Datamanagement: dit is wat de FG in de publieke sector nu te doen staat

Door de opmars van datagedreven werken opereren privacy professionals in een steeds complexer speelveld van data en datamanagement. Wouter van Zutphen van het Prinses Maxima Centrum vertelt over de uitdagingen en need to knows voor de Functionaris Gegevensbescherming (FG) in de publieke sector.

Datamanagement als privacyspecialist

In de publieke organisaties van vandaag en morgen worden verschillende soorten data op uiteenlopende manieren verwerkt voor een groeiend aantal toepassingen. Het is belangrijk dat de Functionaris Gegevensbescherming (FG) daarvan op de hoogte is, zegt Wouter van Zutphen van het Prinses Maxima Centrum. “Je wilt immers weten welke risico’s voor gegevensbescherming er zijn, welke collega’s je daarover moet spreken en welke vragen je dan stelt. Vanuit je positie als FG, maar ook vanuit de bredere rol als privacyspecialist die veel FG’s in de praktijk hebben.”

De verwerking van grote hoeveelheden niet-gestructureerde gegevens, zoals data lakes, data science algoritmes en artificial intelligence (AI) toepassingen, creëert volgens Van Zutphen nieuwe risico’s voor de bescherming van persoonsgegevens. “De opslag en verwerking van data in de hedendaagse data-architecturen zijn vaak een black box voor niet-specialisten.”

Datagebruik in publieke organisaties

Van Zutphen is Manager Data Intelligence bij het Prinses Máxima Centrum voor kinderoncologie in Utrecht. Het Prinses Máxima Centrum is een onderzoeksziekenhuis dat alle kinderen met kanker in Nederland behandelt en is het grootste kinderkankercentrum van Europa. Van Zutphen is gastdocent van de Outvie-training FG in de publieke sector. “Veel mensen denken nog dat databeveiliging een IT-aangelegenheid is waarbij operationele systemen en applicaties geclassificeerd en beveiligd moeten worden. In de datagedreven organisatie van vandaag is het belang van governance sterk toegenomen, met topics zoals awareness en data stewardship. Daarnaast moet de aandacht voor privacy en security zich uitbreiden naar andersoortige systemen en naar de data zelf, door de volledige levenscyclus.”

Van Zutphen onderscheidt drie soorten datagebruik die in veel (publieke) organisaties plaatsvinden. “Traditioneel worden data gebruikt ter ondersteuning van operationele processen, zoals in applicaties voor HR, sales en ERP. Maar data blijven al lang niet meer in één systeem zitten, ze stromen vanuit het bronsysteem naar allerlei locaties, waar ze worden verwerkt voor secundaire doelen. Denk aan sturing en verantwoording, ondersteuning van besluitvorming en zelfs geautomatiseerde besluitvorming. Van Excelsheets op de computer van een medewerker tot datawarehouses en datasets in cloudapplicaties. Daarnaast ontwikkelen organisaties steeds meer datagedreven producten en diensten, waarin data een nieuwe toepassing krijgen. Bijvoorbeeld om burgers en patiënten te informeren via een online portal.”

Actuele uitdagingen rond data voor de FG in de publieke sector

Wat zijn voor FG’s in de publieke sector nu de actuele uitdagingen rond data en verantwoord datagebruik? Van Zutphen wijst allereerst op de complexiteiten die ontstaan doordat data die zijn verzameld, gebruikt en opgeslagen in specifieke applicaties vervolgens ook worden verwerkt in andere systemen. “De onoverzichtelijke stroom van gegevensverwerkingen maakt controle over de levenscyclus van data ingewikkeld. Zo verdwijnen de classificatie van de gegevens, de logging en vaak ook de beveiliging naarmate data op verschillende manieren en locaties worden verwerkt. Hoe zorg je voor een adequaat verwerkingsregister en voor de juistheid en bescherming van persoonsgegevens? Hoe kunnen betrokkenen hun recht op inzage, correctie en verwijdering goed uitoefenen?”

De toepassing van data voor nieuwe doelen roept ten tweede complexe vragen op over doelbinding, de juridische grondslag voor gegevensverwerkingen en wettelijke bewaartermijnen. “Hoe waarborg je dat geanonimiseerde gegevens niet herleidbaar worden tot een identificeerbare persoon, ook als verschillende datasets worden gecombineerd? Hoe weet je of persoonsgegevens tijdig worden vernietigd als er allerlei kopieën in omloop zijn? Data scientists en -analisten zijn vooral bezig met het verzamelen, delen en bewaren van gegevens. Daar moet je als FG mee weten om te gaan.”

De rol van de FG in zorgvuldig datamanagement

Zorg dat je de juiste mensen kent, zodat je de juiste vragen stelt, adviseert Van Zutphen. “Om als FG je toezichthoudende taken goed uit te voeren, moet je weten wat er gebeurt op het gebied van data in je organisatie. Dan kan je vervolgens de risico’s en kansen voor een zorgvuldige omgang met persoonsgegevens vaststellen. Dat begint bij het beantwoorden van basisvragen zoals: welke verwerkingen vinden er plaats? Welke soorten persoonsgegevens worden er verwerkt, en voor welke doelen? Op welke grondslagen? Waar worden data opgeslagen, en zijn daar dan goede maatregelen voor beveiliging? Wat is er geregeld rond inzage, correctie en verwijdering? Hoe houden we het veilig én werkbaar? Voor de beantwoording van deze vragen heb je de expertise en ervaringen van collega’s nodig.”

Van Zutphen besteedt in zijn bijdrage aan de training FG in de publieke sector speciale aandacht aan anonimiseren en pseudonimiseren. “Met de komst van de Algemene verordening gegevensbescherming (AVG) is pseudonimiseren toegevoegd aan de toolkit van technische beschermingsmaatregelen. Maar er is nog steeds veel onduidelijkheid over wat er precies mee wordt bedoeld en wanneer je het instrument op welke manier krachtig kunt inzetten.”

Succesfactoren voor FG’s

Het is essentieel om je als (aankomend) FG te verdiepen in datamanagement, aldus Van Zutphen. “Je hoeft natuurlijk geen expert te worden. Maar je hebt wel conceptuele en praktische basiskennis nodig van de verschillende vormen van dataverwerking: voor primaire en secundaire doelen, in gestructureerde en ongestructureerde datasets, en via datawarehouses en AI-tools. Een goede aanvliegroute daarvoor is om de levenscyclus van data in kaart te (laten) brengen. Start bij de bron en breng in kaart via welke routes specifieke data uiteindelijk in welke toepassingen terechtkomen.”

Van Zutphen ziet het datamanagement body of knowledge model van de DAMA als een andere kapstok om als FG met datamanagement aan de slag te gaan. “In het handboek beschrijven experts van Data Management Association, de non-profit organisatie die zich richt op ontwikkeling van concepten en best practices voor datamanagement, de belangrijkste aandachtsgebieden. Als FG krijg je daarmee handreikingen om de relevante thema’s en vragen te formuleren.”

Naast kennis over de beginselen van datamanagement adviseert Van Zutphen FG’s ook om actuele ontwikkelingen te volgen. “Naast datagedreven werken is bijvoorbeeld het delen van (open) data een hot topic. Vooral van publieke organisaties, zoals gemeenten en provincies, wordt steeds meer verwacht dat de toegankelijkheid van data goed is geregeld. Maar hoe voorkom je dat de – vaak ruwe – data herleidbaar worden tot individuele personen?” Ook datavirtualisatie ziet Van Zutphen als een trend om als FG in de gaten te houden. “Door data virtueel te delen, ontstaan er geen decentrale kopieën. Daarmee kan datavirtualisatie een bijdrage leveren aan een bewuste omgang met data en aan privacy by design. Ook hierbij geldt dat je als FG beter kunt toetsen en adviseren als je gesprekken voert met bewustzijn en basiskennis van datamanagement.”