Go directly to content
Naar de homepage

Privacy als uitgangspunt bij data-analyse: ‘Privacy by Design’

25 juli 2019 12:15

De Belastingdienst beschikt over veel informatie over burgers en bedrijven in Nederland. Met deze informatie maken dataspecialisten producten waar de Belastingdienst en samenwerkingspartners sneller en gerichter hun werk kunnen doen. Bijvoorbeeld aangiftes voorinvullen, of btw-fraude bestrijden. Maar werken met data betekent ook dat er veel aandacht moet zijn voor privacy. Iedereen moet er immers op kunnen vertrouwen dat hun gegevens in goede handen zijn. Dé data-afdeling van de Belastingdienst, de corporate dienst Datafundamenten en Analytics (DF&A), werkt daarom volgens het concept ‘Privacy by Design’.

DF&A levert kennis en producten waarmee de Belastingdienst zijn taken beter kan uitvoeren. Dat gebeurt op basis van data uit bijna 200 systemen. DF&A werkt daarin nauw samen met overige Belastingdienstonderdelen die zich met gegevens bezighouden. De data uit de systemen worden gecombineerd en opgewerkt tot datafundamenten. Risicomodellen en dashboards maken gebruik van die data, zodat bijvoorbeeld de effecten van een wetswijziging kunnen worden doorgerekend. Zo is er een datafundament Vastgoed dat gegevens biedt over verkooptransacties en de WOZ-waarde van huizen. Zo’n datafundament wordt voor meerdere producten gebruikt.

4 pijlers

Medewerkers van de Belastingdienst die met de data werken, moeten erop kunnen vertrouwen dat dat veilig is. Dat ze geen informatie zien, die ze niet hóeven te zien om hun werk te kunnen doen. Daarom wordt er gewerkt volgens de principes van Privacy by Design bij het ontwerpen van programma’s en procedures. Dat hangt samen met de uitvoering van de Algemene verordening gegevensbescherming (AVG), die op 25 mei 2018 inging. Deze uitvoering verliep via 4 pijlers:

• Dataclassificatie
• Dataminimalisatie
• Datacompartimentering
• Pseudonimiseren

Hoe privacygevoelig is dit?

Dataclassificatie betekent het toekennen van een ‘label’ aan delen van gegevens in een gegevensverzameling. Dat label zegt iets over de privacygevoeligheid van de gegevens. De datum van oprichting van een bedrijf? Niet zo gevoelig. Salaris? Behoorlijk gevoelig.
Afhankelijk van het label kan vervolgens worden bekeken hoe streng de informatie beveiligd moet worden in analyses.

De Belastingdienst heeft data in vele systemen, sommige data zijn beter gestructureerd dan andere. Bij het classificeren van deze gegevens is de uitdaging om alles het juiste label mee te geven, ook als er bijvoorbeeld persoonsgegevens toegevoegd zijn als ‘aantekening’ of in een lijstje met ‘opmerkingen’. Het is immers niet de bedoeling dat medewerkers per ongeluk iemands achternaam of geboortedatum zien. Als extra maatregel kan dit soort gegevens daarom worden gepseudonimiseerd.

Versleutelen

Pseudonimiseren is het versleutelen van data. Naast het voordeel voor medewerkers, is pseudonimiseren ook een extra slot op de deur. Er wordt al een tijd gewerkt aan het pseudonimiseren van de bronnen. Vervolgens kunnen de datafundamenten en producten gaan werken met de gepseudonimiseerde gegevens. Mocht het echt nodig zijn, dan kunnen gegevens ook weer worden gedepseudonimiseerd, dan zijn de persoonsgegevens dus wel weer zichtbaar.

Meer of minder data?

In het verleden was het nog weleens: hoe meer data, hoe beter. Maar met Privacy by Design is het adagium: hoe minder data, hoe beter. ‘Dataminimalisatie’ dus. Analisten en ontwikkelaars krijgen alleen toegang tot de gegevens die ze nodig hebben voor de producten waar ze mee werken. Werken ze bijvoorbeeld aan een risicomodel waarvoor de hypotheekgegevens van belastingplichtigen niet nodig zijn, dan kunnen ze die ook niet zien. Wie meer gegevens wil gebruiken, moet daarvoor een aanvullende aanvraag indienen. Op deze manier geeft DF&A invulling aan de 3e en 4e pijlers: datacompartimentering en –minimalisatie.

Geen internettoegang en monitoring

Bij Privacy by Design staat een zorgvuldige omgang met gegevens van burgers centraal. Dat kan alleen maar als je weet welke gegevens je hebt – daarom is classificatie zo belangrijk – en je ze op de juiste manier gebruikt. Ook daar neemt de Belastingdienst maatregelen op. Wie bij DF&A met privacygevoelige data werkt, heeft geen internettoegang en kan niet mailen naar iemand buiten de Belastingdienst. Ook zoekvragen worden gemonitord: je kunt niet zomaar gegevens over alles en iedereen opvragen. Dit is een bewustwordingsproces, dat bij de Belastingdienst in volle gang is en waar DF&A de afgelopen jaren grote stappen in heeft gezet.

Staatssecretaris Snel over Privacy by Design

10 juli bracht staatssecretaris Menno Snel een bezoek aan de directie Datafundamenten en Analytics, en verstuurde daar de volgende tweet mét video over: