In ons eerste artikel heb je kunnen lezen wat de AVG zegt over de privacy van klanten. In dit artikel zoomen we in op de mogelijk herleidbare gegevens waarover jouw organisatie beschikt en hoe je deze kunt identificeren.
Inventariseer de soorten gegevens die je onderhoudt
Binnen je bedrijf zijn diverse soorten persoonsgegevens beschikbaar:
- Reguliere persoonsgegevens, zoals naam, adres, woonplaats, postcode, geboortedatum, geslacht, klantnummer e.d.
- Bijzondere persoonsgegevens, zoals gezondheidsgegevens e.d.
- Gevoelige persoonsgegevens, zoals bankrekeningnummers e.d.
Om risico’s zoveel mogelijk te beperken, maken we onderscheid tussen persoonsgegevens die identificatie van een persoon mogelijk maken en persoonsgegevens die los van een persoon (bijvoorbeeld als proces) geanalyseerd kunnen worden:
Naast de voorbeelden in bovenstaande tabel is het mogelijk dat organisaties over persoonsgegevens beschikken omdat klanten gebruikmaken van zogenaamde open tekstvelden. Mensen laten bijvoorbeeld vaak hun contactgegevens achter in een opmerkingenveld, omdat ze het contactformulier niet kunnen vinden. Het soort informatie dat in een open veld kan voorkomen, bepaalt de benodigde aanpak voor het borgen van privacy. Hierbij hoeft de informatiewaarde van een open veld voor analyses of rapportages niet per se verloren te gaan. Belangrijk is dus dat organisaties uiterst voorzichtig met deze informatie omgaan.
Er wordt ook onderscheid gemaakt tussen direct en indirect identificerende gegevens. Dit onderscheid is niet expliciet beschreven in de AVG, maar wordt met goedkeuring van het CBP wel gemaakt in de ‘Gedragscode voor gebruik van persoonsgegevens in wetenschappelijk onderzoek’. Direct identificerend gegevens zijn bijvoorbeeld BSN’s waarmee een persoon uniek wordt aangeduid. Indirect identificerende gegevens zijn postcodes of geboortedata.
Let wel op: Als je gegevens combineert, is het vrijwel altijd duidelijk om wie het gaat. Onderzoek wijst uit dat een combinatie van drie of vier indirect identificerende gegevens die in geaggregeerde vorm opgeslagen is (zoals postcode, leeftijd, geslacht, e.d.), tot een identificatie van een (natuurlijk) persoon kan leiden.
Privacygevoelige data ontdekken? Werk bijvoorbeeld met reguliere expressies
Reguliere expressies (RegEx) zijn beschikbaar binnen de meeste programmeertalen en helpen bij het identificeren van gevoelige gegevens. Dit zijn bijvoorbeeld e-mailadressen, datums, BSN’s of creditcardgegevens. Als je organisatie over onvoldoende tools en/of expertise beschikt op het gebied van datamanagement (zoals bijvoorbeeld data dictionaries), dan kunnen reguliere expressies ondersteunen bij het definiëren van persoonsgegevens.
In ons laatste artikel gaan we dieper in op een aantal functionele mogelijkheden waarvoor je reguliere expressies kunt inzetten.
Stay tuned!
Wil je op de hoogte blijven van de volgende artikelen over dit onderwerp? Volg ons op LinkedIn.
Stay tuned >
Contact
Wil je meer weten over dit onderwerp? Neem dan contact op met Jeroen Groothedde of Michaela Legerstee via onderstaande contactgegevens.
Michaela Legerstee, Senior Consultant
+31 6 31 00 52 81
m.legerstee@cmotions.nl
Jeroen Groothedde, Senior Consultant
+31 6 22 88 89 98
j.groothedde@cmotions.nl
