Privacy: Doe het veilig

28 februari 2018

Artikel geschreven door Jeanine Schoonemann en Wendy Hendriks

De handhaving van GDPR (ook wel AVG) staat voor de deur! Nu vraag jij je, als analist, vast af of je er klaar voor bent. En nog veel belangrijker, hoe zit het met al die mooie modellen die jij nu hebt draaien.

In dit artikel vertellen wij je meer over hoe je ervoor kunt zorgen dat jij (met jouw modellen) kunt streven naar GDPR-proof zijn. Aan de hand van een voorbeeld uit de praktijk zullen we stap voor stap vertellen wat belangrijk is en waar je aan moet denken. Uiteraard kent de GDPR nog veel meer elementen, maar die zullen wij in dit artikel niet bespreken.

Het voorbeeld: onze analist Simon heeft een jaar geleden een churnmodel ontwikkeld. Dit model wordt sindsdien ingezet voor marketing campagnes. Klanten krijgen een verschillend aanbod, op basis van hun churnkans en klantwaarde. En met resultaat, deze campagne heeft het aantal churners flink omlaag gebracht. Maar Simon wordt een beetje zenuwachtig nu de handhaving van de GDPR voor de deur staat. Mag dit model nog wel gebruikt worden?

 

Data verwerken

De eerste stap in het beantwoorden van deze vraag is het vaststellen of er persoonsgegevens verwerkt gaan worden. Dat is een gemakkelijke in dit voorbeeld. Er wordt een model gemaakt op basis van klantgegevens, dus het antwoord is hier altijd ja.

 

Grondslag

De volgende stap is de grondslag, hierbij gaat het om:

  1. Er is toestemming van de klant;
  2. Er is een klantrelatie / contract;
  3. Er is sprake van een gerechtvaardigd belang.

Of een klant toestemming heeft gegeven voor het verwerken van zijn gegevens en of de manier waarop toestemming is gevraagd transparant is, dat is niet iets wat Simon weet. Maar alles wat hij niet weet kan hij natuurlijk wel navragen. Als analist in dienst van zijn werkgever is Simon dan wel een verwerker en geen verantwoordelijke, maar dat wil natuurlijk niet zeggen dat hij geen verantwoordelijkheden heeft in het kader van de GDPR. Daarom vraagt hij aan zijn manager of deze dit voor hem wil nagaan. Iets wat belangrijk is voor niet alleen alle andere analisten, maar eigenlijk voor het hele bedrijf!

Omdat we het hier hebben over een churnmodel, kijken we alleen naar actieve klanten en weten we dus ook zeker dat er sprake is van een klantrelatie. Alweer een positief vinkje dus, Simon gaat lekker!

Als laatste voor de grondslag komt dan het gerechtvaardigd belang aan bod, hierbij gaat het erom dat we het belang van privacy afwegen tegen het belang van marketing (in dit geval). Het churnmodel draagt bij aan klantbehoud, de juiste proposities en daarmee aan het voortbestaan van de organisatie en zijn (commerciële) doelstellingen. Dat klinkt als een goede rechtvaardiging van het belang van het maken van dit model.

 

Privacy Impact Assesment (PIA) / Data Protection Impact Assesment (DPIA)

Omdat Simon in zijn model personen scoort/evalueert aan de hand van data en er op basis hiervan geautomatiseerde beslissingen worden genomen schrijft artikel 35 van de GDPR voor dat een PIA/DPIA hier verplicht is. Zoals de naam al doet vermoeden zijn dit te beantwoorden vragen die moeten helpen bij het identificeren van privacy risico’s. En waarmee verantwoording afgelegd kan worden over de gemaakte keuzes. Daarnaast moeten ze ervoor zorgen dat privacybescherming expliciet wordt meegenomen in het ontwerp (van in dit geval een model en campagne). Het uitvoeren hiervan is waarschijnlijk geen verantwoordelijkheid van Simon, aangezien hij vooral analist is. Maar net zoals nu al het geval is, moet Simon wel zijn verantwoordelijkheid nemen voor het correct omgaan met privacy. Mooie vraag voor zijn manager dus weer.

 

Data

Dan is het nu tijd voor de data, want dat moet natuurlijk ook op de juiste manier geregeld zijn. Zo is het voor de GDPR belangrijk dat er sprake is van doelbinding. En dat dit is vastgelegd in een verwerkingsregister binnen de organisatie. In dit register wordt vastgelegd welke verwerkingen worden gedaan, welke data hiermee gemoeid is, welke risico’s hier aan verbonden zijn en welke risico beheersende maatregelen worden getroffen. Daarnaast is hier vastgelegd welke doelen de verwerkingen dienen en wordt er aandacht besteed aan dataminimalisatie en bewaartermijnen.

Simon heeft mazzel, zijn DPO (data privacy officer) heeft al goed werk verricht en het model van Simon staat al netjes in dit register. Dit geeft Simon meteen de bevestiging dat de (interne) data die hij wil gebruiken ook door hem verwerkt mag worden. Had hij dit nou niet zeker geweten, dan had hij dit absoluut even moeten gaan navragen.

Maar naast de interne data maakt Simon als input voor zijn model ook nog gebruik van externe data. Mag dit dan wel? Het antwoord hierop is ja. Maar let wel op, als gebruiker van deze gegevens moet je als organisatie er wel zeker van zijn dat deze externe data verzameld is op een GDPR-goedgekeurde manier. Hier weet Simon niets van, wederom een goede vraag voor zijn manager dus.

 

Model

Simon is op de goede weg! Maar er is iets wat hem nog veel zenuwachtiger maakt dan alle voorgaande punten. Hij heeft namelijk gehoord dat een model alleen nog gebruikt mag worden als je exact weet welke variabelen ervoor gezorgd hebben dat een klant een bepaalde churnkans heeft. Bij een lineaire regressie of decision tree zou dit wel het geval zijn geweest, maar Simon maakt gebruik van een boosted tree.

Een risico dat hiermee samenhangt is bijvoorbeeld het feit dat men klanten niet exact kan uitleggen waarom zij een bepaalde aanbieding hebben gekregen. Gelukkig blijkt het zo te zijn dat de risico’s netjes getoetst, geïnventariseerd en ondervangen zijn in de PIA/ DPIA en de verwerking is vastgelegd in het verwerkingsregister. Daarbij is ook zo ver als mogelijk transparantie gegeven over het gebruikte algoritme en welke data daar dan voor gebruikt is. Mochten er klanten zijn die dit alsnog niet willen, dan kunnen zij zich altijd nog beroepen op hun recht op een menselijke blik.

In het kader van transparantie in het geval van ‘geautomatiseerde besluitvorming’ verwijzen we naar de Guideline van Werkgroep 29 over Profiling, welke definitief is geworden!

 

Conclusie

Simon haalt opgelucht adem, dat GDPR valt toch wel mee. Zijn model mag lekker blijven draaien! Het is vanzelfsprekend goed na te denken over de privacy van je klanten. De GDPR zorgt er vooral voor dat dit een (nog) bewuster en strikter proces wordt waarbij rekening houden met privacy vanzelfsprekend is.

 

Verder lezen

Mocht jouw interesse gewekt zijn door dit artikel en je meer willen weten, lees dan alle informatie over de GDPR op de website van de Autoriteit Persoonsgegevens. Of bekijk een voorbeeld van een PIA Quickscan op Privacychecker.nl. Ben je op zoek naar meer voorbeelden en richtlijnen, kijk dan vooral eens bij Werkgroep 29.

 

Disclaimer

De GDPR is een nieuwe wetgeving en zoals vaak met juridische zaken is de nuance van groot belang, wil je er zeker van zijn dat jouw model of verwerkingen voldoen aan de GDPR richtlijnen en voorwaarden, stem dit dan af met de verantwoordelijke binnen jouw organisatie.

Contact

Wil je meer weten over dit onderwerp? Neem dan contact op met Jeanine Schoonemann of Wendy Hendriks via onderstaande contactgegevens.

Jeanine Schoonemann, Senior Consultant

+31 6 55 89 75 12

j.schoonemann@cmotions.nl

Wendy Hendriks, Manager HR

+31 33 258 28 30

info@cmotions.nl

Laatste nieuws

Nieuwsbrief en AVG: hoe je AVG-proof kan worden

21 maart 2018

“Moeten we eigenlijk nog iets met onze nieuwsbrief doen, nu met die AVG?” AVG betekent Algemene... lees meer

Privacy, waar gaat het heen?

31 augustus 2017

In ons vakgebied van data analyse zien we de veranderingen elkaar steeds sneller opvolgen. Het wordt... lees meer

Winnen met privacy

29 februari 2016

De Europese Privacy Verordening (EPV) zal in 2018 verplicht worden voor alle EU lidstaten en strengere... lees meer

Schrijf je in voor onze nieuwsbrief

Mis nooit meer iets op het gebied van advanced analytics, data science en de toepassing daarvan binnen organisaties!