Het is nu bijna een jaar geleden dat de Algemene Verordening Gegevensbescherming (AVG, in het Engels: GDPR) van de EU in werking trad. De AVG is tot op heden de meest ambitieuze privacywet ter wereld, met verregaande rechten voor individuele burgers en zeer stringente verplichtingen voor organisaties die op grote schaal persoonsgegevens verzamelen en verwerken. En dat laatste maakt een hoop datamanagers nerveus. Want hoe voldoe je aan de wet als je niet precies weet welke persoonsgegevens je in huis hebt, waar deze zijn ondergebracht en hoe je deze het beste kan beschermen?
Kort gezegd definieert de AVG persoonsgegevens (Personal Identifiable Information, of PII) als: alle informatie over een natuurlijk persoon die direct of indirect kan worden geïdentificeerd aan de hand van een naam, persoonsnummer als BSN, locatiegegevens of online identificator waarmee de fysieke, psychische, economische, culturele of sociale identiteit kan worden achterhaald. Zoals bekend geeft de AVG Europese burgers het recht om bij iedere organisatie op te vragen welke persoonsgegevens het van hen in huis heeft, alsook het recht om vergeten te worden of de PII aan een andere organisatie te overhandigen (bekend als dataportabiliteit). Wie niet aan deze bepalingen voldoet, riskeert hoge boetes van maximaal 20 miljoen euro of 4% van de wereldwijde omzet.
Want hoe voldoe je aan de wet als je niet precies weet welke persoonsgegevens je in huis hebt …?
Ook bestaat er de mogelijkheid dat bedrijven en overheidsinstellingen die grote hoeveelheden persoonsdata verzamelen en verwerken, verplicht een zogeheten Data Privacy Impact Assessment (DPIA) moeten uitvoeren. Dat houdt in dat de organisatie bij het bouwen van een informatiesysteem of aanleggen van databestanden in vroeg stadium in kaart moet brengen wat de mogelijke privacyrisico’s kunnen zijn. De DPIA lijkt misschien een last, wéér bureaucratische rompslomp uit de koker van Brussel. Echter is het zo dat een bedrijf met een goed uitgevoerde DPIA niet alleen (onbedoelde) privacyschendingen, datalekken of aanvallen van buiten kan voorkomen; met AVG-compliance onderscheidt de organisatie zich van de concurrentie en is het goed voorbereid op interne en externe audits.
Met AVG-compliance onderscheidt de organisatie zich van de concurrentie en is het goed voorbereid op interne en externe audits.
Maar voor het zover is, moet dus eerst bekend zijn welke persoonsgegevens het bedrijf in huis heeft en hoe deze het beste kan worden opgeslagen, verwerkt en waar nodig geanonimiseerd. Een groot probleem waar veel organisaties mee worstelen is dat ze te maken hebben met gigantische datameren, die verspreid over afdelingen, datacentra of in verzuilde constructies zijn opgeslagen, met als gevolg dat het overzicht compleet zoek is. Wanneer een informatieverzoek of audit zich aandient, kan het dagen, weken of zelfs maanden kosten om de juiste informatie te achterhalen, alle documenten door te spitten en privacy- en concurentiegevoelige informatie weg te lakken, al dan niet handmatig. Totaal onnodig, want met de laatste ontwikkelingen op het gebied van automatisering, machine learning en kunstmatige intelligentie kan men flink besparen op kosten en winnen aan effectiviteit en nauwkeurigheid.
Met de laatste ontwikkelingen op het gebied van automatisering, machine learning en kunstmatige intelligentie kan men flink besparen op kosten en winnen aan effectiviteit en nauwkeurigheid!
Met onder andere textdatamining, statistische klassificatie en natuurlijke taalverwerking kunnen (verouderde) databestanden tot op het meest fijnmazige niveau doorzoekbaar worden gemaakt. Medewerkers kunnen aan de hand van een eenvoudig template hun documenten en emailconversaties inclusief bijlages uploaden naar het systeem in de cloud, die deze uitpakt en direct doorzoekbaar maakt. In een overzichtelijk dashboard is vervolgens precies te zien welke documenten waarvandaan komen, welke al zijn beoordeeld en gelakt en wie de behandelaar is. Aan de hand van patroonherkenning achterhaalt de software direct de persoonsgegevens en anonimiseert deze. Aldus neemt de computer het saaie doorzoekwerk over en kan de mens zich weer richten op de meer inhoudelijke taken.
Sinds mei 2018 biedt ZyLAB’s ONE eDiscovery een SaaS-oplossing voor gegevensopslag die volledig AVG-compliant is. Door gebruik te maken van de nieuwste beveiligings- en versleutelingsstandaarden is deze opossing vele malen kosteneffectiever dan iedere mogelijke investering in lokale data-opslag. Nieuwsgierig? Download hier de whitepaper over privacy en persoonlijke data in het tijdperk van de AVG, of lees meer over de meest geavanceerde technieken die eDiscovery te bieden heeft.