Business intelligence en de AVG: 4 factoren waarop je moet letten
25 mei 2018 hebben velen scherp op het vizier: de datum waarop organisaties die persoonsgegevens opslaan en verwerken, klaar moeten zijn voor de nieuwe Europese privacy-wetgeving, de AVG (in het Engels: GDPR). Maar voldoen aan de wet per 25 mei 2018 betekent niet dat het daarna voor een organisatie ophoudt. Zeker niet. Er gaat op gehandhaafd worden en jurisprudentie ontwikkeld worden. En eigenlijk is dit helemaal niet verkeerd: een goede bescherming van de persoonsgegevens die in je organisatie aanwezig zijn, wordt een steeds belangrijker onderdeel van je bedrijfsvoering. Voor je klanten en daarmee ook voor jou. Dit geldt ook voor de gegevens die je gebruikt voor je business intelligence. Ontdek de vier factoren waarop je moet letten bij business intelligence en de AVG.
Persoonsgegevens in verschillende databronnen
Als organisatie sla je hoogstwaarschijnlijk de informatie over je klanten digitaal op. Zodat je hen beter kunt bedienen én om inzicht te krijgen in de ontwikkelingen bij je klanten. Daarnaast heb je waarschijnlijk een apart digitaal systeem voor het bijhouden van de salarissen en andere HR-gerelateerde aspecten van je werknemers. En monitor je misschien ook wel het gedrag van je klanten op je website, bijvoorbeeld hun surfgedrag of koopgedrag in een webwinkel. Hierdoor sla je dus persoonsgegevens op en deze informatie moet je goed beschermen.
Gevolgen van de AVG
Als het goed is, heb je daarom in het kader van de AVG (en de voorganger hiervan, de WBP) in kaart gebracht welke persoonsgegevens je in welk systeem opslaat, met welk doel en hoe je deze informatie beveiligt. En heb je met collega’s procedures afgesproken over hoe je omgaat met een verzoek om inzage in de persoonsgegevens door de betrokkene en over hoe te handelen bij datalekken. Dit zijn allemaal essentiële onderdelen van het zorgvuldig omgaan met de persoonsgegevens en onderdeel van je data compliance. Maar hoe heb je het geregeld als je voor business intelligence doeleinden de informatie uit verschillende systemen met persoonsgegevens verzamelt en in een datawarehouse opslaat?
AVG-aandachtspunten voor je business intelligence
Bij business intelligence ben je weliswaar op een hoger abstractieniveau bezig en met gecombineerde gegevens, maar ongemerkt sla je misschien toch ook in je datawarehouse gegevens op die te herleiden zijn tot individuen. En voor deze verwerking van de persoonsgegevens heb je misschien van hen geen expliciete toestemming gekregen. Daarom een aantal aandachtspunten:
1. Breng in kaart welke persoonsgegevens je in je datawarehouse opslaat
Met de groeiende hoeveelheid digitale systemen in je organisatie groeit ook de hoeveelheid databronnen waaruit je gegevens overneemt in je datawarehouse. Hou hier nog maar eens goed overzicht over! Gelukkig is daar een “tool” voor: met datalineage (een tijdlijn waarop is aangegeven welke databronnen wanneer zijn toegevoegd en waar ze gebruikt worden) hou je overzicht over de verschillende databronnen. Hierdoor kun je ook makkelijker een register voor de gegevensverwerkingen opstellen, een belangrijk element voor de AVG. Wanneer je goed in kaart hebt gebracht welke persoonsgegevens je in je datawarehouse opslaat, kun je checken of dit nog overeenkomt met de toestemming die mensen geven (bijvoorbeeld bij de acceptatie van de algemene voorwaarden of privacyverklaring) voor het gebruik van hun persoonsgegevens.
3. Zorg voor privacy by design
Wanneer je in kaart hebt gebracht welke persoonsgegevens opgeslagen worden in je datawarehouse, kun je ook nagaan of al deze verwerkingen wel echt noodzakelijk zijn. Bij het overbrengen van de gegevens uit de verschillende databronnen in het datawarehouse hebben organisaties namelijk nog weleens de neiging om alle enigszins relevante gegevenssoorten op te halen uit de bronsystemen. Maar zijn de telefoonnummers en e-mailadressen van je klanten of je werknemers wel echt zo belangrijk om inzicht te krijgen in de groei van je klantenbestand of in de ontwikkelingen in de personeelskosten? Bedenk voordat je de gegevens gaat verzamelen in je datawarehouse of je wel alle velden moet ophalen. Een stuk privacy by design dus.
3. Spreek verwerkersovereenkomsten af
Daarnaast is het goed om in kaart te brengen door welke “handen” de persoonsgegevens die je verzamelt in je datawarehouse eigenlijk gaan. Welke systemen (al dan niet buiten de organisatie) slaan allemaal persoonsgegevens op en leveren ze aan jou aan zodat je ze kunt gebruiken voor je business intelligence? Denk bijvoorbeeld aan de leverancier van een online HR-software pakket of van een online boekhoud-pakket dat jullie gebruiken. Breng deze partijen in kaart en check hoe zij de bescherming en beveiliging van de persoonsgegevens die zij opslaan voor jouw organisatie, geregeld hebben. En sluit met hen verwerkersovereenkomsten af.
4. Maak afspraken over de informatiebeveiliging
Tenslotte is het goed te letten op welke mensen en afdelingen binnen je organisatie allemaal toegang hebben tot je datawarehouse en daarmee ook kunnen inzien welke bronsystemen je gebruikt. Beleg expliciet de verantwoordelijkheden bij de betrokken mensen. Zodat de informatie in je datawarehouse niet alleen zorgvuldig verzameld wordt, maar ook goed beveiligd is.
Business intelligence en AVG: kwaliteitsverhoging van je bedrijfsvoering
Het voldoen aan de AVG is niet altijd makkelijk, maar wel belangrijk. Je zult merken dat bewust omgaan met de bescherming van de persoonsgegevens van je klanten en medewerkers je organisatie naar een hoger plan tilt. Door ook goed naar de bescherming van de gegevens in je datawarehouse te kijken en maatregelen te nemen, onderneem je zorgvuldiger en ben je beter voorbereid op de ontwikkelingen in het gebruik van gegevens. Nu en in de toekomst.
Wil je weten hoe je op een zorgvuldige manier je datawarehouse en business intelligence kunt vormgeven? Bijvoorbeeld met een tijdlijn van je databronnen? En hoe je dit helpt met je uitdagingen in data analytics? Download dan onderstaand eBook