Centennium en Verdonck Klooster & Associates (VKA) hebben gezamenlijk een discussiebijeenkomst georganiseerd over het onderwerp Privacy en Business Intelligence: water en vuur of Yin en Yang? Daarbij stond de kernvraag centraal: hoe haal je het maximale uit Business Intelligence en respecteer je tegelijkertijd de privacy? Ruim 35 specialisten in Business Intelligence en Privacy vanuit VKA, Centennium en klantorganisaties waren aanwezig. Een mooi gemêleerd gezelschap!
Kernbegrippen privacy op een Business Intelligence omgeving
Na een korte introductie van Steven Debets (partner VKA) over de doelstelling van de avond, trappen Frank van Vonderen (privacy specialist bij VKA) en Antoine Stelma (lead data architect bij Centennium) de avond af met een presentatie over de kernbegrippen van privacy bij Business Intelligence.
Frank schetst de vragen die hij vanuit privacy-perspectief stelt bij een BI-traject. Hij geeft aan vragen te hebben over bijvoorbeeld het design van de BI-omgeving: welke gegevens zitten er in een BI-omgeving? Los van het design van de BI-omgeving heeft hij ook vragen over het beheer: onder welke condities worden nieuwe databronnen ontsloten en welke gebruikers hebben welke rechten in de BI-omgeving?
In antwoord op de vragen van Frank legt Antoine vervolgens uit dat Business Intelligence gericht is op het verkrijgen van inzicht in de eigen organisatie en in de omgeving waarin de organisatie opereert. Antoine stelt, “als er restricties zijn op het gebruik van data, bijvoorbeeld in het kader van privacy, kan dat van grote invloed zijn op de Business Intelligence omgeving”. Frank vult daarop aan: “de principiële vraag over wat wel en niet is toegestaan op het gebied van privacy en Business Intelligence is niet te geven. Er is sprake van een groot grijs gebied en open normen die bovendien ook van de context afhankelijk zijn”. Antoine stemt daarmee in, “iedereen worstelt hiermee”. Antoine schetst de principiële keuze die een organisatie moet maken aan de hand van twee scenario’s:
Scenario 1: Breng persoonsgegevens minimaal over naar het BI-domein en/of anonimiseer maximaal. Voordeel is dat privacy risico’s tot een minimum worden beperkt. Nadeel is dat ook de bijdrage van BI-omgeving wordt beperkt. En uit dit laatste resulteert ook de vraag: kan een organisatie zonder deze gegevens wel de organisatiedoelstellingen of beleidsdoelstellingen bereiken; de zogenaamde business waarde van de BI-omgeving?
Scenario 2: Breng persoonsgegevens wel over naar het BI-domein, maar maak deze enkel toegankelijk via een Privacy filter, dat toeziet op legitiem en adequaat gebruik. Nadeel is dat persoonsgegevens dan per definitie voor meer doeleinden zouden kunnen worden gebruikt dan waar ze initieel voor zijn verzameld. Of dit een probleem is, hangt af van de context. Voordeel is dan wel dat een organisatie het volledige potentieel van zijn BI-omgeving kan benutten en volledig controle kan uitoefenen op de distributie en vorm van de persoonsgegevens.
Het is duidelijk dat privacy specialisten zich vanuit hun grondhouding meer prettig voelen bij scenario 1 en BI-specialisten een natuurlijke voorkeur hebben voor scenario 2. Maar wat wil de organisatie en wiens stem weegt het zwaarst? Hierop volgt een levendige discussie.
Privacy & Business Intelligence in de praktijk
Na een korte pauze waarbij er gelegenheid is voor het nuttigen van een hapje en een drankje neemt Wolfje Mijnders het stokje over. Wolfje is Adviseur Privacy bij de gemeente Veenendaal en licht haar ervaring toe op het gebied van privacy en Business Intelligence bij de gemeente. Ook Wolfje concludeert dat er geen ja of nee antwoord te geven is op de vraag wat wel en niet kan op het gebied van privacy en Business Intelligence, “er is geen objectieve meetlat” aldus Wolfje. Ze probeert in de praktijk de kaders te schetsen waarbinnen je je moet bewegen, waarbij er zo zorgvuldig mogelijk een belangenafweging gemaakt dient te worden.
Tafeldiscussies
Na de presentatie van Wolfje verdelen de aanwezigen zich in groepjes en gaan in discussie over de kernvraag van de avond: “hoe haal je het maximale uit Business Intelligence en respecteer je tegelijkertijd de privacy?”
Conclusie
Na een levendige discussie in de groepen vat Steven de beste leerpunten uit de discussie, “de briljantjes”, samen:
- Bepaal voor alle data de eigenaar, en wie dus verantwoordelijkheid moet nemen voor het gebruik van deze data en de bescherming van de privacy ervan;
- Blijf kritische vragen stellen – BI specialisten en privacy mensen moeten met elkaar in discussie gaan (en doorvragen!) over het waarom van de verzameling en het hoe;
- Er is een duidelijke behoefte aan meer concrete antwoorden over wat wel of niet passend is in de privacy wetgeving. Enkele partijen geven aan dat zij graag jurisprudentie willen uitlokken om meer helderheid te krijgen;
- Zorg dat bij BI afdelingen het privacy begrip ‘doelbinding’ meenemen in ontwerp- en change procedures, om bewustwording en borging te vergoten;
- Zorg voor betere transparantie naar de burger of consument over het gebruik van diens gegevens (in het primaire proces en in de BI omgeving). Het idee werd zelfs geopperd om burgers bijvoorbeeld veilig toegang te geven tot een portaal waarop zij kunnen terugvinden hoe hun gegevens specifiek worden gebruikt;
- Privacy is geen project, maar een permanent proces. In BI-omgevingen moet hier blijvend aandacht aan worden besteed;
- Kijk ook naar de mogelijkheden van federatieve dataopslag: sla niet alles van één individu op één plek op, maar bewaar decentraal en raadpleeg via een centrale functie.Het is cruciaal dat we als BI en privacy specialisten voortdurend met elkaar in gesprek gaan.
Slot
Na de afsluiting blijft men in groten getale nog even hangen voor de borrel. De afspraken over een vervolg en verdieping zijn al snel gemaakt. De algemene conclusie: al zijn er nog niet veel antwoorden, het is cruciaal dat we als BI en privacy specialisten voortdurend met elkaar in gesprek gaan over het wat en hoe. Dan komen we er wel!
Wilt u meer weten over deze bijeenkomst of over de onderwerpen Business Intelligence en Privacy? Neem dan contact op met Antoine Stelma (a.stelma@centennium.nl) of Frank van Vonderen.