<img src="https://track.adform.net/Serving/TrackPoint/?pm=268420" width="1" height="1" alt="">

GDPR compliant data warehouse #1

4. oktober 2018 Skrevet af: Jonas Mikkelsen Del med en ven     

Så er GDPR for alvor blevet en del af hverdagen. Uanset hvilken industri du er i, skal du nu tage stilling til, hvordan dit data warehouse kan sameksistere med GDPR og selvfølgelig være compliant. Med "the father of data warehousing", Ralph Kimball, i den ene hånd og vores erhvervsjurist og Data Compliance Consultant, Jonas Mikkelsen, i den anden hånd får du her blogindlæg 1 ud af 4 om, hvordan du bygger et compliant data warehouse på konceptuelt niveau. 

Derfor taler vi om GDPR

Nej, vi skal ikke igennem hele GDPR-smøren, men her får du i korte træk, hvorfor vi taler om GDPR og data warehouse. Fra den 25. maj 2018 skal alle organisationer, som opbevarer persondata, overholde EU's GDPR. Særligt to områder er af interesse for dataansvarlige:

  • Den nye bøde-ramme på op til 4% af den årlige globale omsætning
  • Den dataansvarlige skal kunne vise compliance overfor databeskyttelsesmyndighederne

The compliant data warehouse

For at overholde GDPR skal du som data warehouse-udvikler overveje en række tiltag for at være i overensstemmelse med loven. I dette blogindlæg gennemgår vi de to første ud af fire tiltag, som sikrer dig, at du bliver på den rigtige side af loven:

  1. Sådan bestemmer du formålet og udvælger de rette data
  2. Sådan vurderer du data og vælger det rette sikkerhedsniveau, fx ift. front-end / cloud-løsning
  3. Sådan matcher du din organisations behov
  4. Sådan håndterer du rettigheder til data

1 / Sådan bestemmer du formålet og udvælger de rette data

Som data warehouse-arkitekt eller -udvikler skal du have viden om GDPR. Du skal nemlig sikre, at data bliver behandlet med et legitimt formål og er begrænset til, hvad der er relevant. Samtidig skal du sikre, at data er tilstrækkeligt og kun bliver gemt længe som det er nødvendigt. Sidst, men ikke mindst skal du skabe en stærk sikkerhedsmodel, så mennesker kan opretholde deres integritet og fortrolighed. Med andre ord hviler et tungt ansvar på dine skuldre, men der er heldigvis god hjælp at hente her i blogindlægget. 

Først og fremmest skal du bestemme formålet med at behandle data. Altså, hvorfor er det nødvendigt at behandle netop disse data? Det er vigtigt, at du dokumenterer dette, fx i dokumentationen til det dit data warehouse.

Eksempler på formål

En uddannelsesinstitution vil hjælpe de studerende til at gennemføre deres uddannelse. Midlet er churn-analyser som gennem machine learning kan finde netop de studerende, som er i risikogruppen for at falde ud af studie. Med denne viden i hånden kan uddannelsesinstitutionen tage hånd om de studerende rettidigt og sætte ind med de aktiviteter, som hjælper den studerende bedst. 

Hvis du har en butik, kan dit formål med at gemme data være at tilbyde den enkelte kunde en vare, som vil være oplagt set i forhold til deres øvrige køb.

Design den rette datamodel

Før du stager data, skal du lave en datamodel, så du har overblikket over de data, der er relevante at behandle. En datamodel tvinger både forretningen som helhed og dig som BI-arkitekt til at tage stilling til, at de data, som skal ind i et data warehouse, er både tilstrækkelige og relevante. Dermed kan du i sidste ende sikre, at BI-løsningen kører så hurtigt som muligt og giver relevante indsigter for brugerne af BI-løsningen.

Her er et eksempel på et udkast til en datamodel:

datamodel

Bemærk, at hvis formålet med at benytte data ændrer sig, skal du som dataansvarlig sikre, at formålet er i overensstemmelse med det tidligere formål i kildesystemet. Hvis formålet ændrer sig fra kildesystemet og over i dit data warehouse, skal du lave ny dokumentation for at sikre, at behandlingen af data stadig er compliant.

Vi anbefaler, at du laver data warehouse-design/-dokumentation, samtidig med du dokumenterer databehandlingsaktiviteter. Din dokumentation skal derfor indeholde: 

  • Formålet med at behandle data
  • Navn og kontaktinformation på databehandler
  • En beskrivelse af kategorier af persondata
  • Den periode, som data vil blive opbevaret i
  • En generel beskrivelse af tekniske og organisatoriske sikkerhedstiltag

Få mere viden
Fortsæt til del 2 i serien om "GDPR compliant data warehouse". Her kan du læse, hvordan du vurderer data og håndterer sikkerhedsniveau - GDPR compliant data warehouse #2

Kan vi hjælpe dig?
Hvis du har spørgsmål eller søger kompetent rådgivning og konsulentbistand omkring data warehouse, så tøv ikke med at kontakte Kenneth Yderskov Jørgensen på kyj@inspari.dk / +45 61 95 66 95. Du kan også læse mere om data warehouse og den moderne BI-platform lige her Den moderne BI-platform eller du kan læse om BI-afdelingens ansvar ift. GDPR