Masterscriptie AVG compliance

Afgelopen juli heb ik met succes mijn scriptie ‘An automated rule based system for checking GDPR compliance’ verdedigd. De scriptie is het resultaat van een onderzoekssamenwerking tussen de Vrije Universiteit en ICT Institute. Op basis van deze scriptie heb ik het diploma ‘Master of Science in Information Sciences’ ontvangen. In dit artikel geef ik een korte samenvatting van de scriptie, en sluit hem als bestand bij voor de geïnteresseerden.

De volledige scriptie is hier te downloaden: An automated rule based system for checking GDPR compliance.

Achtergrond

De Algemene Verordening Gegevensbescherming, kortweg AVG, is een nieuwe Europese verordening die tot doel heeft de persoonsgegevens van EU-burgers te beschermen en voor organisaties de verwerking en behandeling van persoonsgegevens te vereenvoudigen. De officiële Europese benaming is de General Data Protection Regulation, ofwel de GDPR. Elke organisatie die met persoonsgegevens werkt, wordt beïnvloed door- en moet voldoen aan de verordening of een zware boete riskeren. De verordening vervangt nationale wetgeving en een bijna 25 jaar oude Europese richtlijn, waardoor organisaties op de hoogte moeten zijn van de wijzigingen om te blijven voldoen aan de wetgeving omtrent gegevensbescherming. De AVG bevat 99, vaak vrij complexe, artikelen waardoor sommige onderzoekers zoals Koops (2014) vinden dat de AVG zijn eigen doel van de vereenvoudiging van gegevensbeschermingswetgeving voorbij schiet. 

Huidige tools

Het Nederlandse orgaan dat toezicht houdt op de naleving van de AVG, de Autoriteit Persoonsgegevens, heeft een tienstappenplan opgesteld dat de belangrijkste onderwerpen behandelt. Als manier voor organisaties om een ​​snelle zelfcontrole uit te voeren, ontwikkelde de Autoriteit Persoonsgegevens ook samen met de RVO (Rijksdienst voor Ondernemend Nederland) een high-level AVG readiness scan. De documentatie bij het tienstappenplan en de readiness-scan is uitgebreid en gedetailleerd, wat ook meteen het zwakke punt is. De overvloed aan tekst maakt het moeilijk om te gebruiken en verre van intuïtief voor de gebruiker of hij of zij compliant is.

Onderzoeksdoel

Het doel van dit onderzoek is om de gebruikerservaring en efficiëntie van het Autoriteit Persoonsgegevens plan en de RVO-tool te verbeteren door een geautomatiseerd, op regels gebaseerd, checklist-systeem met hands-on feedback te ontwikkelen dat helpt bij de toepassing van de complexe nieuwe Algemene Verordening Gegevensbescherming. Dit deed ik aan de hand van het volgende technische onderzoeksprobleem:

Het ontwerp van een accurate en gebruiksvriendelijke checklist om AVG conformiteit in bedrijfsprocessen te controleren.

Mijn onderzoek is gestructureerd volgens de Design Science Research Methodology (DSRM) van Peffers et al. (2007) Deze methodiek biedt een solide basis voor de ontwikkeling van een informatiesysteem, aangezien de nadruk wordt gelegd op een stapsgewijze benadering en iteraties worden aangemoedigd.

Onderzoeksopzet

Met de motivatie en juiste methodologie gevonden, heb ik een eerste versie van de tool ontwikkeld. Om een goede verbinding met de werkvloer te realiseren heb ik vijf organisaties geïnterviewd, waarmee bepaald kon worden op welke aspecten focus moet worden gelegd. Vervolgens werd de tool verder ontwikkeld en onderging een test-run. De tool is aan de hand hier van verbeterd, waardoor ik een aantal tussentijdse resultaten kon publiceren. Verder is de tool in een experiment getest tegen de huidige RVO-tool met twee groepen van zeven deelnemers, en uiteindelijk geëvalueerd.

De waarde van een succesvol ontworpen product is drievoudig: organisaties zullen gegevensbescherming en privacy met meer zorg kunnen hanteren, hun tevredenheid met de nieuwe Verordening en het vertrouwen in een goede naleving ervan zullen toenemen, en het automatiseren en vereenvoudigen van een schijnbaar moeilijk aspect van het zakendoen bespaart tijd en middelen.

Resultaten

Het vergelijken van de Compliance Scan-tool met de RVO-tool leverde verschillende nieuwe inzichten op. De RVO-tool kostte aanzienlijk minder tijd om te doorlopen (zie figuur 1) en zorgde ervoor dat de gebruikers zich achteraf iets meer AVG-compliant voelden dan gebruikers van de C-Scan (figuur 2), maar niet zo zeker waren van het gegeven antwoord als de C-Scan-tool (figuur 3). De Compliance Scan kostte langer om te voltooien, maar leverde concrete feedback op en heeft waarschijnlijk de gebruikers ertoe gebracht om daadwerkelijk meer te weten te komen over hun huidige niveau van AVG conformiteit. De Compliance Scan bleek een nuttige manier om AVG-compliance inzicht te krijgen voor MKB’ers uit verschillende sectoren, en voldeed aan de eerder opgestelde criteria. Beide tools zouden kunnen profiteren van meer realistische voorbeelden en verduidelijking van gebruikte termen.

Conclusie

De ontwikkelde tool kan hulp bieden bij het ondersteunen van- en leren over AVG conformiteit
De tool die volgens de strategie beschreven in mijn paper ontworpen is, heeft deelnemers drie zaken opgeleverd: men heeft nieuwe dingen kunnen leren, men voelt zich zekerder over hun conformiteitsbeeld, en men heeft duidelijk inzicht in daadwerkelijke AVG conformiteit. Dit was in de resultaten te zien als een overal positieve verandering in zekerheid en in de antwoorden op de open vragen.

De tool is nuttig voor MKB’ers in de branches softwarediensten, communicatiediensten, software ontwikkeling, gezondheidszorg, en sociale diensten
De zeven deelnemers die de Compliance Scan hebben gebruikt ontwikkelen software, bieden een softwaredienst, bieden een communicatiedienst, bieden gezondheidszorg of bieden een sociale dienst. De omvang van deze organisaties varieert van vijf fulltime werknemers tot 200 fulltime + 350 parttime / flexwerkers. De onderzoeksresultaten laten zien- en de algemene consensus was dat de tool een nuttige manier is om meer te leren over de AVG en de eigen conformiteit er aan.

De belangrijkste punten voor verbetering zijn het toevoegen van voorbeelden uit de praktijk en een betere leesbaarheid
Hoewel de tool nuttig werd geacht door organisaties van verschillende afmetingen en door deelnemers met verschillende AVG expertiseniveaus, is het gebleken dat de tool zeker kan profiteren van meer duidelijke praktijkvoorbeelden en gemakkelijker te begrijpen vragen. Het verbeteringsdoel is om de tool intuïtiever te maken, zodat gebruikers meteen begrijpen wat er wordt gevraagd en dit kunnen vertalen naar hun eigen situatie.

Toekomstig onderzoek en vervolgstappen

De resultaten van de scriptie zijn gebruikt voor de ontwikkeling van een nieuwe AVG compliance scan die nu aangeboden wordt door ICT Institute.

Toekomstig onderzoek op het gebied van compliance hulpmiddelen zou de anekdotische feedback, de gevonden sterke punten en de verbeterpunten uit mijn scriptie kunnen gebruiken. De tool kan uitgebreid worden met AI (in de voetsporen van Kingston (2017)) om te helpen bij de naleving van AVG.

Referenties:

• J Kingston. Using artificial intelligence to support compliance with the general data protection regulation. Artif Intell Law, 25(4):429–443, dec 2017. ISSN 0924-8463. doi: 10.1007/s10506-017-9206-9. URL http://link.springer.com/10.1007/s10506-017-9206-9.
• B Koops. The trouble with european data protection law. International Data Privacy Law, 4(4):250–261, 2014.
• K Peffers, T Tuunanen, M A. Rothenberger, and S Chatterjee. A design science research methodology for information systems research. Journal of Management Information Systems, 24(3):45–77, dec 2007. ISSN 0742-1222. doi: 10.2753/MIS0742-1222240302. URL https://doi.org/10.2753/MIS0742-1222240302
• R J. Wieringa. Design science methodology for information systems and software engineering. Springer Berlin Heidelberg, Berlin, Heidelberg, 2014. ISBN 978-3-662-43838-1. doi: 10.1007/978-3-662-43839-8. URL http://link.springer.com/10.1007/978-3-662-43839-8.