Hoe maak je data-analyse ook onder de nieuwe privacywetgeving (AVG) mogelijk?

Hoe maak je data-analyse ook onder de nieuwe privacywetgeving (AVG) mogelijk? - Viacryp

Sinds 25 mei 2018 is de nieuwe privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG) van kracht. Deze wet heeft voor zowel de publieke sector als voor de private sector grote gevolgen. De behoefte naar data-analyse is de afgelopen jaren sterk gegroeid en de meerwaarde om te sturen op uitkomsten van data-analyse wordt steeds zichtbaarder. De grote vraag is dan ook: Hoe maak je data-analyse ook onder de nieuwe privacywetgeving mogelijk?

De AVG in het kort

De AVG is in mei 2016 aangenomen met een overgangsperiode van twee jaar. De wet brengt voor veel organisaties stevige veranderingen en verplichtingen met zich mee. Zo ben je verplicht om elke verwerking met persoonsgegevens vast te leggen in een verwerkingsregister en zijn de rechten van individuen uitgebreid waardoor de privacy van betrokkenen beter is gewaarborgd. Daarnaast is het verwerken van persoonsgegevens alleen toegestaan als dit gebeurt op basis van één van de wettelijke grondslagen (zoals toestemming van de betrokkenen) en voor een van tevoren bepaald doel. De Autoriteit Persoonsgegevens (AP) heeft een overzichtelijk stappenplan opgesteld met alle belangrijke AVG-thema’s waarop organisaties zich moeten voorbereiden.

Worden we nu dan beperkt in het doen van data-analyse met persoonsgegevens?

Organisaties worden niet zozeer beperkt in het doen van data-analyses, maar de manier waarop deze mogen worden uitgevoerd is in vergelijking met de oude privacywetgeving, de Wet bescherming persoonsgegevens (Wbp), aangescherpt. Zo moeten gegevens op een behoorlijke, rechtmatige en transparante manier worden verwerkt en mag je niet meer gegevens gebruiken dan noodzakelijk voor het van tevoren bepaalde en omschreven doel. Naast de nieuwe regels rondom het verwerken en vastleggen van persoonsgegevens, krijgen organisaties een grotere verantwoordelijkheid voor mogelijk negatieve gevolgen voor de betrokkenen. Organisaties moeten zich achteraf kunnen verantwoorden waarom ze bepaalde persoonsgegevens hebben gebruikt. Het nemen van de juiste technische en organisatorische maatregelen om de privacy van de betrokkenen te beschermen, zijn hierdoor van groot belang geworden.

Welke maatregelen kan een organisatie nemen om de privacy van de betrokkenen te beschermen?

Er zijn inmiddels goede oplossingen beschikbaar om analyses te kunnen uitvoeren zonder dat de gegevens herleidbaar zijn naar individuen en de privacy van de betrokkenen dus is gewaarborgd. Zo kun je gegevens aggregeren waardoor je alleen nog totalen zichtbaar maakt (“1000 klanten hebben de winkel bezocht”). Ook bestaan er technieken zoals anonimiseren en pseudonimiseren, waardoor de gegevens niet of niet meer direct herleidbaar zijn naar een persoon.

Een herkenbaar praktijkvoorbeeld

Veel bedrijven doen onderzoek naar klantgedrag (koopgedrag, herhaalaankopen, tevredenheid). Voor deze onderzoeken gebruikt men gegevens vanuit verschillende bronnen om zo inzicht te krijgen in de redenen waarom een klant wel of niet terugkomt. Voor dergelijke onderzoeken, waarbij de klant toestemming geeft om zijn gegevens voor dit doel te verwerken, is het vaak niet van belang om exact te weten en vast te leggen hoe een individuele klant denkt over de organisatie. Het gaat erom hoe de klanten als groep de dienstverlening ervaren en op welke onderdelen zij vinden dat de organisatie haar dienstverlening kan verbeteren. Dit is nu precies wat de AVG zegt over het doen van onderzoek met persoonsgegevens: indien het niet noodzakelijk is om onderzoeksresultaten terug te kunnen herleiden naar individuele personen, zorg er dan ook voor dat er maatregelen zijn genomen om de herleidbaarheid zo klein mogelijk te maken.

Pseudonimisering van persoonsgegevens

Een goed voorbeeld van een maatregel om de herleidbaarheid te minimaliseren is pseudonimisering. Door gebruik te maken van pseudonimisering is het mogelijk de herleidbare persoonsgegevens (zoals een klantnummer of klantnaam) om te zetten in een pseudoniem, waardoor er onderzoek kan worden gedaan met voor de onderzoekers niet-herkenbare klantgegevens. Hiermee krijgt de organisatie wel inzicht in klanttevredenheid en het verbeterpotentieel van haar dienstverlening, maar op een manier waarmee de privacy van de betrokkenen is gewaarborgd.

Samengevat: data-analyse is ook onder de AVG prima mogelijk. Belangrijk is wel dat je van tevoren nadenkt over de te nemen maatregelen om de gegevens te beveiligen en om (in)directe herleidbaarheid te voorkomen. Juist dan kun je achteraf zeggen dat je voldoende hebt gedaan om de privacy van de betrokkenen te beschermen.

Definitie “pseudonimisering” in de AVG: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.

Lees ook:

Patrick van den Bos

Over ons - Patrick van den Bos - Viacryp

Patrick is CIPP/E gecertificeerd en is sinds 2016 actief als privacy consultant waarbij hij organisaties helpt op een verantwoorde manier met persoonsgegevens om te gaan en compliant te worden aan de Algemene Verordening Gegevensbescherming (AVG). Daarnaast adviseert hij organisaties bij het nemen van technische en organisatorische maatregelen en het gebruik van Privacy Enhancing Technologies (PET).