blog

Werken met data: privacy en security

Niemand kan er meer omheen: correct omgaan met de gegevens en privacy van Nederlandse burgers. Het laatste woord over de discussies met betrekking tot onze privacy en het ontwikkelen van een corona-app, die moet helpen met het bestrijden van de verspreiding van het coronavirus, is nog niet gezegd. Dat zien we terug in een opiniepanel van 1vandaag, waarbij ruim een derde (39 procent) van de Nederlandse bevolking van mening is dat het bestrijden van het coronavirus in Nederland op geen enkele manier ten koste mag gaan van de privacy van burgers. Eenzelfde groep (35 procent) denkt zelfs dat de overheid misbruik zal maken van de data die zo'n app eventueel op kan slaan. Duidelijke zorgen dus over data die in verkeerde handen valt, of tot de beschikking komt van onze overheid. In Nederland zijn we zeer gehecht aan onze vrijheid en zien we een inbreuk op onze privacy als een aanval op die vrijheid. De bescherming van persoonsgegevens is zelfs een expliciet recht in onze grondwet.

Startups, softwareontwikkelaars, marketeers en andere bedrijven die data verzamelen, zijn in eerste instantie voorzichtig, misschien zelfs huiverig, om met data aan de slag te gaan. Die voorzichtigheid is terecht. Want kritisch kijken naar welke data je verzamelt of gaat verzamelen, welke persoonsgegevens zich daartussen bevinden en of je je daarmee aan de regels van onder andere de Algemene verordening gegevensbescherming (AVG) houdt, is de eerste stap.

Regelgeving rondom data betekent niet dat je helemaal niets kan of mag met data. Het kan juist heel waardevol zijn, ook wanneer je je aan de regels houdt. Daarom heb ik een aantal uitgangspunten op een rij gezet om binnen de regels succesvol te werken met data.

Bezit en verzamel zo min mogelijk gevoelige data 

Voor softwareontwikkelaars betekent dit het toepassen van privacy by design. Simpel gezegd; je denkt vanaf het begin van een project na over hoe je de privacy van de gebruiker waarborgt en je past dataminimalisatie toe. Je vraagt niet om gegevens die je niet nodig hebt. Een bekend voorbeeld van hoe het juist niet moet, ben je vast wel eens tegengekomen. Zo wordt regelmatig je geboortedatum gevraagd bij het bestellen van een product op een webshop. Maar er zijn weinig gevallen waarbij die informatie strikt noodzakelijk is voor het verwerken van je bestelling. Dus het advies in alle andere gevallen: laat het weg.

Minder data verzamelen? We willen toch juist meer? Dataminimalisatie hoef je ook niet toe te passen op gegevens die niet herleidbaar zijn tot een persoon. Heb je een online tool of ander platform waarvan je het volledige gebruik bijhoudt, zonder dat hier direct gebruikersaccounts aan gekoppeld zijn? Dan verzamel je alsnog zeer waardevolle informatie. Bijvoorbeeld de tijdstippen waarop het druk is, statistieken over e-mailberichten die verstuurd worden, het aantal chat-interacties enzovoorts. Welke extra informatie kun je verzamelen naast de gegevens die je meet met standaard analytics oplossingen? Zorg wel dat de basis goed ingericht is en dat de data die je verzamelt, relevant is.
 

Verwerken van gevoelige data

Vraag je persoonsgegevens? Ben daar zo transparant mogelijk over naar de personen waarvan je de data verzamelt. Vraag die personen expliciet om toestemming voor het verzamelen en verwerken van hun persoonsgegevens. Leg ook tot in de detail uit wat je met de verzamelde data doet, waarom je die data nodig hebt en neem die grondslag op in je privacyverklaring. Dat is een essentieel onderdeel van de AVG. Wil je de verzamelde persoonsgegevens delen met derde partijen? Daar moet volgens de AVG expliciet toestemming voor gegeven worden en er moet duidelijk bijstaan met welke derde partijen de gegevens worden gedeeld.

Zorg daarnaast voor verwerkersovereenkomsten, een verwerkingsregister en bekijk of het nodig is om een zogeheten Data protection impact assessment (DPIA) uit te voeren. Met dit assessment breng je vooraf de privacyrisico’s van een gegevensverwerking in kaart om vervolgens de juiste maatregelen te kunnen nemen om de risico’s te verkleinen. Ben daarnaast op de hoogte van alle wet- en regelgeving waaraan je moet voldoen. De AVG is namelijk niet de enige wet- en regelgeving die toeziet op privacy.

Naast privacy by design is het ook verstandig om security by design toe te passen. Dit houdt in dat vanaf het begin van het project nagedacht wordt over hoe de data veilig kan worden verwerkt en opgeslagen. Zaken om rekening mee te houden zijn beschikbaarheid, integriteit en vertrouwelijkheid van de data. Hierbij horen onder andere goed doordachte werkprocessen, fysieke toegangsbeveiliging en duidelijke afspraken met leveranciers. Maar bijvoorbeeld ook het uitvoeren van informatieclassificatie en het toepassen van encryptie. Het helpt enorm als de softwareontwikkelaar werkt volgens de ISO 27001-standaard: de internationale norm voor informatiebeveiliging. En, in het geval van medische gegevens, daarop aanvullend werkt met de NEN 7510-norm.

Aan de slag met gevoelige data

Je hebt goed nagedacht over hoe je omgaat met gevoelige gegevens. Maar hoe ga je hier daadwerkelijk mee aan de slag? Denk bijvoorbeeld aan het anonimiseren van de gegevens door de directe relatie met een persoon los te koppelen. Als de gegevens op geen enkele manier herleidbaar zijn, verliest de data zijn gevoeligheid. Maar daarmee wordt het niet minder waardevol. Hetzelfde geldt voor pseudonimiseren, in dat geval vervang je de gegevens die herleidbaar zijn naar een persoon door dummy-data. Namen worden bijvoorbeeld vervangen door willekeurig gegenereerde nepnamen. Dat is in sommige gevallen handiger voor je analyses of data-visualisaties dan dat je die data zou weglaten. Data aggregeren, oftewel samenvoegen, is ook een optie. Je voert dan analyses uit op de totale verzameling van gegevens. Individuele gegevens zijn dan minder interessant. 

Neem bijvoorbeeld een systeem waarin mensen recepten verzamelen. Wanneer je weet dat persoon A alleen glutenvrije recepten verzamelt, dan zegt die data iets over persoon A. Die informatie valt dus onder de definitie van persoonsgegevens. Heeft je systeem echter 100.000 gebruikers, dan is het wèl interessant om te weten hoeveel procent daarvan glutenvrije recepten verzamelt. In de dataset hoeft niet vermeld te worden dat dit onder andere persoon A is. De dataset is dus prima te analyseren zonder naam of overige gegevens van persoon A. 

Hetzelfde geldt voor patiëntendata. Daar moet natuurlijk nog veel kritischer en voorzichtiger mee omgegaan worden. Bovendien geldt er voor medische gegevens aanvullende wet- en regelgeving, zoals de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. Maar ook in dat geval is een dataset te anonimiseren. Zelfs wanneer de data of een deel daarvan versleuteld is opgeslagen. De persoon waar de gegevens aan gekoppeld zijn, is veel minder interessant dan het analyseren van trends of uitschieters in de gehele dataset.

Een hele duidelijke disclaimer is natuurlijk wel dat je nieuwe dataset met geen één mogelijkheid herleidbaar is. Ook niet door deze naast een gebruikersbestand te leggen of door gegevens als IP-adressen of tijdsregistraties aan elkaar te koppelen. 

Zit er geen gevoelige data in je dataset?

Dan kun je natuurlijk helemaal losgaan met je analyses. Kijk bijvoorbeeld naar de tips van mijn collega Jessie wanneer je in jouw organisatie net aan de slag gaat met data. Ben je al wat stappen verder? Dan is dit artikel over een data driven organisatie wat voor jou.