Wat is de impact van AVG op het data-analyseproces?

20 januari 2021 Consultancy.nl 4 min. leestijd
Profielen
Meer nieuws over

Steeds meer organisaties analyseren hun data voor (diepgaande) inzichten. In sommige gevallen, vooral wanneer persoonsgegevens worden verwerkt, hebben data scientists te maken met de Algemene Verordening Gegevensbescherming (AVG). Anja Meerding van Cmotions en Sybren Spoelstra van Considerati lichten de impact van de AVG op het data-analyseproces toe.

Doordat het verwerken van persoonsgegevens in verschillende procesfases kan voorkomen is het verstandig om al aan het begin van het proces stil te staan bij de mogelijke AVG-verplichtingen. Zo voorkom je onnodige herstelwerkzaamheden en kosten.

Het data-analyseproces bestaat uit de volgende fases:

Het data-analyse proces

Fase 1 | Business understanding
Goed begrip van de business is in deze eerste fase essentieel. Wat doet de business en wat heeft deze nodig? Hier bepaal je de vraag, businessdoelen en succescriteria en maak je een voorbereidend plan. Belangrijk hierbij zijn de randvoorwaarden en de middelen om tot het doel te komen. Het is belangrijk om helder te maken hoe de organisatie wil omgaan met het mogelijk verwerken van persoonsgegevens gedurende het proces.

Fase 2 | Data understanding
In deze fase ligt de nadruk op begrip van de data. Welke data heb je nodig om de doelen te behalen, welke bronnen zijn er, hoe bruikbaar is de data, zijn er eenduidige datadefinities en hoe is de kwaliteit van de data? Ook dient duidelijk te worden of persoonsgegevens onderdeel zijn van de data en zo ja, hoe gevoelig de gegevens zijn.

Fase 3 | Data preparation
Op basis van de resultaten van de voorafgaande fase ga je hier aan de slag om inputbestand(en) te genereren voor je data-analyse. Selectie, schoning, verrijking en aggregatie van de data komen aan bod. Denk hierbij aan het minimaliseren van de persoonsgegevens in de data: welke gegevens zijn noodzakelijk om het beoogde doel te kunnen halen?

Fase 4 | Data collection
Heb je nieuwe data nodig of wil je data die uit de data preparation-fase komt regulier verzamelen en/of updaten of is het een eenmalige exercitie? Verzamel alleen de nodige persoonsgegevens en ga vooraf na of het verwerken van deze persoonsgegevens is toegestaan. 

Fase 5 | Data storage
In sommige gevallen maak je gebruik van bestaande bestanden en in andere gevallen boor je nieuwe bronnen aan. Wil je de data-analyse vaker doen? En is er een analyseomgeving of een uitbreiding van de bestaande databases nodig? Waar, hoe en hoe lang sla je de data op en wie heeft er toegang tot de data? Is het veilig opslaan en het transport van data goed ingericht?

Fase 6 | Analysis
In deze fase ga je aan de slag met de data. Je bepaalt de aanpak voor data-analyse en/of modelkeuze en voert de analyse(s) uit. Het kan zijn dat je hier weer een aantal voorafgaande fases voor moet doorlopen. 

Fase 7 | Interpretation & validation
Na de analyse evalueer je de resultaten en het proces aan de hand van eerder bepaalde doelen en criteria. Wat is nu de beste aanpak en wat zijn de vervolgstappen? Check de impact op de privacy van het individu voordat je het resultaat gaat uitrollen. Denk aan ongewenste discriminering. 

Fase 8 | Deployment
Als de vorige fases succesvol zijn doorlopen en een structurele uitrol nodig is, dan worden de toepassing en de benodigde processen uitgerold. Monitoring en onderhoud van je analyse of model zijn hier onderdeel van. Wees je ervan bewust dat veranderingen van interne- en externe factoren het resultaat van de toepassing kunnen beïnvloeden en alsnog een ongewenste impact op de privacy kunnen veroorzaken.

Welke impact heeft de AVG op data-analyse?

Wanneer er persoonsgegevens verwerkt worden bij het uitvoeren van data-analyse dan speelt de AVG op verschillende manieren een rol. Denk aan:

  • Stel legitieme doelen vast waarvoor persoonsgegevens worden geanalyseerd en documenteer wat de zogeheten ‘grondslag’ is voor het verwerken van persoonsgegevens.
  • Overweeg welke persoonsgegevens noodzakelijk zijn voor de analyse (dataminimalisatie), hoelang de gegevens bewaard moeten worden (stel bewaartermijnen vast) en hoe de gegevens passend beveiligd kunnen worden. Een belangrijk onderdeel hiervan is de veilige opslag van data en een autorisatiestructuur.
  • Denk na over een zo transparant mogelijke inrichting van het proces, zodat het voor betrokkenen helder is wat er met hun gegevens gebeurt en hoe zij hun privacyrechten kunnen uitoefenen.
  • Zorg voor een proces om de gegevens up-to-date en accuraat te houden en onjuiste gegevens te kunnen wissen of herstellen.
  • Breng de privacyrisico’s voor de betrokkenen en de daaruit voortvloeiende risico’s voor de organisatie (imagoschade) vooraf in beeld. Een geschikt middel hiervoor is het uitvoeren van een zogeheten ‘Data Protection Impact Assessment’. 

Anja Meerding is Senior Consultant bij Cmotions. Sybren Spoelstra is Legal Consultant Privacy & Data Protection bij Considerati.

Lees ook

Data Science nieuws

Data Science adviesbureaus Data Science consultancy diensten

Privacy nieuws

Meer Privacy

Cmotions nieuws

Cmotions nieuws

Considerati nieuws

Considerati nieuws