Event: DDMA DQ Dag

Thema: Datakwaliteit

Spreker: Alexander Singewald – SingewaldConsultants Group BV

Datum: 12 september 2006 – Fortis NV, Utrecht

www.ddma.nl

1

Quality Street, het snoepje voor de databasemarketeer!

DDMA's dag van de datakwaliteit

12 september 2006Alexander J.J.T. Singewald© Singewald Consultants Group BV

www.privacy.nl0800-PRIVACY

Nevenfuncties:secretaris Stichting Nationale Privacy Symposiasecretaris van de Stichting DM en SP Prijzen Esprixvoorzitter van de Geschillencommissie Promotionele Productensecretaris Beroepscommissie Onderzoek en Statistiekvoorzitter van de Plantronics Telesales Team TrophyBoard member / Treasurer FEDMAlid van Raad van Toezicht SMIN, Vereniging RelatiemediaDM Man van het Jaar 2004

Curriculum vitae:Nederlands recht specialisatie strafrecht (1984-1989)Beleidsmedewerker/onderzoeker Registratiekamer (1989-1992)Adjunct directeur DMSA (1992-1998)CEO Singewald Consultants Group BV (1998-)

Alexander J.J.T. SingewaldCEO Singewald Consultants Group BVWebsite: www.privacy.nlAdres:Hadleystraat 481431 SN AalsmeerPostadres:Postbus 2951430 AG AalsmeerTelefoon:0297 369 767Telefax: 0297 369 545E-mail: singewald@privacy.nl

2

Wet bescherming persoonsgegevens

Artikel 11• Persoonsgegevens worden slechts verwerkt voor zover

zij, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn.

• De verantwoordelijke treft de nodige maatregelen opdat persoonsgegevens, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, juisten nauwkeurig zijn.

Wat is juist en nauwkeurig?• Transparantie:

– Voldoen aan informatieplicht– Recht van verzet– Melden bij het College bescherming

persoonsgegevens– Algemene geheimhouding, alleen die

persoonsgegevens verwerken die noodzakelijk zijn voor uitvoering taak of verstrekken op basis van een wettelijk voorschrift

– Grondslag: overeenkomst, pre-contractueel, gerechtvaardigd belang

3

Procedureel• Heeft u procedures en maatregelen getroffen waarmee de

kwaliteit van de gegevensvoorbereiding en de invoer van gegevens gewaarborgd kan worden?

• Zo ja, is hierbij aandacht besteed aan:• Gegevensvoorbereiding door de gebruikersorganisatie.

– Persoonsgegevens worden alleen verzameld en verder verwerkt voorhet doel waarvoor ze zijn bestemd. De persoonsgegevens zijn terzake dienend, niet bovenmatig,juist en nauwkeurig. Invoerformulieren en invoerschermen waarborgen onder meer dat fouten en het achterwege laten van invoer wordt geminimaliseerd?

• Autorisatie van brondocumenten.– Brondocumenten worden gemaakt door geautoriseerd personeel.– Er is voldoende functiescheiding met betrekking tot de oorsprong en

goedkeuring van een brondocument?• Gegevens verzamelen voor brondocumenten.

– Alle geautoriseerde brondocumenten worden tijdig,volledig,accuraat en juist verantwoord en verwerkt?

Procedureel• Foutbehandeling brondocumenten.

– Tijdens het opstellen van gegevens worden fouten en onregelmatigheden ontdekt,gemeld en gecorrigeerd?

• Handhaven brondocumenten.– Originele brondocumenten blijven in bezit van de organisatie of zijn

binnen een acceptabele termijn te verkrijgen indien reconstructie of herstel van gegevens nodig is en om te voldoen aan de wettelijkeeisen?

• Autorisatieprocedures gegevensinvoer.– Gegevens worden alleen door geautoriseerde personeelsleden

ingevoerd?– Foutenafhandeling tijdens gegevensinvoer waarborgt dat fouten e.d.

worden ontdekt,gemeld en gecorrigeerd?• Juistheid-,volledigheid,- en autorisatiecontroles.

– Ingevoerde gegevens worden gecontroleerd op juistheid,volledigheid en autorisatie.Tevens worden de ingevoerde gegevens zo dicht mogelijk bij de bron gevalideerd en bewerkt?

• Herstelprocedure gegevensinvoer.– Herstelprocedures zorgen voor correctie van onjuiste invoer van

gegevens?

4

Procedureel• Heeft u procedures en maatregelen getroffen

waarmee de kwaliteit van de gegevensverwerking gewaarborgd kan worden?

• Zo ja, is hierbij aandacht besteed aan:• Validatie van gegevensverwerking en bewerking.

– Validatie van de gegevensverwerking,authenticatie en bewerking vindt zo dicht mogelijk bij de plaats van ontstaan plaats?

• Integriteit van de gegevensverwerking.– Functiescheiding en het controleren van de verwerking van

persoonsgegevens in de vorm van bijvoorbeeld (geprogrammeerde)verbanden en totalen,mutatie- en andere verwerkingscontroles?

• Foutafhandeling bij gegevensverwerking.– Onjuiste transacties worden vastgelegd en geïdentificeerd

zonder dat ze verwerkt worden of dat andere juiste transacties vervallen of worden onderbroken?

Procedureel• Heeft u procedures en maatregelen getroffen waarmee de kwaliteit van

de uitvoer en de integriteit van gegevensbestanden gewaarborgd kan worden?

• Zo ja, is hierbij aandacht besteed aan:• Beoordelen van uitvoer.

– De juistheid van de uitvoerverslagen wordt gecontroleerd door de verstrekker en de relevante gebruikers? De afhandeling van fouten in de uitvoer wordt beheerst?

• Behandelen en behouden van uitvoer.– Uitvoerformulieren uit de informatiesystemen worden behandeld en indien onjuist

niet verstrekt?• Vergelijken en herstellen uitvoer.

– De uitvoer wordt automatisch vergeleken met relevante controletotalen.– Audit trails worden ter beschikking gesteld voor het traceren van verwerkte

gegevens en herstellen van verminkte gegevens?• Librarybeheer.

– De inhoud van de gegevens opgeslagen in de bibliotheek wordt systematisch geïnventariseerd en de integriteit van de bewaarde media wordt instandgehouden?

5

Welke eisen, waarvoor?

• Polisadministratie: zware eisen» bewijsfunctie

• Marketing bestand: lichtere eisen– Kwaliteit speelt wel bij ontdubbeling

• Risico bij ontdubbeling met lokaal en branche Infofilter

• Proportionaliteit

Opt definities

• Opt-in: voorafgaande toestemming van de betrokkene

• Opt-out: recht om te blokkeren door betrokkene zelf

6

Opt-in / Opt-out

–geadresseerde mail: opt-out– spraak telefoon: opt-out– fax: opt-in–automatisch belautomaten

zonder menselijke tussenkomst, prerecordedboodschap: opt-in

–ongeadresseerde mail: opt-out

Elektronische berichten I

• Commercieel, charitatief en ideëel• Elektronische berichten: ieder bericht

dat kan worden opgeslagen in netwerk of randapparatuur

• E-mail, sms, mms

• Hoofdregel: altijd voorafgaande toestemming nodig van de abonnee om zijn elektronische contactgegevens te gebruiken (opt-in)

7

Elektronische berichten II

• Uitzondering: indien in het kader van verkoop elektronische contactgegevens worden verkregen is gebruik toegestaan voor aanbieden van eigen, gelijksoortige producten en diensten, mogelijkheid geboden om gebruik te blokkeren bij verzamelen van elektronische contactgegevens

B-to-B e-mail

• B-to-B email onder de werking van de Telecommunicatiewet, wetsvoorstel in parlement– Zelfde regime als b-to-c: voorafgaande

toestemming• Uitzondering: e-mailadres dat bekend is gemaakt

om te worden gebruikt voor commerciële doeleinden

8

B-to-B e-mail

• B-to-B email onder de werking van de Telecommunicatiewet, wetsvoorstel in parlement– Zelfde regime als b-to-c: voorafgaande

toestemming• Uitzondering: e-mailadres dat bekend is gemaakt

om te worden gebruikt voor commerciële doeleinden

Commercielecomunicatiekuntugerusthiernaartoesturen@priv

acy.nl

Bovenmatigheid

• ‘toereikend, ter zake dienend en niet bovenmatig’– Let op bij verrijking

• Noodzaak kunnen onderbouwen, anders is het verwerken niet toegestaan:

‘Je weet maar nooit’

9

Wet- en regelgeving

• Wet bescherming persoonsgegevens• Telecommunicatiewet• Wet financiële dienstverlening• Gedragscodes

– Fedma DM gedragscode– Gedragscode verwerking persoonsgegevens

Financiële Instellingen• Etcetera

Onderzoek en statistiek

• Gedragscode voor onderzoek en statistiek• Nimmer rapporteren op identificerend

niveau, tenzij met uitdrukkelijke toestemming:– Kwaliteit van gegevens– Procedures

10

Praktijk

• Als je gegevens kwalitatief goed zijn is het geen garantie voor een juist gebruik van gegevens

Vragen?