In veel organisaties is de uitvoering van privacy processen ‘handwerk’, waarbij Excel, email en Word de belangrijkste IT-hulpmiddelen zijn. Ik heb het dan niet over de verwerking van de persoonsgegevens zelf, maar over de processen die nodig zijn om aantoonbaar te voldoen aan de verplichtingen van de AVG. Door bijvoorbeeld het bijhouden van een register van verwerkingen, het tijdig voldoen aan een verzoek tot rectificatie, het uitvoeren van privacy assessments of het controleren van verwerkers.

In dit blog ga ik in op een ontwikkeling waarmee organisaties dit soort processen beter kunnen ondersteunen, namelijk ‘Smart Privacy Automation’. In een volgend blog kijk ik naar een andere invalshoek om privacy te beheren, ‘Privacy governance by Design’.

 

Privacy Automation

Het aantal leveranciers van privacy oplossingen is de afgelopen jaren enorm toegenomen. Het recent uitgebrachte 2021 Tech Vendor rapport van de International Association of Privacy Professionals (IAPP)  benoemt meer dan 350 leveranciers op dit terrein, terwijl dat er 4 jaar geleden nog geen 50 waren. Zij leveren tal van privacy applicaties en services, van verwerkingsregisters, toestemmingsmanagers en DPIA workflow tools tot real-time dashboards waarmee de privacy compliance kan worden bewaakt. Gartner schat dat bedrijven in 2022 wereldwijd zo’n 7 miljard euro uitgeven aan privacy tooling.

privacy-button.jpg

Persoonsgegevens zijn overal

In het snel groeiende aanbod van privacy tools zien we dat steeds vaker algoritmes worden ingezet om de verwerking van persoonsgegevens te analyseren. Persoonsgegevens als naam, e-mail adres of personeelsnummer zijn door algoritmes snel te herkennen. Sommige privacy automation oplossingen kunnen ook complexere persoonsgegevens in datasets herkennen, veelal op basis van regels en filters. Zo is een combinatie van 4 cijfers gevolgd door 2 letters zeer waarschijnlijk een postcode. Maar hoe zit het bijvoorbeeld met de foto’s van graffiti op treinstellen, die de NS verzamelt om daders op te kunnen sporen? Hier is nog wel te bedenken dat zo’n graffiti ‘tag’ eigenlijk een handtekening is, waarmee een graffiti-artiest zich onderscheidt van andere graffiti-artiesten. En een handtekening is een persoonsgegeven, dus dergelijke foto’s moeten AVG-conform worden verwerkt. Nog lastiger is het herkennen van persoonsgegevens zoals biometrische gegevens (‘178 cm’) of online gebruikersnamen (‘dctrj’) in bijvoorbeeld e-mails. Blijft het identificeren van al die persoonsgegevens dan toch mensenwerk?

Sturen op risico’s

Een ander aandachtspunt is het beoordelen van de ‘gevoeligheid’ van persoonsgegevens. Hiermee bedoel ik de mate waarin onvoorziene verwerking of het lekken van persoonsgegevens de rechten en vrijheden van betrokkenen zou kunnen schaden. Het doorzien en beoordelen van risico’s voor rechten en vrijheden is soms heel lastig. Los daarvan spelen voor organisaties vaak ook andere factoren een rol bij het beoordelen van de gevoeligheid van persoonsgegevens, zoals de mate waarin deze kunnen worden gebruikt om bedrijfsbelangen of belangen van derden te schaden.

Privacy tools kunnen helpen door in kaart te brengen welke persoonsgegevens het meest worden gebruikt, en door wie – binnen en buiten de organisatie. En door ‘afwijkende’ gebruikspatronen van persoonsgegevens te signaleren. Zo kunnen privacy teams de juiste prioriteiten te stellen bij het beheersen van de verwerkingsrisico’s.

Machine Learning to the rescue

Wat we het afgelopen jaar zien is dat steeds meer privacy tools gebruik maken van Machine Learning (ML) en Artificial Intelligence (AI) om persoonsgegevens te identificeren en de risico’s van het gebruik te classificeren. Deze ontwikkeling is mogelijk omdat steeds meer verwerkingen plaatsvinden in cloud-omgevingen, die voorzien zijn van zeer uitgebreide logfuncties. De logdata over het gebruik van gestructureerde én ongestructureerde gegevensverzamelingen is in deze cloud-omgevingen goed en betaalbaar te analyseren. Gartner verwacht dat de komende drie jaar 40% van de privacy oplossingen gebruik maakt van ML en AI, onder meer om de volgende complexe taken te automatiseren:

  • Data Discovery, het identificeren en classificeren van persoonsgegevens die organisaties verwerken. Dit omvat tools om persoonsgegevens te lokaliseren in applicaties, bestanden, emails, persoonlijke mappen en externe omgevingen.

 

  • Data Mapping, het in kaart brengen van de stromen persoonsgegevens door de organisatie heen – en door verwerkers en derden. Bijvoorbeeld door analyse van logboeken en toegangscontroles om te achterhalen wie toegang heeft tot persoonsgegevens, en wie deze gebruikt.

 

  • Anonimiseren/Pseudonimiseren, oplossingen om datasets te gebruiken zonder de privacy van betrokkenen in gevaar te brengen.

Slimme oplossingen

Er wordt hard gewerkt aan ‘smart privacy automation’. Veelal door nieuwe aanbieders, waarvan vele de start-up fase achter de rug hebben en nu snel groeien tot robuuste spelers met grote klanten. Ik noem een paar voorbeelden:

  • Gretel Outpost is een AI tool dat gebruik maakt van geavanceerde natuurlijke taalverwerking om gevoelige gegevens en persoonsgegevens binnen een dataset te identificeren.

 

  • Clarip is een op AI  gebaseerd platform dat met machine learning, tekstanalyse en data analytics het gemakkelijker maakt om grip te krijgen op het combineren van gegevens uit meerdere bronnen.

 

  • Securiti analyseert datasets en ontdekt persoonlijke en gevoelige data, zowel  in gestructureerde als ongestructureerde datasystemen, onpremise en multi-cloud.

 

Dergelijke oplossingen zijn nu nog vooral gericht op grote organisaties met complexe informatie huishoudingen. Denk aan grootbedrijven, multinationals en overheden. Maar het is een kwestie van tijd voordat dit soort slimme oplossingen ook voor kleinere organisaties beschikbaar komen.

Bij InnoValor volgen we de ontwikkelingen op het vlak van smart privacy automation op de voet. Meer weten over het slim automatiseren van privacy processen? Neem dan contact met mij op.

Meer weten over het slim automatiseren van privacy processen?

Neem contact met mij op