Big data en de GDPR: hoe gaat een datawarehousing-team om met de nieuwe privacy-wetgeving?
Alain De Maertelaere leidt sinds vorig jaar VDAB’s datawarehousing- en business intelligence-team – lees: het kloppende hart van dataverwerking binnen de organisatie. De data die door verschillende VDAB-afdelingen worden verzameld, worden door het datawarehousing-team verwerkt tot nuttige informatie en eventueel in rapporten gebundeld. Enkele maanden geleden verdiepte het team zich in de nieuwe regulering van de GDPR.
Tegengestelde waarden
“We zijn al even druk bezig om de nodige maatregelen te implementeren in onze werkprocessen,” vertelt De Maertelaere. “Het is een hele opgave, want eigenlijk staat de GDPR haaks op het principe van datawarehousing.”
De tegenstelling tussen beiden is wel duidelijk. De GDPR gaat uit van een businessmodel waarbij zo weinig mogelijk data wordt verzameld: in het geval van persoonsgegevens mag enkel de hoogstnodige informatie worden bewaard, en dat mits expliciete toestemming van de persoon in kwestie. Dat terwijl datawarehousing draait om big data: gigantische hoeveelheden gegevens die gebruikt worden om daaruit bruikbare inzichten te destilleren. Hoe meer, hoe liever. Om die kloof te dichten, sleutelde het datawarehousing-team aan de huidige processen.
[related_article id=”168013″]
Minder data, meer abstractie
In het kader van de GDPR werd ten eerste een geheel nieuw dienstverleningsmodel uitgewerkt. “Je kan er niet buiten,” legt De Maertelaere uit. “VDAB heeft nu eenmaal gevoelige informatie nodig om zijn diensten optimaal te laten draaien. Dat betekent een volledig dienstverleningsmodel waarbij we een aantal rollen definiëren: persoon in functie A heeft toegang tot deze info, persoon in functie B niet.”
Daarnaast streeft het team om minder gegevens bij te houden, en die gegevens beter te beveiligen. “We doen daarom aan dataminimalisatie. We halen nog steeds big data binnen, maar de data die we niet nodig hebben, verwijderen we. We gebruiken dus enkel gegevens voor analyses die de privacy niet in gevaar brengen.”
Bovendien worden de data ‘geanonimiseerd’: datawetenschappers in het team krijgen een abstracte versie van de privacy-gevoelige informatie te zien. “Bij data zoals naam, adres, telefoonnummer gaan we het proces van masking toepassen. Kort uitgelegd krijg je dan in plaats van concrete gegevens, een onleesbare, geëncrypteerde versie. Zo kan de info onmogelijk nog aan een persoon worden verbonden.” Die data-anonimisering werd overigens al geïmplementeerd voor de GDPR werd aangekondigd, voegt De Maertelaere toe.
Daar moeten we steeds meer naartoe evolueren, meent de projectmanager. “Degenen die zulke gegevens onder ogen krijgen, zoals datawetenschappers, moeten niet meer de werkelijke data zien, maar een abstractie daarvan.”
Transparant
De GDPR draagt ten slotte transparantie hoog in het vaandel, maar er worden weinig veranderingen gepland in dat opzicht, volgens De Maertelaere. “Alleszins geen ingrijpende veranderingen. VDAB is op dat vlak al heel transparant. Mensen worden gewaarschuwd wanneer hun gegevens worden verzameld, en moeten hun goedkeuring geven. De contacten die er zijn moeten wellicht gecontroleerd worden of ze 100 procent overeenkomen met de GDPR, maar we verwachten van wel.”