<img src="https://track.adform.net/Serving/TrackPoint/?pm=268420" width="1" height="1" alt="">

GDPR compliant data warehouse #4

1. november 2018 Skrevet af: Jonas Mikkelsen Del med en ven     

Så er vi nået til 4. og dermed sidste del omkring the GDPR compliant data warehouse. I denne del sætter vi fokus på, hvordan du håndterer de rettigheder, mange mennesker er blevet opmærksomme på, da GDPR trådte i kraft. Læs med og blive klogere. 

Har du læst de tre første afsnit om the GDPR compliant data warehouse? Du finder dem her: #1,  #2 og #3.

4 / Handling rights of data subjects
Efter at GDPR er trådt i kraft er mange blevet opmærksomme på, at de har mulighed for at udnytte deres rettigheder angående personoplysninger, herunder rettigheder som:

  • Ret til indsigt
  • Ret til berigtigelse
  • Ret til sletning (retten til at blive glemt)
  • Ret til begræsning af behandling
  • Ret til dataportabilitet
  • Ret til indsigelse
  • Ret til behandling, som ikke udelukkende er baseret på profilering/automatisk afgørelse
Skal et data warehouse altid tage højde for alle disse rettigheder? Svaret er både ja og nej.

scale-min
Ja, men et data warehouse kan kun tage højde for de personoplysninger, der bliver behandlet heri. Et data warehouse skal hermed kunne understøtte alle ovenstående rettigheder, hvis ikke dette kan løses af de kildesystemer, som har hentet personoplysningerne ind.

Nej, organisationens personoplysninger, som aldrig er i kontakt med et data warehouse skal selvfølgelig ikke håndteres af et data warehouse. Dette er en master data management udfordring. I denne situation må processerne for personoplysningers forløb kortlægges og herefter må de systemer, som håndterer personoplysninger understøtte at udnytte rettigheder.

button-min

4.1 / Håndtering af rettigheder i data warehouset
Hvis organisationen vælger, at et data warehouse skal kunne håndtere at understøtte rettigheder, skal det først dokumenteres. Det vil sige, at det er nødvendigt at kortlægge vejen fra kildesystem til data warehouse og front-end. Det samme skal gøres for persondatas forløb i data warehouset. 

Ved dokumentation af personoplysningernes forløb kan den foreløbige dokumentation i form af en datamodel benyttes. Bruger du Kimballs metodik, kan der sandsynligvis være tale om en customer_key eller en employee_key, som kan hjælpe med at kortlægge hvilke databaser og tabeller, som personoplysningerne ligger i, og hvordan de fordeler sig i de respektive databaser og tabeller.

Nogle organisationer har ikke denne dokumentation på plads endnu, hvilket er en opgave Inspari hjælper mange virksomheder med. Inspari har blandt andet et GDPR-modul, som kan fremsøge persondata i et data warehouse, hvorfra personoplysninger i data warehouse kan findes. Herefter er det lettere at få overblik over, hvilke personoplysninger der ligger i data warehouset og dermed også, om der ligger følsomme personoplysninger. Efter dette output med personoplysninger skabt ud fra GDPR-modulet er det lettere at skabe et samlet systemlandskab, der kan skabe den nødvendige dokumentation over data warehouset.

En stor udfordring for alle ambitiøse BI-organisationer er, at der ofte kommer nye ønsker til behandlingen af data. Et projekt kunne være machine learning til at forudsige sandsynligheden for frafald på studerende eller et forecast for holdbarhed og status i en motor hos bilforhandlerens kunder. Helt simpelt kunne det også være en ny rapport til ledelsen. Dokumentationen skal derfor opdateres iht. de nye ønsker, organisationen har til data. Alle er enige om, at dokumentation er vigtig. Men i en travl hverdag ser vi nogle steder, at opgaven med at dokumentere bliver nedprioriteret, ikke lavet tilstrækkeligt eller måske slet ikke lavet. Hvis du oplever det samme i den ene eller anden grad i din organsation, anbefaler vi at kigge mod et automatiseret framework, som vedligeholder dokumentationen, når der laves om i systemlandskabet, herunder, facts, dimensioner eller keys. Det har tre fordele:

  1. En ofte nedprioriteret opgave bliver løst automatisk, og organisationen forbliver compliant
  2. Dokumentationen er på plads, hvilket giver overblik til at kunne understøtte udnyttelse af rettigheder
  3. Hvis eller når datatilsynet kommer på besøg, kan man dermed undgå en bøde. Størrelsen er som du måske ved, noget der kan få seriøse konsekvenser for virksomheden. Netop derfor er det vigtigt at tage dette alvorligt.

Med automatiseret dokumentation på plads, kan der udvikles og udtænkes nye projekter til at udnytte rettigheder. Dette kan eksempelvis være et opslag direkte ned på en database, som vha. af en søgning på en customer_key kan udgive oplysninger om den konkrete person, der ønsker at udnytte sin ret til indsigt, sletning, indsigelse mod behandling eller lignende.

Du kan med fordel udvikle systemer, så en kunde eller en bruger selv kan anmode at trække samtykke tilbage, blive slettet, så det sker ganske automatisk. En mulighed kan være at udstille en formular på en hjemmeside, hvorfra personen kan indtaste loginoplysninger og klikke i en check-box for at få udleveret oplysninger og på den måde udnytte sine rettigheder. Det er en udviklingsopgave, som kan være til stor hjælp for behandling af de mange forespørgsler, du kan forvente, der kommer. Udfordringen er set mange gange før, og derfor er der masser af gode muligheder for at implementere dette uden at starte med at genopfinde den dybe tallerken. Dette er eksempelvis set ved personer, der ønsker at unsubscribe fra et nyhedsbrev, hvortil denne unsubscribing også skal slå igennem på en database.

santa-gdpr-min

Vil du vide mere nu?
Hvis du har spørgsmål eller søger kompetent rådgivning og konsulentbistand omkring data warehouse, så tøv ikke med at kontakte Kenneth Yderskov Jørgensen på kyj@inspari.dk / +45 61 95 66 95. Du kan også læse mere om data warehouse og den moderne BI-platform lige her Den moderne BI-platform eller du kan læse om BI-afdelingens ansvar ift. GDPR

Vigtige links til dig: 
The GDPR Compliant Data Warehouse #1
The GDPR Compliant Data Warehouse #2
The GDPR Compliant Data Warehouse #3