Een groeiende hoeveelheid databronnen en een goede beveiliging hiervan zijn op zich al een behoorlijke uitdaging voor veel organisaties. Daar komt nog eens bovenop dat je moet voldoen aan wet- en regelgeving op het gebied van het gebruik van die bronnen (data compliance). Per 25 mei 2018 geldt de nieuwe Europese privacy-wetgeving (GDPR/AVG). Deze wet stelt eisen aan de opslag en verwerking van persoonsgegevens. Het in kaart brengen van de gegevensverwerkingen is voor veel organisaties een flinke klus. Zeker wanneer je veel verschillende databronnen gebruikt en gebruik maakt van self service Business Intelligence (BI). Waarom data compliance zo belangrijk is bij self service BI en hoe je dit het beste inricht, vertel ik in dit blog.
Wat is data compliance?
Als organisatie moet je voldoen aan verschillende wetten en regels. Bijvoorbeeld aan de Wet op het Financieel Toezicht, de Sarbanes-Oxley wetgeving (SOX) of de nieuwe PSD2-richtlijn. Ook de ISO 27000 norm voor informatiebeveiliging kan voor jouw organisatie van belang zijn. De Kamer van Koophandel, Belastingdienst en je accountant hebben je er zeker al veel over verteld. En misschien heb je jezelf er ook wel in verdiept. Want relevant zijn deze regels zeker!
De wet- en regelgeving wordt voor organisaties een steeds groter aandachtspunt. Zeker door de enorme groei in verschillende databronnen. Én door de nieuwe Europese privacywetgeving (de GDPR). Vanwege deze wet is het nog belangrijker dat je zorgvuldig omgaat met de gegevens die je verzamelt, opslaat, beheert en gebruikt. Doe je dit niet zorgvuldig, dan zijn de boetes niet gering en loop je als organisatie flinke imagoschade op.
Waaraan moet je bij de GDPR/AVG voldoen?
Bij de nieuwe Europese privacywetgeving ligt de nadruk op de bescherming van persoonsgegevens. Denk bij persoonsgegevens bijvoorbeeld aan NAW-gegevens, maar ook aan een IP-adres, BSN, of inkomen. Burgers krijgen veel meer rechten, onder andere op inzage in de persoonsgegevens die een organisatie van hen opslaat. Daarnaast krijgen ze het recht om hun gegevens op te vragen en mee te nemen naar een andere aanbieder. Bovendien kunnen ze vragen om hun gegevens te laten verwijderen.
Wanneer je grote hoeveelheden gegevens verwerkt of wanneer je klantprofielen opstelt, moet je ook goed opletten: het idee achter de wet is namelijk dat burgers zich ervan bewust zijn wat er met hun persoonsgegevens gebeurt en dat ze daarin beschermd worden, bijvoorbeeld als je hun persoonsgegevens inzet om je dienstverlening te optimaliseren. Je moet hen dus laten weten wat je met hun persoonsgegevens doet.
Daarnaast is het in het kader van de GDPR belangrijk (en vaak ook verplicht) dat je een overzicht van je gegevensverwerkingen kunt geven. En met het groeiende aantal verschillende databronnen dat veel organisaties inmiddels hebben, is juist dit voor organisaties een uitdaging. Vooral wanneer ze werken met self service Business Intelligence.
Waarom is data compliance zo belangrijk bij self service BI?
Als manager wil je graag snel beslissingen nemen op basis van informatie uit nieuwe databronnen. IT-afdelingen zijn echter vaak te overbelast om die databronnen snel te kunnen toevoegen en de rapportages te genereren. Bij self service business intelligence zit je als manager zelf “aan de knoppen” om rapportages met analyses te maken van bijvoorbeeld de omzet, de afzet en de kosten. Je voegt zelf databronnen toe en maakt zelf de analyses van alle gegevens die je hebt. Self service BI vormt daarmee een perfecte oplossing.
Met self service BI is het echter een stuk moeilijker een overzicht te maken van alle databronnen die door jou en door je collega’s toegevoegd zijn, waar en wanneer die data gebruikt worden en welke persoonsgegevens waar allemaal verwerkt worden. Dáár zit de crux van data compliance bij self service BI, maar gelukkig ook de oplossing.
Hoe richt je data compliance bij self service BI in?
Het is belangrijk dat dat je te allen tijde een up-to-date overzicht kan genereren van je databronnen en je gegevensverwerkingen. Daarvoor zijn verschillende mogelijkheden:
- Creëer een tijdlijn van je databronnen
Maak een visuele weergave van je datalevenscyclus waarin alle objecten en hun afhankelijkheden bijgehouden worden. Dit geeft een goed overzicht van welke databronnen wanneer toegevoegd zijn, waar gegevens vandaan zijn gekomen, in welke bedrijfsprocessen, systemen en documenten welke gegevens gebruikt zijn en hoe en wanneer gegevens gewijzigd zijn. Een tijdlijn geeft je op deze manier een heel goed overzicht van de verschillende databronnen die je in gebruik hebt. - Zorg voor een metadatamodel
Om een overzicht van je gegevensverwerkingen te krijgen, is ook een automatisch gegenereerd metadatamodel heel handig. Het geeft je een overzicht van alle namen en beschrijvingen van elke object en de ruimte om een toelichting te geven. Dit geeft je heel bruikbare input voor het register voor de gegevensverwerkingen. - Maak afspraken
Data compliance gaat niet alleen over het voldoen aan de regels. Het gaat natuurlijk vooral over de bescherming van de persoonsgegevens die in je organisatie aanwezig zijn. Wanneer je werkt met data en specifiek met persoonsgegevens, is het daarom belangrijk dat je binnen je organisatie afspraken maakt over wie waar verantwoordelijk voor is. Wie mogen er databronnen toevoegen? Is de IT-afdeling verantwoordelijk voor het bijhouden van het overzicht van de databronnen? Wie houdt het overzicht van de gegevensverwerkingen bij? En wat gebeurt er als jullie een data-lek hebben? Wijs hiervoor personen aan en rust ze toe met een stukje begeleiding en eventueel opleiding. Zo zijn jullie ook op dit vlak voorbereid.
Door bovenstaande goed in te richten staat niets je meer in de weg om optimaal gebruik te maken van business intelligence. Wil je meer weten over een tijdlijn van je databronnen en een metadatamodel? En over andere uitdagingen van nu en in de toekomst én hun oplossing? Download dan het eBook data analytics: the next best steps.
