GDPR: Auditing personal data through traceability ?




On May 25, 2018, the GDPR (General Data Protection Regulation) or GDPR came into force. As everyone knows, the main objectives of the GDPR are to give back control to EU citizens over their personal data.


A pitfall: the profusion of personal data, their heterogeneity


Since 2018, the holding of personal data must have a legal basis. It is necessary either to contract with the owner of the data (!), or to obtain consent. Moreover, when the legal reason for the detention is "consent", the consent must be specified - i.e. the owner must specify what he has consented to regarding the uses of his personal data.


Personal data is defined very broadly. Article 4 of the GDPR defines personal data as any information relating to "an identifiable natural person". That is to say a person who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more specific elements physical, physiological, genetic, psychic, economic, cultural or social identity…”. Wow!


So companies have astronomical volumes of data stored, not knowing very well where they come from, where they go, who consults them…


Personal data audit


Open any book or website on implementing GRDP, it will start by saying that Step #1 to being GDPR Compliant is an audit of personal data.


This audit will inform you about the personal data you hold. This will require you to document what data you hold, where it is held, what it is used for, and who accesses it, etc. The general observation is that they tend to proliferate in internal systems. This data also flows externally: companies constantly exchange data, but rarely keep track of what information has been shared, and with whom. It can also be third parties who access a company's network. Recently it was established that the average corporate network was accessed by 89 external players every week!


The key is traceability!


Data frequently passes through different systems. Typically, it will be necessary to know if you have a longitudinal follow-up of all the personal data in your data visualization tools, and all their technical underlyings. If a person wishes to modify their inaccurate personal data, will this modification be replicated in all systems? Is this principle also true for development and test environments?


An audit can also tell you what you have… at the time of the audit. But an audit is a "one shot". As soon as done, immediately obsolete. As data moves through the systems it will be necessary to know what changes have been made and how they have propagated. Good luck to the listeners!


Do you think you will really be able to answer these 2 questions at all times: where does the data come from, and where is it used? And the answers must relate to the situation at the moment “t”.


The data lineage


There is a well-established technique for tracing information in systems, it's called "data lineage".


  • But if the uses of information are not defined, including “official” uses, but also “ad hoc” uses of information, it does not make sense. Thus, the data lineage will have to be able to identify the uncontrolled "scraping" of personal data in the company, in a perimeter beyond IT.
  • If there is no continuous time update of this mapping, it will not be usable. It will therefore be necessary that the scan of the information system be continuous.
  • And for the business lines in which we generally find the “Compliance”, “Security” and DPO teams to be able to exploit the answers produced, they will have to be able to rely on a mapping that is as less technical and as intelligible as possible. Thus the "business" terms used in the lower layers (ERP, CRM), or the upper layers (data visualization) should be able to be propagated throughout the cartography.


Conclusion

A multi-technology data lineage solution, defining the uses of information, which analyzes delta flows, will be a powerful lever for GDPR compliance. We will not be in the traditional GDPR "check list" (free consent, register of processing, etc.), but in a holistic approach to the subject with answers that follow the GDPR framework, to bring the company into the world of data governance!




#GRDP #GDPR #datalineage


ellipsys@ellipsys-bi

www.ellipsys-bi.com

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Migrer de Oracle à Postgre en automatisant le processus !

Image
    Migrer de Oracle à Postgre en automatisant le  processus, au forfait  ! De nombreuses entreprises quittent Oracle pour PostgreSQL   Oracle Database a la réputation d'être coûteuse en termes de licences et de support.  Cette politique de tarification peut rendre Oracle moins attrayante pour certaines entreprises. Bloomberg note une baisse des ventes de nouvelles licences chez Oracle. Baisse qui se perpétue depuis 7 trimestres.    En face, on a la base de données PostgreSQL,  qui est gratuite, que l’on peut modifier et distribuer, qui a la réputation d’être fiable et stable, avec une bonne gestion des transactions... Tous ces éléments la rendent appropriée pour des applications critiques où la cohérence des données est essentielle. PostgreSQL prend en plus en charge une grande variété de types de données, y compris des types géospatiaux, JSON, etc., ce qui la rend adaptée à la manipulation de données complexes et variées.     Postgre est maintenant la 4ème base de données la plus
Lire la suite

Sur-administrer une plateforme SAP BO simplement

Image
I- Introduction  _______________________________________ Courte histoire de SAP BO :  La Business Intelligence existe depuis 30-40 ans. Business Object, vient de souffler ses 30 bougies (1990). Pratiquement aux origines ! L’idée géniale des inventeurs :  rendre intelligible la donnée, et la mettre à portée de clic pour le métier.           Au départ, dans chaque entreprise qui implémente SAP BO, il y peu d’utilisateurs, mais très vite les plateformes sont dépassées par leur succès. Des Business Analysts viennent s’interfacer. La complexité, et même l’hyper complexité deviennent la norme. Et la confiance s’étiole. Les versions (BO 3.0…. 6, XI, XI R3, 4.0,1,2,3 …) se sont enchainées sur quasi 30 ans sans véritablement bouleverser le concept de départ même si la version Cloud (SAP Analytics Cloud) vient de voir le jour.    SAP BO vs « les tendances de marchés » : Le métier veut de l’autonomie, veut pouvoir jouer dans d’immenses « bacs à sable » de données, et obtenir des réponses instanta
Lire la suite

La Data Observabilité, Buzzword ou nécessité ?

Image
    La Data Observabilité,   Buzzword ou nécessité ?   La qualité des données utilisées dans les opérations quotidiennes a un rôle prépondérant pour les entreprises.    Une étude du Gartner de 2022 suggère que les "mauvaises données" coûtent aux organisations environ 12,9 millions de dollars par an.  Le Data Quality Hub du gouvernement britannique estime que les organisations consacrent entre 10 % et 30 % de leurs revenus aux problèmes de qualité des données, ce qui peut représenter des centaines de millions de dollars pour des entreprises de premier plan.  Dès 2016, IBM estimait que la mauvaise qualité des données coûtait aux entreprises américaines 3 100 milliards de dollars par an. ... Tout le monde souhaite s’appuyer sur des données intègres pour éviter des erreurs simples liées à des problèmes d’alimentation dans des flux, ou à des données mal organisées, répliquées, etc. Mais comment ?    Les techniques d' "observabilité des données" sont une option.     
Lire la suite