In het kader van big data en big content wordt veel gesproken over het perspectief controle krijgen over die grote hoeveelheden content, het onderhouden daarvan, opschonen, kwaliteit verhogen enzovoort. En dit is zeker een uitdaging voor informatiemanagement, maar privacy- en security officers, hebben een hele andere uitdaging. En zeker in het kader van de EU-privacyverordening.
Big data en big content openen vele deuren qua waarde en toepassingen voor je organisatie. Verborgen patronen en trends, inzichten waarmee strategie op allerlei vlakken kan worden geoptimaliseerd, slimmer samenwerken, de juiste informatie op het juiste moment beschikbaar en ga zo maar verder. Maar het heeft ook een keerzijde. De groei van data en content, ook binnen de eigen organisaties brengt grote risico’s met zich mee en ook deze zul je als organisatie onder controle moeten krijgen.
EU-verordening een feit
De nieuwe EU privacy verordening is een feit. Deze bevat een aantal pittige consequenties voor overtredingen tegen deze aanstaande wetgeving. Het is nu mogelijk boetes te geven tot maximaal honderdmiljoen euro of 5 procent van de wereldwijde omzet bij overtreding van de regels en bestuurders kunnen gemakkelijker verantwoordelijk worden gesteld. Daarbij blijft de reputatieschade die je loopt als bedrijf in een dergelijke situatie misschien nog wel het belangrijkste risico. Dit kan je maken of breken. Ik merk dat hierdoor vele organisaties serieuzer en met meer focus aan het kijken hoe zich te wapen tegen deze risico’s.
Verandering in de regels zijn onder meer de strengere eisen die worden gesteld aan de beveiliging van privacygevoelige informatie en een meldplicht (aan de toezichthouder) bij datalekken. Verder is expliciete toestemming van klanten vereist zodra bedrijven persoonsgegevens (big data) willen verwerken. Klanten moeten deze toestemming ook weer kunnen intrekken. Ook is de NO-NSA clausule ingevoerd. Bedrijven mogen persoonsgegevens niet meer zonder toestemming van de toezichthouder delen met buitenlandse overheden. Daarnaast is er de verplichting om een Functionaris voor de Gegevensbescherming aan te stellen bij instanties die persoonsgegevens verwerken van meer dan vijfduizend mensen in een jaar.
Bottum up benadering
Om deze risico’s te voorkomen moeten op het gebied van informatie en data een flink aantal zaken geregeld worden. Natuurlijk is er 'information governance' en beleid nodig, maar dat vanaf een ivoren toren inrichten is niet de aanpak. Mijn mening is dat het beter is een bottom up approach te hebben en te beginnen met het kijken naar de informatie en data. Van hieruit kan het juiste beleid worden opgesteld.
Vooral de overheid en organisaties met veel b2c hebben gigantische hoeveelheden persoonlijke data. Zowel binnen omgevingen met gestructureerde data als ongestructureerde omgevingen. In beide omgevingen bevindt zich privacygevoelige data, waar de regelgeving voor geldt. Qua gestructureerde data kun je denken aan een crm-systeem met adresgegevens van organisaties die geen klant meer zijn, een systeem met naw-gegevens, BSN-nummers, rekeningnummers, et cetera. Maar waar ik op wil focussen is de ongestructureerde variant. Naar mijn mening nog lastiger te controleren en dus gevaarlijker in de context van risico. Geen veld in een database dat creditcard_nr heet, of naw, waar je veel aan kunt afleiden, maar een berg content vol van potentiële risico’s is een ander verhaal. Omgevingen als file shares, e-mail, maar ook SharpPoint, Dropbox. Inzicht in deze data creëren is lastig, want wat typisch is aan content, je het moet lezen of bekijken om te interpreteren.
Gelukkig is met de technologische vooruitgang die het hele big data en big content tijdperk heeft geïnitieerd, ook technologie ontwikkeld die de problemen kan voorkomen. Software die met natural language processing (NLP), data mining, machine learning technieken, tekst kan analyseren en net als jij een document kan lezen en begrijpen. Deze technieken zijn nodig om de grote massa aan ongestructureerde informatie geautomatiseerd te doorzoeken op gevoeligheden die risico’s met zich meebrengen. Na wat analyse en configuratie kunnen ze vervolgens eenvoudig in een rapport of zelfs dashboard getoond worden aan de geïnteresseerden. Hieronder een mogelijke aanpak.
Overzicht
Waar het mee begint is een eerste overzicht. Inzicht in wat je hebt, waar het staat. Of waar mogelijke risico’s bestaan. In onze aanpak is dit vaak een quick scan, die nog niet de inhoud van de documenten analyseert, maar een overzicht geeft van waar dit nog zou moeten gebeuren. Dit is redelijk snel te verkrijgen, afhankelijk van een aantal variabelen als: het aantal verschillende systemen waar naar toe verbonden moet worden, de totale hoeveelheid data et cetera. Maar in mijn ervaring is dit een snelle, doch zeer veel inzicht biedende activiteit, waarvandaan business cases en verdere trajecten eenvoudig kunnen worden bepaald.
Analyse
Vervolgens zal de analyse moeten plaatsvinden en indexeren we de ongestructureerde data met de software. Er bestaan een aantal standaard 'gevoeligheden' die de software zal herkennen, maar het is een samenspel met de klant en organisatie om deze fijn te slijpen en voor de specifieke organisatie toepasbaar te maken. De analyse zal ook tussentijds rapportages opleveren die al gebruikt kunnen worden, het is dus iteratief met de volgende fase.
Rapportage
De output van deze analyse kan op verschillende manieren gegenereerd worden. In de ultieme situatie heb je als privacy-officer een dashboard voor je neus, waarin alle regels actief zijn en zie je waar gevoelige informatie wordt gecreëerd en of dit binnen de governance van de organisatie valt. Ik denk dat we deze 'privacy- of sensitivity dashboards' voor ongestructureerde data de komende tijd steeds meer zullen zien verschijnen.
Het is belangrijk in dit soort trajecten te beginnen bij de data. Natuurlijk zijn er allerlei processen die ingericht moeten worden en een totale privacy governance structuur zal moeten worden opgezet. Maar begin bij de data, gebruik dit inzicht om vervolgens controle en grip te krijgen en daarna het juiste beleid er op in te richten.
