, dat eerlijkheidshalve al onder de Wbp, gedaan had moeten worden, maar bij het nalaten ervan nu tot extreme boetes en daarmee tot de discontinuïteit van de organisatie kan leiden.
Walter Annink, Privacy Personeel deskundige
Euh… wat is Personal Identifiable Information?
Hier lijken tussen de verschillende EU-landen namelijk al de nodige veschillen van inzicht te zitten. En helemaal onoverzichtelijk wordt het als we kijken naar digitale identiteiten, de lijst hier wordt dan ook steeds langer.
Verder is het misschien handig om eens rapport AIVD te lezen, bedrijfsspionage wordt namelijk het nieuwe verdienmodel. Naast een kernbelang als privacy lekken we ook steeds vaker blauwdrukken, strategieën en standpunten. Gezien het feit dat de forensische mogelijkheden met toenemende ongestructureerde data steeds moeilijker wordt is de gemiddelde tijd van ontdekking 2 jaar, meestal dus pas als het in de krant staat.
@Ewout, helemaal mee eens! Ik focus nu op Privacy als haakje naar EU verordening, maar “gevoelige” data is natuurlijk waar het om gaat. Dit kan van alles zijn, zoals inderdaad strategieën, patenten, campagnes, ideeën etc. En 9 van de 10 keer liggen deze zaken in ongestructureerde informatie vast.