Home » De impact van de AVG op data analyse: waarmee moet je rekening houden?

De impact van de AVG op data analyse: waarmee moet je rekening houden?

30 november 2020

Artikel geschreven door Anja Meerding, Senior Consultant & Privacy Officer

Wanneer heb je bij data analyse te maken met de AVG? Bij het gebruik van data die persoonsgegevens bevatten. Denk bijvoorbeeld aan het uitvoeren van analyses of het ontwikkelen van rapportages waarbij persoonsgegevens betrokken zijn. In dat geval is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. De AVG spreekt dan van het “verwerken” van persoonsgegevens. Verschillende verplichtingen uit de AVG kunnen van toepassing zijn op deze verwerkingen. In dit artikel, geschreven in samenwerking met Considerati, lichten we de impact van de AVG op het data analyse proces toe.

 

Het data analyse proces

Data Scientists gebruiken vaak het zogeheten ‘Crisp DM model’, dat staat voor Cross Industry Process for Data Mining. Dit model wordt onder andere gebruikt voor de ontwikkeling van voorspelmodellen. Wij bespreken de impact van de AVG en gaan uit van het bredere data analyse proces, waarbij ook wordt ingegaan op het verzamelen en opslaan van de data naast alle andere fases waarin persoonsgegevens kunnen worden verwerkt. Het data analyse proces is flexibel en de fases kunnen per situatie meerdere keren geheel of gedeeltelijk doorlopen worden.

Doordat het verwerken van persoonsgegevens in verschillende procesfases kan voorkomen is het verstandig om al aan het begin van het proces stil te staan bij de mogelijke AVG-verplichtingen. Zo voorkom je onnodige herstelwerkzaamheden en kosten.

 

Het data analyse proces bestaat uit de volgende fases:

Fase 1 | Business understanding
Goed begrip van de business is in deze eerste fase essentieel. Wat doet de business en wat heeft deze nodig? Hier bepaal je de vraag, business doelen en succescriteria en maak je een voorbereidend plan. Belangrijk hierbij zijn de randvoorwaarden en de middelen om tot het doel te komen. Het is belangrijk om helder te maken hoe de organisatie wil omgaan met het mogelijk verwerken van persoonsgegevens gedurende het proces.

Fase 2 | Data understanding
In deze fase ligt de nadruk op begrip van de data. Welke data heb je nodig om de doelen te behalen, welke bronnen zijn er, hoe bruikbaar is de data, zijn er eenduidige data  definities en hoe is de kwaliteit van de data? Ook dient duidelijk te worden of persoonsgegevens onderdeel zijn van de data en zo ja, hoe gevoelig de gegevens zijn.

Fase 3 | Data preparation
Op basis van de resultaten van de voorafgaande fase ga je hier aan de slag om input bestand(en) te genereren voor je data analyse. Selectie, schoning, verrijking en aggregatie van de data komen aan bod. Denk hierbij aan het minimaliseren van de persoonsgegevens in de data: welke gegevens zijn noodzakelijk om het beoogde doel te kunnen halen?

Fase 4 | Data collection
Heb je nieuwe data nodig of wil je data die uit de data preparation fase komt regulier verzamelen en/of updaten of is het een eenmalige exercitie? Verzamel alleen de nodige persoonsgegevens en ga vooraf na of het verweken van deze persoonsgegevens is toegestaan.

Fase 5 | Data storage
In sommige gevallen maak je gebruik van bestaande bestanden en in andere gevallen boor je nieuwe bronnen aan. Wil je de data analyse vaker doen? En is er een analyse omgeving  of een uitbreiding van de bestaande databases nodig? Waar, hoe en hoe lang sla je de data op en wie heeft er toegang tot de data? Is het veilig opslaan en het transport van data goed ingericht?

Fase 6 | Analysis
In deze fase ga je aan de slag met de data. Je bepaalt de aanpak voor data analyse en/of modelkeuze en voert de analyse(s) uit. Het kan zijn dat je hier weer een aantal voorafgaande fases voor moet doorlopen.

Fase 7 | Interpretation & validation
Na de analyse evalueer je de resultaten en het proces aan de hand van eerder bepaalde doelen en criteria. Wat is nu de beste aanpak en wat zijn de vervolgstappen? Check de impact op de privacy van het individu voordat je het resultaat gaat uitrollen. Denk aan ongewenste discriminering.

Fase 8 | Deployment
Als de vorige fases succesvol zijn doorlopen en een structurele uitrol nodig is, dan worden de toepassing en de benodigde processen uitgerold. Monitoring en onderhoud van je analyse of model zijn hier onderdeel van. Wees je ervan bewust dat veranderingen van interne- en externe factoren het resultaat van de toepassing kunnen beïnvloeden en alsnog een ongewenste impact op de privacy kunnen veroorzaken.

Wil je weten of dit bij jouw model het geval is? Doe dan snel de Online APK voor je model en krijg in 5 minuten inzicht.

 

Welke impact heeft de AVG op data analyse?

Wanneer er persoonsgegevens verwerkt worden bij het uitvoeren van data analyse dan speelt de AVG op verschillende manieren een rol. Denk aan:

  • Stel legitieme doelen vast waarvoor persoonsgegevens worden geanalyseerd en documenteer wat de zogeheten “grondslag” is voor het verwerken van persoonsgegevens.
  • Overweeg welke persoonsgegevens noodzakelijk zijn voor de analyse (dataminimalisatie), hoe lang de gegevens bewaard moeten worden (stel bewaartermijnen vast) en hoe de gegevens passend beveiligd kunnen worden. Een belangrijk onderdeel hiervan is de veilige opslag van data en een autorisatiestructuur.
  • Denk na over een zo transparant mogelijke inrichting van het proces, zodat het voor betrokkenen helder is wat er met hun gegevens gebeurt en hoe zij hun privacy rechten kunnen uitoefenen.
  • Zorg voor een proces om de gegevens up-to-date en accuraat te houden en onjuiste gegevens te kunnen wissen of herstellen.
  • Breng de privacy risico’s voor de betrokkenen en de daaruit voortvloeiende risico’s voor de organisatie (imagoschade) vooraf in beeld. Een geschikt middel hiervoor is het uitvoeren van een zogeheten “Data Protection Impact Assessment”.

 

Opleiding

Cmotions en Considerati geven samen opleiding aan data scientists en hun managers en aan juristen die met data science te maken hebben. Bekijk hieronder ons aanbod.

Training AI & AVG data scientists (via Cmotions) >

Training AI & AVG juristen (via Considerati) >

 

Meer weten?

Wil je meer weten over dit onderwerp of heb je een vraag naar aanleiding van dit artikel. Neem dan contact op met Anja Meerding via onderstaande contactgegevens.

Ja! Ik wil meer informatie >

Contact

Wil je meer weten over dit onderwerp? Neem dan contact op met Anja Meerding via onderstaande contactgegevens.

Anja Meerding, Senior Consultant & Privacy Officer

+31 6 54 78 04 24

a.meerding@cmotions.nl

Laatste nieuws

Vind jouw risicovolle bestanden volgens AVG met onze DriveScanner

17 april 2023

In elk bedrijf is het een uitdaging om ervoor te zorgen dat we alleen de documenten... lees meer

Rondetafelsessie – donderdagochtend 25 mei

16 januari 2023

Culture eats data strategy for breakfast​ Bedrijven die erkennen dat ze met de inzet van data... lees meer

Van het voorspellen van de frietverkoop tot het creëren van een betere toekomst met data

20 december 2022

20 jaar Cmotions is ook 20 jaar vakgeschiedenis en -ontwikkeling. Dit geeft waardevolle inzichten voor de... lees meer

Schrijf je in voor onze nieuwsbrief

Mis nooit meer iets op het gebied van advanced analytics, data science en de toepassing daarvan binnen organisaties!