Privacygovernance voor BI & Analytics – de impact van datamesh
Recente publicaties over datamesh werpen een nieuw vraagstuk op rondom privacygovernance.
Het concept van datamesh gaat over het decentraliseren van dataproductie. Dit werpt de vraag op of dit impact heeft op de inrichting van de verantwoordelijkheden op het gebied van privacy. In dit blog lees je hoe je effectieve privacygovernance inricht en welke invloed datamesh daarop heeft.
Privacyrisico’s effectief beheersen
Verantwoord omgaan met persoonsgegevens betekent dat je als organisatie privacyrisico’s effectief beheerst. Daarvoor moet je in ieder geval twee dingen regelen. Ten eerste moet je duidelijke en hanteerbare, op de AVG gebaseerde kaders stellen. Ten tweede moet iedereen binnen de organisatie weten wat van hem/haar wordt verwacht. Dat laatste gaat over de privacygovernance van je organisatie.
Wat is privacygovernance?
Privacygovernance is de manier waarop taken en verantwoordelijkheden, die voortvloeien uit de AVG, zijn gedefinieerd en belegd in de organisatie. Zo moet iedere medewerker zich houden aan de regels met betrekking tot het werken met persoonsgegevens. De functionaris gegevensbescherming of de privacy officer is hiervoor doorgaans een belangrijke adviseur. Maar de belangrijkste rol is misschien wel wat de meeste organisaties de ‘proceseigenaar’ noemen. De proceseigenaar draagt de verantwoordelijkheid voor het treffen van de juiste maatregelen om privacyrisico’s te beheersen ten aanzien van de werkprocessen waarvoor hij of zij als manager verantwoordelijk is.
Dataproducerende en dataconsumerende verwerkingen
Het is aan de proceseigenaar om een afweging te maken tussen de privacyrisico’s enerzijds, en de kosten van het treffen van risicomitigerende maatregelen anderzijds. Dit geldt zowel voor de primaire processen van een organisatie als voor het verwerken van gegevens ten behoeve van BI & Analytics.
Het grote verschil tussen die twee zit hem in de inrichting van de gegevensstromen. Bij BI & Analytics komen grote hoeveelheden gegevens op één (of enkele) plekken samen: vaak is er één datafundament dat ten dienste staat aan de hele organisatie. Vervolgens worden de daar aanwezige gegevens voor een grote verscheidenheid aan doelen verwerkt in allerlei informatieproducten of AI-toepassingen. Maar het samenbrengen van gegevens – de dataproducerende verwerking – heeft een heel ander karakter dan het gebruik van gegevens voor een informatieproduct, de dataconsumerende verwerking. De eerste is faciliterend, zelfs voorwaardelijk voor de tweede.
De dataproducerende verwerking is qua hoeveelheid gegevens vele malen groter dan de dataconsumerende verwerking. Het privacyrisico van de dataproducerende verwerking is daarentegen juist veel kleiner. Zolang je gegevens slechts opslaat in het datafundament, doe je er nog niets mee, dus lopen degenen over wie de gegevens gaan weinig risico. Dat ligt uiteraard anders als het verwerken en combineren van de gegevens leidt tot allerlei nieuwe inzichten, of het opstellen van profielen van klanten of burgers.
Privacygovernance op basis van verwerkingsprocessen
Deze fundamentele verschillen maken dat het voor de hand ligt om de verantwoordelijkheid voor beide verwerkingsprocessen verschillend te beleggen. Het beschikbaar stellen en houden van een organisatiebrede gegevensverzameling is specialistisch werk. Het is vaak de taak van een centrale (BI-)afdeling om daarvoor te zorgen. En ook het beheersen van de betrokken privacyrisico’s vraagt veel kennis om de juiste maatregelen te treffen.
Voor wat betreft de dataconsumerende verwerking, dus het verwerken van gegevens in een informatieproduct of AI-toepassing, is het logisch om het proceseigenaarschap in de lijn te beleggen. Het is immers de lijnorganisatie die een bepaalde informatiebehoefte heeft, en een project financiert om de gewenste inzichten te krijgen. En dus ook de middelen heeft om te bepalen welke maatregelen moeten worden geïmplementeerd om de privacyrisico’s te beheersen.
Kortom: er is één iemand verantwoordelijk voor de privacyrisico’s bij het samenbrengen en centraal bewaren van gegevens, terwijl voor iedere dataconsumerende verwerking iemand in de lijn verantwoordelijk is.
De impact van datamesh
Wanneer je als organisatie werkt volgens het datamesh-concept ligt de verantwoordelijkheid voor de dataproductie bij domeinspecifieke teams. Voor wat betreft het beheersen van privacyrisico’s betekent dat simpelweg dat je de dataproducerende verwerking opsplitst in meerdere verwerkingsprocessen: één per dataproducerend domein, met ieder een eigen proceseigenaar.
Hoe je de privacygovernance precies wilt inrichten, bepaal je als organisatie gelukkig zelf. Zolang je ervoor zorgt dat de verantwoordelijkheid voor de gehele dataketen eenduidig is belegd, valt er geen data tussen de wal en het schip.
Meer weten?
Wil je eens van gedachten wisselen over de inrichting van privacygovernance in jouw organisatie? En hoe je die zo goed mogelijk laat samenlopen met de inrichting van datagovernance? Neem dan contact met ons op. Wil je weten hoe KPN aan de slag is gegaan met een datamesh-architectuur, bekijk dan het webinar Datamesh@KPN.