AVG Mag je überhaupt nog persoonsinformatie vastleggen?
Door de nieuwe AVG wetgeving verandert er veel voor organisaties. Ook als het gaat om persoonsinformatie zijn er een aantal punten waar organisaties rekening mee moeten houden.
Privacy
In het eerste deel ‘De impact van AVG/GDPR op Analytics’, hebben we het gehad over welke gevolgen de AGV-wetgeving heeft voor organisaties. Zo weten we nu dat er onderscheid wordt gemaakt in macro-analytisch en micro-analytisch niveau en dat veel organisaties aanpassingen zullen moeten invoeren om volledig aan de AVG-wetgeving te voldoen.
Waar richt de AVG zich op als het gaat om persoonsinformatie? Het gaat om het volgende: ‘Wanneer een persoonsgegeven -al of niet in combinatie met andere gegevens- iemand kan identificeren zonder daarvoor een bijzondere inspanning te moeten leveren, dan is de privacy in het geding.’
De AVG-richtlijnen geven informatie over hoe en wanneer persoonsinformatie verzameld mag worden. Voor Business Intelligence en Analytics, waar wij ons op richten, is hierbij voornamelijk het onderwerp privacy van belang. Zoals in het eerdere artikel al aangegeven werd, richten organisaties met Analytics en Business Intelligence zich voornamelijk op het profileren van hun klantgroepen. Ze willen grofweg weten: welke klantgroepen hebben we en welke interactie hebben ze met ons. Deze gegevens worden opgeslagen in bijvoorbeeld een datawarehouse of Big Data Sources (BDS). Vervolgens wordt deze data op vooraf (on)gedefinieerde wijze geanalyseerd en geprofileerd.
Momenteel wordt er door organisaties zoveel mogelijk beschikbare data, tot op individu niveau, verzameld en opgeslagen. Toch weten de meeste organisaties niet of ze alle data die ze verzamelen echt nodig hebben en of ze deze data mogen opslaan. Door de AVG-wetgeving worden organisaties gedwongen om bewuster na te denken over de data die ze opslaan en of de detaillering daarin nodig is.
Er zijn drie situaties binnen deze detaillering:
1. Detaillering van het individu is noodzakelijk
Hierbij worden gegevens van individuen op persoonsniveau vastgehouden in een analytische omgeving. Er moet rekening worden gehouden met ‘het recht om vergeten te worden’. Een organisatie moet op elk moment kunnen aantonen hoe informatie wordt opgeslagen en de gegevens van een individu kunnen verwijderen. Dit kan een grote impact hebben op de technische infrastructuur van het IT-landschap.
2. Detaillering is noodzakelijk maar we maken de gegevens niet identificeerbaar op persoonsniveau
Hierbij is er een behoefte vanuit de organisatie om detaillering te hebben in persoonsgegevens maar is het niet het doel om de persoon te identificeren. Om ervoor te zorgen dat een individu niet meer identificeerbaar is, kan er gekozen worden voor pseudonimisatie of anonimisatie. Bij pseudonimisatie zijn de gegevens van een individu met een sleutel vervangen door een ander algoritme. Hierdoor is niet meer te herleiden om welk individu het gaat. Dit proces kan ongedaan gemaakt worden waardoor een individu weer te identificeren is. Bij anonimisatie worden gegevens ook onherkenbaar gemaakt alleen is het hierbij niet mogelijk om dit proces ongedaan te maken. Als gegevens dus eenmaal ontdaan zijn van identificerende data, is dit onomkeerbaar.
3. Detaillering is niet noodzakelijk en we verwijderen dit detailniveau
Voor bestaande analyse-omgevingen kan het gehele detailleringsniveau verwijderd worden als dit voor een organisatie niet belangrijk is om te hebben. Er wordt dan op één niveau hoger een groepering gemaakt.
Het is dus belangrijk dat een organisatie kijkt naar de doelen die het heeft en op welke manier detaillering van persoonsgegevens gebruikt moeten worden. Bij Incore Solutions kunnen we helpen om te kijken hoe de AVG invloed heeft jouw bedrijf.