1 en Credit Marketing Edwin Kusters Maximaal gebruik maken van beschikbare informatie via een trusted third party 12 Agenda Voorstellen De wereld van ...
CBP over het Landelijk Informatiesysteem Schulden (2008) Einde van het LIS (2013) Profilering met staat onder druk (o.a. Kredietscores) Ook vanuit aankomende Europese regelgeving
Het verwerken van persoonsgegevens Juridische kader
Persoonsgegevens mogen worden gebruikt als de betrokken persoon toestemming heeft gegeven
Opt-ins leiden tot een selecte (ipv aselecte) groep Wet eist ‘ondubbelzinnige toestemming’ Organisaties willen hun privacy statement niet oprekken Meerdere BV’s met eigen privacy statement vergroten complexiteit Verwerkingsdoel moet proportioneel zijn
Verwerking obv ‘gerechtvaardigd belang’ Uitleg van ‘gerechtvaardigd belang’ staat zwaar onder druk Nieuwe Europese wetgeving gaat dit verder beperken Verwerken/voorspellen van het ‘gedrag’ van klant is hier moeilijk onder te hangen
Een organisatie: mag persoonsgegevens alleen verzamelen en verwerken als daar een goede reden voor is; mag niet meer gegevens verwerken dan strikt noodzakelijk is voor het uiteindelijke doel; mag de gegevens niet gebruiken voor andere doelen dan waarvoor ze zijn verzameld; moet de betrokken burger laten weten wat de organisatie met de gegevens gaat doen; mag de gegevens niet langer bewaren dan noodzakelijk.
Bron: CBP
Anonimiseren versus Pseudonimiseren Wat is pseudonimiseren ANONIMISEREN
PSEUDONIMISEREN
Is het random overschrijven van persoonsgegevens
(Onomkeerbaar) versleutelen van persoonskenmerken via ‘man-in-themiddle’ principe
Gegevens vallen niet meer onder de WBP
Gegevens vallen niet meer onder de WBP
Personen zijn niet meer herkenbaar
Personen niet meer herkenbaar als persoon maar wel als (uniek) individu
Gaat per bestand/dataset en niet koppelbaar met andere bestanden
Bestanden koppelbaar met andere gepseudonimiseerde bestanden
Bruikbaar als het om 1 enkel bestand gaat
Pseudoniemen zijn in de tijd consistent en daarmee ook in de tijd en over meerdere bestanden heen te koppelen
Eisen aan pseudonimiseren Juist gepseudonimiseerde gegevens vallen niet onder de WBP 1. er wordt (vakkundig) gebruik gemaakt van pseudonimisering, waarbij de eerste encryptie plaatsvindt bij de aanbieder van de gegevens; 2. er zijn technische en organisatorische maatregelen genomen om herleidbaarheid van de versleuteling ("replay attack") te voorkomen; 3. de verwerkte gegevens zijn niet indirect identificerend; 4. in een onafhankelijk deskundig oordeel (audit) wordt voor aanvang van de verwerking en daarna periodiek vastgesteld dat aan de voorwaarden 1, 2 en 3 is voldaan; 5. de pseudonimiseringsoplossing dient op heldere en volledige wijze te zijn beschreven in een openbaar document, zodat iedere betrokkene kan nagaan welke garanties de gekozen oplossing biedt.
Pseudonimiseren is geen totaaloplossing voor alle data en alle
vraagstukken Pseudonimiseren is geen technisch maar een juridisch hulpmiddel Samenwerking business, IT en Legal vanaf het begin noodzaak Casus voor operationele verbetering relatief makkelijk te formuleren Marketing moet anders gaan nadenken over data en analyses Verschillen in aandacht of data wel gebruikt mag worden, bewaartermijnen en wettelijke verplichtingen Tussen afdelingen (Operatie, marketing, juridisch, IT) Vaak in een conflictsituatie
“When one door closes, another door opens; but we so often look so long and regretfully upon the closed door, that we do not see the ones which open for us.” ― Alexander Graham Bell