Lisa van Koningsbruggen - 29 november 2017
Big data vs. GDPR. Wat mag je nog wel doen aan data-analyse zodra de data- en privacywet van kracht is per 25 mei 2018?

Er zit ogenschijnlijk een spagaat tussen big data en de GDPR. Met big data wil je diepgaande analyses maken waarbij oceanen aan informatie worden gebruikt. Terwijl de data- en privacywet voorschrijft dat je juist met zo min mogelijk data werkt én dat je actief gegevens weggooit als het niet meer relevant is. Ik zet daarom het een en ander op een rij zodat je lenigheid niet zo erg op de proef wordt gesteld.

Allereerst een geruststelling. Van de aankomende data- en privacywet mag je gewoon met big data werken. Lang niet alle data is namelijk privacygevoelig of te herleiden naar een natuurlijk persoon. De GDPR is een wet om kaders te geven zodat je bewust, veilig en verstandig met persoonsgegevens omgaat.

Wanneer is de data herleidbaar naar een persoon?

Je mag nog steeds naar hartenlust gegevens vergaren en verwerken. Gegevens over bijvoorbeeld inwonersaantallen, het weer, verkeersdruktes of hoeveel er wordt verkocht in een bepaalde branche mag je verzamelen en verwerken. Het belangrijkste is dat de data niet herleidbaar is naar een natuurlijk persoon. Een natuurlijk persoon is iemand als jij en ik. Wij zijn te herleiden met onder meer een kenteken, IP-adres of heel logisch onze naam.

Gegevens anonimiseren en pseudonimiseren

Om de impact van een datalek te verkleinen moet je zoveel mogelijk persoonlijke gegevens pseudonimiseren of anonimiseren. Door persoonsgegevens te anonimiseren is een persoon niet meer herleidbaar en valt de informatie niet onder de GDPR. De anonimisering is onomkeerbaar en kan dus niet meer teruggekoppeld worden aan een persoon.

Pseudonimiseren is een proces waarmee identificerende gegevens met een bepaald algoritme vervangt voor versleutelde gegevens (het pseudoniem). Data die is gepseudonimiseerd kun je nog wel herleiden naar de oorspronkelijke bron. Daarom blijft de wet ook hier nog steeds van kracht.

bigdata-vs-gdpr

Wees transparant over waar je data voor gebruikt

Een van de verwerkingsbeginselen van de GDPR is dat je persoonsgegevens enkel mag verwerken voor een bepaald, duidelijk omschreven doel. Transparantie is essentieel. De betrokkene moet geïnformeerd worden over het doel van de verwerking en wat je doet met de gegevens.

Dat houdt onder andere in dat toestemming uit een actieve handeling moet bestaan, dus geen vooraf ingevulde velden. De vraag om toestemming moet je stellen in Jip-en-Janneketaal; duidelijk en begrijpelijk. Ook is het verplicht om de betrokkenen te wijzen op zijn rechten om de verwerking te weigeren, in te zien, te wijzigen of te verwijderen.

Een checklist over hoe je data hebt vergaard:

  • Waar vraagt jouw organisatie toestemming aan betrokkenen voor een verwerking?
  • Waar zou jouw organisatie wellicht nog meer toestemming moeten vragen?
  • Wordt de betrokkene geïnformeerd over het doel van de verwerking?
  • Wordt de betrokkene geïnformeerd wat er met de gegevens wordt gedaan?
  • Is deze toestemming ‘ondubbelzinnig’?
  • Is deze toestemming aantoonbaar?
  • Wordt de betrokkene geïnformeerd over zijn of haar rechten?

Download deze whitepaper:

Met 15 tips voorbereid op de nieuwe datawet (GDPR)

Vier tips ter voorbereiding op de GDPR

Lees artikel