Datagedreven werken + AVG: last of lust?
26 november 2021
De ene organisatie is nog aan het experimenteren met datagedreven werken, de andere organisatie schrijft al gericht beleid op basis van informatie. Eén ding is zeker, vroeg of laat werkt ieder dataproject met persoonsgegevens en dan komt de AVG direct om de hoek kijken.
Last of lust? Het ligt eraan wie je het vraagt. De AVG is er namelijk om jou en mij te beschermen, privacy is immers een grondrecht. Deze juridische benadering staat vaak haaks op de pragmatische benadering van dataprojecten. Hierdoor kan het lastig zijn om elkaar te vinden en dezelfde taal te leren spreken. In deze nieuwsbrief nemen we je graag mee in een aantal handvatten om de lasten te verminderen en de lusten te vergroten.
Het profiel van de Privacy Officer
De Privacy Officer (PO) is het aanspreekpunt voor privacyvraagstukken binnen de organisatie. Het profiel van een PO beschrijft vaak een doorpakker, sterke analyticus met een goed probleemoplossend vermogen. Vaak ontbreekt kennis van relevante (technische) ontwikkelingen en informatiebeveiliging in dit profiel. Deze kennis is toch onmisbaar. De PO zit namelijk als spil tussen de (informatie) techniek en de privacywetgeving. Om gerichte maatregelen te adviseren aan team data moet de PO kennis hebben van de techniek die hiermee gepaard gaat, zoals pseudonimiseren en versleuteling. Neem deze kennis op in het profiel van een PO en geef haar of hem de kans om zich hierin te ontwikkelen.
Werken met persoonsgegevens
Binnen team data wordt er veel met persoonsgegevens gewerkt. De verantwoordelijkheid om dit conform de AVG te doen ligt bij alle medewerkers. Dit vraagt om inhoudelijke kennis van de AVG gericht op de dataprojecten. Daarom zijn korte lijnen en goed contact tussen de PO en team data uiterst belangrijk. Zo kun je met elkaar het gesprek aangaan over wat werken conform de AVG inhoudt en welke gevolgen dit heeft voor de dataproducten.
Om slimmer en efficiënter te werken adviseren wij het volgende:
- Beschrijf met elkaar een privacy proces
In dit proces worden de verschillende toets momenten tijdens het dataproject weergegeven. Denk bijvoorbeeld aan een Data Protection Impact Assessment (DPIA) of privacy check uitvoeren, een gegevensleveringsovereenkomst (GLO) afsluiten, etc.
- Benoem verantwoordelijkheden
Beschrijf in het proces de verantwoordelijkheden op het gebied van privacy. Het uitvoeren van een DPIA is bijvoorbeeld soms verplicht en kan aardig wat tijd in beslag nemen. De lijnorganisatie (aanvrager) is verantwoordelijk voor het uitvoeren van de DPIA, niet team data (uitvoerder). De PO hoeft niet overal betrokken bij te worden, maar speelt bijvoorbeeld wel een noodzakelijk rol bij het afsluiten van een GLO om de juiste juridische blik de afspraken te borgen.
- Anonimiseren, aggregeren en pseudonimiseren
Maak goed gebruik van de mogelijkheid om de data van persoonsgegevens te ontdoen (anonimiseren), samen te voegen tot bepaalde groepen bijvoorbeeld van geboortedatum naar jaartal (aggregeren) en de unieke gegevens in de data te vervangen met pseudoniemen (pseudonimiseren). Data die niet herleidbaar is naar een individu valt niet onder de AVG. Gepseudonimiseerde data vallen wel onder de AVG, maar draagt bij aan de integriteit en vertrouwelijkheid van de gegevens (art. 5). Deze maatregel dient dan ook in basis te worden toegepast, als data wordt verzameld en opgeslagen.
Anonimiseren biedt dus mogelijkheden, maar blijf scherp. Herleidbaarheid moet altijd worden getoetst, zeker wanneer bronnen worden gecombineerd. Inkomstenondersteuning is op zichzelf geen persoonsgegeven, maar gecombineerd met een postcode berekening al snel wel. Dit hangt af van hoe vaak er inkomstenondersteuning plaatsvindt binnen die postcode. Daarom is het ook nodig om afspraken te maken over het aggregatieniveau van dataproducten om de anonimiteit te garanderen.
Bepaal samen de spelregels en verantwoordelijkheden en ga structureel de verbinding met elkaar aan.
Concluderend is het belangrijk om zowel aan de kant van datagedreven werken als binnen het privacy team te investeren in vakspecifieke kennis. Bepaal samen de spelregels en verantwoordelijkheden en ga structureel de verbinding met elkaar aan. Het gaat immers over samenwerking.
Zit jij met AVG en datagedreven werken vraagstukken en zou je hier graag eens over sparren? Heb jij behoefte aan een meedenker die deze verbinding in jouw organisatie optuigt?
Neem gerust contact met ons op en vraag naar een van onze adviseurs over dit onderwerp: telefoon 085-4012987
