Regelmatig worstelen organisaties met privacy vraagstukken in combinatie met Process Mining. Vaak worden discussies gevoerd zonder goed naar de inhoud te kijken. Er wordt eigenlijk direct aangenomen dat de data die in het kader van Process Mining wordt gebruikt vraagt om het nadenken over de Privacy.
Wil je zorgen dat je met Process Mining voldoet aan wet- en regelgeving op het gebied van Privacy? Dan zijn er een aantal onderdelen waar je over na moet denken. Daarbij gaat het niet alleen om de manier waarop de Process Mining software met de data omgaat, maar om het hele traject van data-verzameling tot uiteindelijk de rapportages of publicaties.
Verkrijgen van data voor Process Mining
De eerste stap is natuurlijk het verkrijgen van de data. Vaak heb je de beschikking over grote sets ruwe data. Deze komt dan rechtstreeks uit een IT systeem of uit bijvoorbeeld een datawarehouse. Voordat je hiermee aan de slag kan moet je hier vaak een toegesneden dataset uit halen.
Ook het combineren van data uit verschillende bronnen of tabellen komt regelmatig voor. Dit is eigenlijk een ideaal moment om na te denken over het aanpassen van de data in het kader van privacy. Denk bijvoorbeeld aan het uitfilteren van de data met persoonsgegevens die je toch niet nodig hebt of het pseudonimiseren of zelfs anonimiseren van de data.
Wat is het verschil tussen anonimiseren en pseudonimiseren?
Er is nogal eens onduidelijkheid over de begrippen anonimiseren en pseudonimiseren. Bij pseudonimisering wordt persoonlijk identificeerbare informatie versleuteld. Simpel gezegd, het is een manier om de informatie te versleutelen, zodat gebruikers deze niet in verband kunnen brengen met echte gegevens: specifieke namen, adressen of andere persoonsgegevens. Alleen met deze specifieke sleutel is de informatie terug te herleiden naar de persoon.
Anonimisering draait daarentegen om versleuteling van de data die niet omkeerbaar is. Zodra de data eenmaal is ontdaan van kenmerken die personen kunnen identificeren dan is het niet meer mogelijk om dit ongedaan te maken. Je moet daarbij wel opletten dat je de persoonlijk identificeerbare informatie als geheel beschouwd. Als je bijvoorbeeld de naam van een klant pseudonimiseert of anonimiseert maar je vergeet de adresgegevens en leeftijd aan te passen, dan is de informatie nog steeds naar de persoon herleidbaar.
Pseudonimisering: dit is de meest gebruikelijke manier om met gevoelige gegevens om te gaan. Voordeel van het pseudonimiseren is natuurlijk dat je indien gewenst terug kan naar de daadwerkelijke persoonsgegevens. Dat kan natuurlijk erg handig zijn wanneer je Process Mining resultaten laten zien dat er fraude is gepleegd.
Het verschil tussen geanonimiseerde en gepseudonimiseerde gegevens is belangrijk omdat de AVG niet van toepassing is op volledig geanonimiseerde data. Voor gepseudonimiseerde data gelden de regels uit de AVG nog wel.
Belangrijke vraag bij de keuze of je de data überhaupt moet pseudonimiseren of anonimseren is wie de betrokkenen zijn in het traject. Als de betrokken collega’s zelf geautoriseerd zijn om toegang te hebben tot de data kun je je afvragen waarom je diezelfde data in het kader van Process Mining zou moeten pseudonimiseren of anonimiseren. Randvoorwaarde is natuurlijk natuurlijk wel dat je de beveiliging van het Process Mining platform op orde hebt.
Data die niet nodig is voor de analyse anonimiseren en pseudonimiseren
In je dataset zit vaak informatie die niet nodig is voor je specifieke procesanalyse. Het is dan de vraag hoe zinvol het is om deze data te anonimiseren of te pseudonimiseren. Mijn advies is om deze informatie uit je dataset te verwijderen. In de praktijk zien we dat deze informatie alleen maar afleidt van het daadwerkelijke doel van de analyse. Betrokkenen hebben de neiging om deze niet nuttige data toch toe te willen passen in de analyses. “We hebben de data toch, dus laten we kijken of we iets kunnen vinden?” is dan een veelgehoorde suggestie. Verstandiger is het om je te focussen op de relevante en benodigde data, dat zorgt er ook voor dat je focus houdt op de doelstelling.
Kies voor een goed beveiligd Process Mining platform
Naast het verkrijgen en eventueel versleutelen van de data dient natuurlijk het platform dat je gebruikt goed beveiligd te zijn. Mocht je met geanonimiseerde of gepseudonimiseerde data werken dan zal een datalek niet direct een probleem zijn in het kader van AVG of GDPR. Het is natuurlijk wel onwenselijk om je procesdata op straat te hebben liggen. Denk aan de mogelijke imagoschade voor je organisatie of het inzicht dat buitenstaanders krijgen op je processen. Voor veel organisaties is dit zeer onwenselijk en daarom van belang om voor een goed beveiligde oplossing voor Process Mining te kiezen. Bij MonkeyMining vinden we de beveiliging van jouw data erg belangrijk. Daarom gebruiken wij verschillende technieken om de data te versleutelen en veilig te houden.
Presenteren van Process Mining resultaten
Bij het presenteren van de Process Mining resultaten of ontsluiting van de analyses is het aan te raden om na te denken over de gegevens die je gebruikt. Eigenlijk speelt de privacy hier alleen wanneer je de gegevens niet hebt gepseudonimiseerd of geanonimiseerd. Dan zul je ervoor moeten zorgen dat in de presentaties en ontsluiting de persoonsgegevens niet toegankelijk zijn en resultaten niet herleid kunnen worden naar individuele personen.
Toch kan er nog een andere reden zijn om je resultaten of de ontsluiting te beveiligen. Je analyses kunnen inzichten geven die je liever niet algemeen beschikbaar stelt in de organisatie. Bijvoorbeeld fraudedetectie maatregelen die wel of juist niet effectief blijken te zijn. Of informatie over je processen die in het kader van de concurrentie cruciaal is.
Zelf aan de slag met Process Mining binnen jouw organisatie?
Schrijf je in voor de gratis Masterclass!
Roderick Schreuder
Roderick Schreuder is een technologie ondernemer en data science expert. Hij heeft + 20 jaar ervaring in verschillende sectoren bij organisaties zoals Philips, ING, Heerema, Achmea, NXP en Belastingdienst. Sinds 2006 is hij betrokken bij BiZZdesign en heeft zich recent gestort op de data science techniek ‘Process Mining’ bij MonkeyMining. Roderick is regelmatig gastspreker op conferenties en congressen en wordt regelmatig gevraagd om technologie inspiratiesessies voor directies en management teams te faciliteren. Daarnaast is hij verbonden aan de Hogeschool Utrecht, Avans Hogeschool en Business University Nyenrode.
Recente reacties