Data zijn belangrijker voor de bedrijfsvoering dan ooit. Tegelijkertijd investeren de meeste organisaties onvoldoende in datakwaliteit. De komst van de nieuwe Europese privacywetgeving zal hier verandering in brengen. Deze stelt dwingende eisen aan de kwaliteit, de beveiliging en de ontsluiting van (persoons)gegevens. Een goede aanleiding om uw data op orde te krijgen. Als u dit slim aanpakt, profiteert de organisatie als geheel hiervan.
We leven in een tijd waarin sprake is van een onvoorstelbare groei aan beschikbare en exploiteerbare data. Dit vormt misschien wel de belangrijkste technologische ontwikkeling van het moment.
We gooien bijna niets meer weg. En waarom zouden we ook? De kosten van dataopslag vormen nauwelijks meer een beperking en datacenters schieten op als paddenstoelen in een herfstbos. Het terugvinden van informatie is geen enkel probleem; zoekalgoritmes ploegen in een oogwenk door terabytes aan gegevens. Ook ongestructureerde tekst, zoals email, kan tegenwoordig geautomatiseerd worden bewerkt en ontsloten. Cloud storage en data analytics-tools helpen bedrijven aan nieuwe inzichten, die kunnen leiden tot lagere kosten, meer efficiency en een betere besluitvorming.
Data als asset
Data levert dus waarde op voor organisaties en zou als een productiefactor (asset) beschouwd moeten worden. Gartner noemt dit information-savvy en verwacht dat de toepassing van data analytics in 2017 een grote vlucht zal nemen.
Data als risico
De verwerking van data levert echter niet alleen maar voordelen op, maar ook de nodige risico’s. Gegevens kunnen verouderen, door onbevoegden worden ingezien of gewijzigd, gecorrumpeerd raken, zoekraken of geheel verloren gaan. Datamanagement is dus vooral ook risicomanagement. Dit betekent dat zorgvuldiger moet worden omgegaan met gegevens die een duidelijke waarde voor het bedrijf vertegenwoordigen, denk bv. aan financiële informatie, interne memo’s of marketing- en klantgegevens. Deze kunnen worden beschouwd als bedrijfsgeheim en hiervoor gelden extra kwaliteitseisen. Dat geldt evenzeer voor data die onderhevig zijn aan specifieke wet- en regelgeving.
Nieuwe privacywetgeving
Een voorbeeld van dit laatste is de GDPR of Avg (Algemene verordening gegevensbescherming) die in mei volgend jaar effectief zal worden. De Europese Unie werpt met deze wet een dam op tegen de ongebreidelde verspreiding en verwerking van persoonsgegevens van EU-burgers. Aan het vastleggen en verwerken van persoonsgegevens worden onder meer de volgende eisen gesteld:
- Er is een juridische grondslag voor het verwerken van de gegevens.
- De data zijn integer (compleet, accuraat, up-to-date).
- Er worden niet meer persoonsgegevens verzameld dan strikt noodzakelijk.
- De gegevens worden gebruikt voor het doel waarvoor ze oorspronkelijk zijn vastgelegd (doelbinding).
- De gegevens worden niet langer bewaard dan noodzakelijk.
- De gegevens worden afdoende beveiligd.
- De gegevens kunnen alleen worden overgebracht naar landen die voldoende privacybescherming bieden.
Verder kunnen EU-burgers bij organisaties inzage eisen in alle persoonsgegevens die van hen zijn vastgelegd. Verder kunnen in bepaalde gevallen verzoeken worden gehonoreerd om persoonsgegevens te wijzigen of te verwijderen of de verwerking stop te zetten. Ook dient -in voorkomende gevallen- vastgelegd te worden of er specifiek toestemming is gegeven voor bepaalde bewerkingen.
Daarnaast worden eisen gesteld aan het IT-voortbrengingsproces. Privacy by Default dient standaard toegepast te worden bij het ontwikkelen van nieuwe systemen en apps. Hierdoor zal bijvoorbeeld een einde komen aan de veel voorkomende praktijk dat (gratis) apps onbeperkt persoonsgegevens verzamelen die geen enkele relatie hebben tot de geboden functionaliteit.
Begin met data mapping
Organisaties dienen deze principes aantoonbaar toe te passen en dat betekent nogal wat. Zo dient er in kaart gebracht te worden welke persoonsgegevens waar zijn vastgelegd en hoe ze gebruikt worden, in lijn met de hiervoor vermelde eisen. Voor veel bedrijven zal het inrichten van een data inventory voor persoonsgegevens een eerste stap zijn op het gebied van datamanagement. Het is verstandig om dit niet te beperken tot een administratie die onderhouden wordt door de privacy officer, maar om uit te gaan van een organisatiebrede toepassing voor álle data die van wezenlijk belang is voor de organisatie.
Daarnaast verdient het aanbeveling om de levensloop (data life cycle) van gegevens vast te leggen en te bewaken. Denk bv. aan de wettelijke bewaartermijnen die gelden voor bepaalde datacategorieën. Persoonsgegevens mogen in zijn algemeenheid niet langer bewaard worden dan noodzakelijk voor het doel waarvoor ze zijn vastgelegd.
Richt data governance in
Hier houdt het uiteraard niet op. Het is zaak om te zorgen voor geschikte tools en een goede organisatorisch inbedding van datamanagement. Dat laatste wordt ook wel aangeduid met het lastig te vertalen begrip data governance, wat zoveel betekent als ‘een systeem van afspraken en procedures over hoe de kwaliteit van data in een organisatie wordt gewaarborgd’.
De toepassing van een datawarehouse verdient in dat kader bijzondere aandacht. Het gebruiken van persoonsgegevens in een datawarehouse is per definitie illegaal, immers:
- Er is geen juridische grondslag voor het verwerken van de gegevens.
- De data zijn vaak niet integer (meer).
- Er is geen sprake van doelbinding.
- De gegevens worden langer bewaard dan noodzakelijk.
- Er wordt niet uitgegaan van dataminimalisatie maar juist van datamaximalisatie, om statistisch relevante verbanden te kunnen ontdekken.
- De gegevens worden meestal niet afdoende beveiligd bij gebruik door data analytics-tools.
Pas data masking toe
Voor alle duidelijkheid: het is de wetgever er niet om te doen om innovaties in de kiem te smoren. Er is wel degelijk oog voor de grote voordelen die big data kunnen opleveren. Wel wordt paal en perk gesteld aan onzorgvuldigheid en gemakzucht bij het verwerken van persoonsgegevens. Een goed voorbeeld van het laatste vormt het recente datalek bij de ‘broedkamer’ van de Belastingdienst.
Een praktische oplossing vormt het maskeren van persoonsgegevens, waardoor deze niet meer als zodanig zijn te herkennen. Dit wordt ook wel data masking genoemd. Voorbeelden hiervan zijn het pseudonimiseren of anonimiseren van data:
- Het proces van anonimiseren van persoonsgegevens is onomkeerbaar, volgens de wet betreft het dan geen persoonsgegevens meer en gelden de genoemde restricties niet langer.
- Bij pseudonimiseren ligt dat wat genuanceerder, omdat hierbij wel sprake is van omkeerbaarheid (vb. encryptie, distributed data).
Hier zit echter wel een addertje onder het gras. In de Avg worden alle gegevens waarmee direct of (met enige moeite) indirect een persoon kan worden geïdentificeerd beschouwd als persoonsgegevens. Dit is geen vastomlijnde definitie en biedt ruimte voor interpretatie. Toch kan in zijn algemeenheid worden gesteld, dat maatregelen op het gebied van data masking de ruimte voor organisaties vergroot om data voor andere doeleinden te gebruiken dan waarvoor ze oorspronkelijk zijn vastgelegd. Dit geldt niet alleen voor data analytics, maar bv. ook voor het gebruik van productiedata voor testdoeleinden. Er zijn veel goede data masking-tools op de markt die dit kunnen ondersteunen.
Waarde van data vergroten
De wet- en regelgeving op het gebied van privacy wordt helaas vaak nog als een beperking gezien in plaats van een kans. Dat is jammer, want door de regels op een verstandige manier toe te passen kunt u de waarde van uw data vergroten. Door zorgvuldig met persoonsgegevens om te gaan, kunt u voldoen aan de eisen van de wetgever en de verwachtingen van uw klanten. Hiermee kunt u niet vroeg genoeg beginnen.
