28 februari 2018
De handhaving van GDPR (ook wel AVG) staat voor de deur! Nu vraag jij je, als analist, vast af of je er klaar voor bent. En nog veel belangrijker, hoe zit het met al die mooie modellen die jij nu hebt draaien.
In dit artikel vertellen wij je meer over hoe je ervoor kunt zorgen dat jij (met jouw modellen) kunt streven naar GDPR-proof zijn. Aan de hand van een voorbeeld uit de praktijk zullen we stap voor stap vertellen wat belangrijk is en waar je aan moet denken. Uiteraard kent de GDPR nog veel meer elementen, maar die zullen wij in dit artikel niet bespreken.
Het voorbeeld: onze analist Simon heeft een jaar geleden een churnmodel ontwikkeld. Dit model wordt sindsdien ingezet voor marketing campagnes. Klanten krijgen een verschillend aanbod, op basis van hun churnkans en klantwaarde. En met resultaat, deze campagne heeft het aantal churners flink omlaag gebracht. Maar Simon wordt een beetje zenuwachtig nu de handhaving van de GDPR voor de deur staat. Mag dit model nog wel gebruikt worden?
De eerste stap in het beantwoorden van deze vraag is het vaststellen of er persoonsgegevens verwerkt gaan worden. Dat is een gemakkelijke in dit voorbeeld. Er wordt een model gemaakt op basis van klantgegevens, dus het antwoord is hier altijd ja.
De volgende stap is de grondslag, hierbij gaat het om:
Of een klant toestemming heeft gegeven voor het verwerken van zijn gegevens en of de manier waarop toestemming is gevraagd transparant is, dat is niet iets wat Simon weet. Maar alles wat hij niet weet kan hij natuurlijk wel navragen. Als analist in dienst van zijn werkgever is Simon dan wel een verwerker en geen verantwoordelijke, maar dat wil natuurlijk niet zeggen dat hij geen verantwoordelijkheden heeft in het kader van de GDPR. Daarom vraagt hij aan zijn manager of deze dit voor hem wil nagaan. Iets wat belangrijk is voor niet alleen alle andere analisten, maar eigenlijk voor het hele bedrijf!
Omdat we het hier hebben over een churnmodel, kijken we alleen naar actieve klanten en weten we dus ook zeker dat er sprake is van een klantrelatie. Alweer een positief vinkje dus, Simon gaat lekker!
Als laatste voor de grondslag komt dan het gerechtvaardigd belang aan bod, hierbij gaat het erom dat we het belang van privacy afwegen tegen het belang van marketing (in dit geval). Het churnmodel draagt bij aan klantbehoud, de juiste proposities en daarmee aan het voortbestaan van de organisatie en zijn (commerciële) doelstellingen. Dat klinkt als een goede rechtvaardiging van het belang van het maken van dit model.
Omdat Simon in zijn model personen scoort/evalueert aan de hand van data en er op basis hiervan geautomatiseerde beslissingen worden genomen schrijft artikel 35 van de GDPR voor dat een PIA/DPIA hier verplicht is. Zoals de naam al doet vermoeden zijn dit te beantwoorden vragen die moeten helpen bij het identificeren van privacy risico’s. En waarmee verantwoording afgelegd kan worden over de gemaakte keuzes. Daarnaast moeten ze ervoor zorgen dat privacybescherming expliciet wordt meegenomen in het ontwerp (van in dit geval een model en campagne). Het uitvoeren hiervan is waarschijnlijk geen verantwoordelijkheid van Simon, aangezien hij vooral analist is. Maar net zoals nu al het geval is, moet Simon wel zijn verantwoordelijkheid nemen voor het correct omgaan met privacy. Mooie vraag voor zijn manager dus weer.
Dan is het nu tijd voor de data, want dat moet natuurlijk ook op de juiste manier geregeld zijn. Zo is het voor de GDPR belangrijk dat er sprake is van doelbinding. En dat dit is vastgelegd in een verwerkingsregister binnen de organisatie. In dit register wordt vastgelegd welke verwerkingen worden gedaan, welke data hiermee gemoeid is, welke risico’s hier aan verbonden zijn en welke risico beheersende maatregelen worden getroffen. Daarnaast is hier vastgelegd welke doelen de verwerkingen dienen en wordt er aandacht besteed aan dataminimalisatie en bewaartermijnen.
Simon heeft mazzel, zijn DPO (data privacy officer) heeft al goed werk verricht en het model van Simon staat al netjes in dit register. Dit geeft Simon meteen de bevestiging dat de (interne) data die hij wil gebruiken ook door hem verwerkt mag worden. Had hij dit nou niet zeker geweten, dan had hij dit absoluut even moeten gaan navragen.
Maar naast de interne data maakt Simon als input voor zijn model ook nog gebruik van externe data. Mag dit dan wel? Het antwoord hierop is ja. Maar let wel op, als gebruiker van deze gegevens moet je als organisatie er wel zeker van zijn dat deze externe data verzameld is op een GDPR-goedgekeurde manier. Hier weet Simon niets van, wederom een goede vraag voor zijn manager dus.
Simon is op de goede weg! Maar er is iets wat hem nog veel zenuwachtiger maakt dan alle voorgaande punten. Hij heeft namelijk gehoord dat een model alleen nog gebruikt mag worden als je exact weet welke variabelen ervoor gezorgd hebben dat een klant een bepaalde churnkans heeft. Bij een lineaire regressie of decision tree zou dit wel het geval zijn geweest, maar Simon maakt gebruik van een boosted tree.
Een risico dat hiermee samenhangt is bijvoorbeeld het feit dat men klanten niet exact kan uitleggen waarom zij een bepaalde aanbieding hebben gekregen. Gelukkig blijkt het zo te zijn dat de risico’s netjes getoetst, geïnventariseerd en ondervangen zijn in de PIA/ DPIA en de verwerking is vastgelegd in het verwerkingsregister. Daarbij is ook zo ver als mogelijk transparantie gegeven over het gebruikte algoritme en welke data daar dan voor gebruikt is. Mochten er klanten zijn die dit alsnog niet willen, dan kunnen zij zich altijd nog beroepen op hun recht op een menselijke blik.
In het kader van transparantie in het geval van ‘geautomatiseerde besluitvorming’ verwijzen we naar de Guideline van Werkgroep 29 over Profiling, welke definitief is geworden!
Simon haalt opgelucht adem, dat GDPR valt toch wel mee. Zijn model mag lekker blijven draaien! Het is vanzelfsprekend goed na te denken over de privacy van je klanten. De GDPR zorgt er vooral voor dat dit een (nog) bewuster en strikter proces wordt waarbij rekening houden met privacy vanzelfsprekend is.
Mocht jouw interesse gewekt zijn door dit artikel en je meer willen weten, lees dan alle informatie over de GDPR op de website van de Autoriteit Persoonsgegevens. Of bekijk een voorbeeld van een PIA Quickscan op Privacychecker.nl. Ben je op zoek naar meer voorbeelden en richtlijnen, kijk dan vooral eens bij Werkgroep 29.
De GDPR is een nieuwe wetgeving en zoals vaak met juridische zaken is de nuance van groot belang, wil je er zeker van zijn dat jouw model of verwerkingen voldoen aan de GDPR richtlijnen en voorwaarden, stem dit dan af met de verantwoordelijke binnen jouw organisatie.
Wil je meer weten over dit onderwerp? Neem dan contact op met Jeanine Schoonemann via onderstaande contactgegevens.
27 januari 2022
Net als vorig jaar hebben wij kritisch gekeken naar de belangrijkste trends op het gebied van... lees meer
19 november 2021
Als je in kaart hebt gebracht over welke gevoelige informatie jouw organisatie beschikt, kun je hiervoor... lees meer
28 oktober 2021
In ons eerste artikel heb je kunnen lezen wat de AVG zegt over de privacy van... lees meer