ongestructureerde data

Unstructured data onder AVG onbegonnen werk

GDPR/AVG is van toepassing op alle typen van opslag van persoonsgegevens. Veelal richten organisaties zich met data protection impact assessments (DPIA’s) op het in kaart brengen van de gestructureerde gegevensverwerking. Ongestructureerde data (Unstructured data) wordt hierbij vaak vergeten en lijkt een ‘witte vlek voor veel organisaties. Om AVG-compliant te zijn, dient echter ook verwerking van unstructured data te voldoen aan de eisen van de AVG.

Wat is unstructured data eigenlijk? Alle gegevens die de organisatie verkrijgt of creëert die niet wordt opgeslagen in gestructureerde databases. Deze data kennen verschillende verschijningsvormen zoals e-mail, PDF-bestanden, MSoffice-bestanden en beeld- en geluidsmateriaal. Naar schatting is 80 tot 90% van de bedrijfsdata unstructured data. Iedereen heeft er wel eens mee te maken, je krijgt bijvoorbeeld een CV gemaild van een potentiele nieuwe collega en je wordt gevraagd jouw oordeel te geven. Wat doe je met het CV nadat je deze beoordeeld hebt, netjes verwijderen? Of toch het mailtje bewaren?

In deze blog beperken we ons tot digitaal verkregen of gedigitaliseerde unstructured data.

Van unstructured data weten we dat deze veelal niet geclassificeerd is. Inzage in waar zich unstructured data bevindt, ontbreekt dan ook veelal. Vaak heeft een organisatie ook helemaal geen beeld wat er aan unstructured data allemaal waa’ in welke vorm is opgeslagen. Netwerkschijven, Sharepoint, e-mail, lokale schijven, Onedrive, intranet zijn de meest voorkomende locaties. Deze locaties zijn echter niet of nauwelijks doorzoekbaar met de huidige voorzieningen.

In kader van de AVG liggen er voor unstructured data een aantal uitdagingen. Zo moeten moet een organisatie on der andere kunnen waarborgen dat ook voor unstructured data de bewaartermijnen geborgd zijn. Is de bewaartermijn verlopen, dan is er ook geen grondslag meer voor dat gegeven. Als organisatie moet je dan tot vernietiging overgaan.

Ook voor unstructured data geldt dat de toegang op geautoriseerde basis moet zijn ingeregeld voor die functionarissen die op basis van hun werkzaamheden toegang zouden moeten hebben tot deze persoonsgegevens.

Maar wie zijn eigenlijk de eigenaren en afnemers van deze data?

Van de 80-90% aan unstructured data is gemiddeld 60-80% niet nodig, dit wordt bijvoorbeeld veroorzaakt door:

  • Redundante opslag
  • Kopie gemaakt voor de veiligheid
  • Vergeten op te schonen na plaatsing in het digitale archief
  • Persoon heeft organisatie verlaten, maar zijn archief is niet overgedragen en wordt dus ook niet meer opgeschoond

Unstructured data met persoonsgegevens vormt het grootste risico als je naar AVG-compliancy kijkt!

Enkele risico’s

  • Niet kunnen naleven van de verantwoordingsplicht. Als je immers niet weet welke unstructured gegevens er zijn, kan je ook niet aantonen dat je aan de beginselen van de AVG voldoet (artikel 5, lid 2, AVG).
  • Kans dat de bewaartermijn van bepaalde unstructured data met persoonsgegevens verlopen is en er daarom geen grondslag meer is voor het hebben van deze gegevens. Daarmee ben je dan als organisatie in overtreding. Van 95% van alle unstructured data met persoonsgegevens kennen we de bewaartermijnen niet en wordt ook niet op naleving van de bewaartermijnen gestuurd;
  • Kans dat de persoonsgegevens in deze unstructured data niet in beeld zijn bij het uitvoeren van het recht op gegevenswissing of recht op inzage. Daarmee loopt een organisatie risico op een hoge boete;
  • Kans dat de persoonsgegevens in deze unstructured data onderdeel zijn van een datalek. Bijvoorbeeld omdat ze minder goed zijn afgeschermd, zich op gegevensdragers bevinden die gemakkelijker buiten de bedrijfsmuren (onbeveiligd/ minder beveiligd) kunnen bewegen;
  • Kans dat niet-geautoriseerde personen toegang hebben tot persoonsgegevens in deze unstructured data;
  • Kans dat deze unstructured data, meer dan initieel aangenomen wordt, gevoelige of bijzondere persoonsgegevens bevatten en dus niet met de juiste beveiligingsmaatregelen worden opgeslagen;
  • Kans dat een oudere versie van gegevens wordt gevonden en hierop besluitvorming plaatsvindt.

Tijd voor actie dus. Wat kunnen organisaties doen om grip te krijgen op unstructured data?

Quote: 71% van alle bedrijven worstelt hoe zij unstructured data kunnen managen en beschermen. (Bron Forbes)

Wat kunnen organisaties doen om grip te krijgen op unstructured data?

Voorkomen is beter dan genezen

Het klinkt mogelijk als een cliché, maar begin met een goed informatiebeleid. Geef hierbij duidelijk aan welke data op persoonlijke, groeps-, afdelings, – of bedrijfsbrede opslaglocaties (niet) mogen worden bewaard en voor hoe lang. Streven in het informatiebeleid zou moeten zijn: Voorkom zoveel als mogelijk unstructured data. Zet hierbij ook een degelijke data governance op, benoem de verantwoordelijken en implementeer een dashboard waarin de actuele status bewaakt kan worden.

Opschonen

  • Breng de grootse bronnen die leiden tot unstructured data in kaart.
  • Classificeer vervolgens de data en maak daarbij aanspraak op de data governance door de eigenaren aan te spreken op het bijhouden van welke (geclassificeerde) data en bewaartermijnen gehanteerd worden;
    • Clean data: de bedrijfskritische data;
    • ROT-data: dubbele/verouderde data (in meerdere databronnen en data die niet op het netwerk zou moeten staan.(ROT=Redundant, Obsolete en Trivial);
    • Dark Data: onbekend of dit tot de voorgaande categorieën behoort
  • Maak afspraken over verwijderen, bewaren, toegang, encryptie, anonimiseren/pseudonimiseren.
  • Vervat het geheel in een dashboard waarmee het management kan sturen om compliant te worden op het domein unstructured data.

Maak indien nodig gebruik van tooling

Diverse leveranciers stellen al tooling beschikbaar om opslaglocaties te scannen en vast te stellen of en in welke mate persoonsgegevens aanwezig zijn. Bij de keuze voor een tool dien je rekening te houden met:

  • Dat deze tool past past binnen de infrastructuur en aanwezige technologie van de organisatie;
  • De toegang van deze tooling tot unstructured data van de organisatie moet mogelijk zijn. Het kan nodig zijn om regels aan te passen en heilige huisjes te vellen.
  • Dat er een goed classificeringschema aanwezig is om de data in kaart te brengen en te labelen (een geautomatiseerde intelligence tool kan daar ook bij helpen).
  • Of de business case voor het inzetten van tooling positief is: Voorbeeld: Een organisatie die 1.8 miljoen documenten moet classificeren, zal daar handmatig met een persoon 215 dagen mee bezig zijn als we uitgaan van tien seconden per document en een werkdag van 24 uur.

Privacy en security-awareness

Quote AVG: Unstructured data is either machine generated or human generated

De impact van de AVG wordt nogal onderschat. Het is niet het omhangen van het naambordje WbP naar AVG! De aanpak bij veel bedrijven is gericht om de ICT-systemen en bedrijfsprocessen AVG-compliant te krijgen. Daarbij wordt de mens als mogelijke faalfactor snel uit het oog verloren.

Daarom dient ook in de aanpak voor unstructured data ‘awareness’ een significante positie te krijgen. Unstructured data met persoonsgegevens zal niet geheel kunnen worden uitgebannen. Medewerkers moeten zich bij het delen en opslaan van deze informatie bewust zijn van de risico’s voor betrokkene(n) en de risico’s voor organisatie. De medewerker moet daarbij een goed zicht hebben op de technische en organisatorische maatregelen om deze risico’s te minimaliseren.

Privacy by design

Bij veel applicaties wordt een downloadmogelijkheid geboden. In veel gevallen is dit niet nodig. Het is handig, maar draagt wel enorm bij aan het probleem van unstructured data. Stel je dus als onderdeel van privacy by design (PbD) de vragen: is download ‘echt’ nodig, is er een alternatief (bijvoorbeeld Publicatie door middel van een link in plaats van een download), is de groep met toegangsrechten te beperken. PbD voorkomt geen gebruik van unstructured data, maar maakt omvang wellicht kleiner en daardoor enigszins beter beheersbaar.

Auteurs: Michael Voorn, Reiner van Houten en Ronald van Dijk, privacy consultants bij Ordina.

Neem voor informatie contact op met Michael Voorn, e-mail: michael.voorn@ordina.nl