AVG-proof door afdelingen controle over eigen data te geven

door:
Robin Hoogervorst
07-05-2019

Sinds 25 mei 2018 is in Nederland de AVG van kracht. De stricte regels en richtlijnen hebben nog steeds een gigantische impact op hoe organisaties met hun data omgaan. Voor een goede implementatie van de AVG is goed beeld nodig voor data opslag en eigenaarschap van de data binnen de organisatie.

Als voorbeeld: Neem een van de belangrijkste regels van de AVG: “Het recht om vergeten te worden”. Kort door de bocht houdt dit in dat een persoon bij een organisatie een verzoek kan indienen om vergeten te worden. Vervolgens heeft de organisatie nu de wettelijke taak om alle data van deze persoon te verwijderen.

Weet jij alle data van een persoon te vinden?

Weet jij binnen de organisate alle data van een desbetreffend persoon te vinden? Wie heeft welke data? Hoe zit het met de backups? Wie heeft kopietjes van de verschillende data bestanden?

Helaas is het vinden van deze data tegenwoordig vaak niet gemakkelijk. Door database en data warehouse implementaties binnen organisaties ontstaan er een aantal fundamentele uitdagingen voor het vinden van de juiste data van deze persoon. Dit komt met name doordat het onduidelijker is wie er verantwoordelijk is voor welke data, en data vaak gekopieerd moet worden om hier binnen een afdeling mee aan de slag te gaan.

Data eigenaarschap wordt steeds vager

Om data makkelijker te kunnen beheren, te combineren en te delen binnen organisaties wordt er vaak gekozen voor een data warehouse. Hiermee onstaat er een centraal punt binnen de organisatie waar alle data in opgeslagen wordt. Dit heeft veel voordelen, maar ook een aantal cruciale nadelen, met name op het gebied van data eigenaarschap.

Want, wie is de eigenaar van welke data binnen dit data warehouse? Dit is vaak lastig te bepalen. Het kan zijn dat een complete organisatie gezien als eigenaar van de data. Of juist een individueel persoon binnen de organisatie voor een klein onderdeel. Maar wie dan? En van welk deel van de data? En is die data eigenlijk wel af te kaderen binnen het warehouse?

Een complete organisatie als data eigenaar bestempelen lijkt een makkelijke oplossing te zijn. Echter biedt dit in de praktijk veel problemen.

Hoe een data warehouse werkt met afdelingen binnen de gemeente

Stel, we hebben een database met personen met bijstand in een bepaalde gemeente, en “de gemeente” is eignaar van deze data. Letterlijk genomen zou nu iedereen binnen de gemeente deze data moeten kunnen gebruiken. De data is immers van de hele organisatie. Intuitief voel je al aan dat dit waarschijnlijk geen goed idee is. Dit zou namelijk betekenen dat bijvoorbeeld een receptioniste bij de persoonlijke, en dus mogelijk gevoelige, gegevens van veel mensen zou kunnen. Omdat er vanuit de AVG regels moeten zijn over de vertrouwelijkheid van de data, is dit natuurlijk niet optimaal.

Daarom wordt er authorisatie toegepast op de opgeslagen data. Er worden regels gemaakt over wie bij de data mag en wie deze mag gebruiken. In de praktijk komt dit neer dat de afdeling Sociaal Domein (of eigenlijk beter gezegd de personen die werken binnen deze afdeling) en eventueel een paar extra medewerkers toegang krijgen tot deze data. In deze situatie verliest de afdeling controle over haar data door de centrale opslag en krijgt vervolgens via een omweg toegang. Met zo’n oplossing haal je zelfredzaamheid weg bij afdelingen, terwijl organisaties juist sturen op meer zelfredzame teams.

Hoe mooi zou het zijn als we de afdeling zelf eigenaarschap kunnen geven op deze data? De afdeling beheert zelf zijn data, heeft zelf toegang en autorisatie mogelijkheden. Hierdoor is er meer grip op de data, kun je makkelijker bepalen wie er toegang hebben tot de data en is het makkelijker om te voldoen aan de regels van de AVG.

Het kopiëren van data

Deze centrale opslag heeft nog een ander probleem. Doordat er veel data binnen de structuur opgeslagen wordt, ontstaat er een grote applicatie, waarin wijzigingen lastig door te voeren zijn.

Doordat deze veranderingen lastig door te voeren zijn ontstaan er problemen. Wanneer het toch van belang om dingen aan te passen in de data(structuur) kost dit ofwel veel tijd, ofwel het gebeurt helemaal niet. De data beweegt niet meer mee met de eisen van de afdeling en er ontstaan problemen bij het gebruik.


Hoeveel kopietjes zijn er eigenlijk van de data?

Vaak maken afdelingen een eigen kopie en gaan vervolgens daar mee aan de slag, met alle nadelen van dien. De organisatie weet snel niet meer welke van de data de juiste is, veranderingen in de kopie worden niet altijd doorgevoerd in de centrale opslag en de data wordt vervolgens weer gedeeld met andere partijen. Hoeveel kopietjes zijn er eigenlijk van de data? Wie heeft er allemaal zijn eigen versie van de data? Wat heeft dit voor impact op het “recht om vergeten te worden” verzoek van een persoon.

Doordat data nu ineens op veel locaties leeft mist de grip hierop en kan er lastig voldaan worden aan de strenge eisen van de AVG.

Een betere oplossing voor organisaties

In plaats van alles centraal opslaan, kunnen we de data beter op kleinere schaal opslaan. Elke afdeling (of elk team) heeft zijn eigen (mini) data warehouse, en eigenaarschap over deze data. Zo houdt de afdeling zelf ook controle over wie er toegang heeft of mag krijgen tot deze data. Hierdoor is het makkelijker om per afdeling, en zo voor de hele organisatie aan de regels van de AVG te voldoen en blijft het duidelijk wie verantwoordelijk is voor welke data.

Vervolgens kan de afdeling haar data “aanmelden” bij een centrale index. Deze index kopieert de data niet, maar laat zien waar welke data beschikbaar is en hoe deze met elkaar gekoppeld kan worden. De data blijft bij de afdeling en de afdeling zelf bepaalt dan ook of er toegang is tot de data of niet, op welke manier en wie er toegang mag hebben.

Onze nieuwste Data-Kompas technologie maakt precies dit mogelijk. Door het geautomatiseerd aanleggen van koppelingen en het indexeren van de data wordt deze data vindbaar en kun je deze makkelijk binnen (of zelfs buiten) de organisatie delen, met behoud van de juiste autorisatie en eigenaarschap van deze data. Cruciaal voor goede inzet van data binnen de organisatie!

Ook beter data inzetten binnen jouw organisatie? Klik hier om contact met ons op te nemen!