De Autoriteit Consument & Markt gaat strenger optreden tegen bedrijven die de Nederlandse en Europese regels van mededinging overtreden. Dit was de boodschap van de nieuwe ACM-bestuursvoorzitter Martijn Snoep in gesprek met Het Financiële Dagblad in februari dit jaar. Organisaties die grote hoeveelheden persoonlijke data verzamelen, opslaan en verwerken, doen er verstandig aan een goed datamanagementsysteem op te tuigen als ze niet tegen torenhoge boetes willen aanlopen.
Hoe de ACM te werk gaat
Sinds de NMa, OPTA en Consumentenautoriteit in 2013 fuseerden tot de Autoriteit Consument en Markt (ACM) , doet de toezichthouder ook onderzoek naar de digitale handel en wandel van organisaties. Bij verdenking van prijsafspraken of kartelvorming kan de ACM uitgebreide informatieverzoeken indienen bij de onderneming of kan de ACM ter plaatse of op het hoofdkantoor elektronische data onderzoeken. Niet zelden gebeurt dit onverwachts via een inval of een zogenaamde “dawn raid”. De ACM selecteert dan ter plekke brondata op het netwerk of in de Cloud computers van de onderzochte partij, waarna het met speciaal ontwikkelde software gerichte onderzoeksdatasets genereert.
Na het veiligstellen van de datasets volgt een aantal forensisch IT-technische handelingen waarbij de correspondentie wordt uitgepakt, de bestanden doorzoekbaar gemaakt en de systeemdata gefilterd. Vervolgens wordt de data automatisch onderzocht op onrechtmatige handelingen, waarbij er geen inzage in de inhoud van de gegevens wordt verkregen (voor zover dit niet binnen de reikwijdte van het onderzoek valt).
De onderzochte partij mag bij dit onderzoek deels aanwezig zijn om waar nodig vragen te beantwoorden of anderzijds praktische hulp te kunnen bieden. Daarna krijgt de onderzochte partij de mogelijkheid om geprivilegieerde en niet ter zake doende informatie te verwijderen. Niet altijd zijn de ACM en de onderneming het hier over eens, wat ook nog wel tot de nodige discussies kan leiden.
Wees de waakhond voor
Van ondernemingen wordt verwacht dat ze tijdig, nauwkeurig, volledig en correct informatie te verstrekken. Na een informatieverzoek of een “dawn raid” gaat de klok tikken. Het gebeurt vaak dat de onderneming dan op achterstand staat: de directie weet niet precies wat er gebeurd is, wie er bij betrokken waren, of er waarschuwingssignalen zijn geweest en wat daarmee is gedaan; wat de reikwijdte van de overtredingen is en hoe groot de potentiele schade. De externe advocaat of een interne afdeling begint dan meestal een eigen onderzoek om zo snel mogelijk antwoord op deze vragen te kunnen geven.
Bedrijven die vanwege hun dienstverlening gigantische hoeveelheden persoonlijke gegevens verzamelen en verwerken, kunnen al snel het overzicht over hun data kwijtraken en daarmee de fout ingaan –onbedoeld of niet. Ze gaan de mist in wanneer ze met een lappendeken aan achterhaalde point solutions proberen het overzicht te behouden over de data in huis, met alle chaos van dien. Of ze besteden hun datamanagement uit aan externe partijen die minder feeling hebben met de organisatie, wat de kans op voorkombare fouten vergroot.
De beste oplossing is om zelf de beschikking over een platform te hebben dat minstens zo goed is in het filteren en analyseren van informatie als dat van de toezichthouder. Zo maken de Europese Commissie, de Amerikaanse Securities and Exchange Commission (SEC), de Alberta Security Commission en de Nederlandse Zorgautoriteit (NZA) allen gebruik van geavanceerde eDiscovery technologie voor hun eigen onderzoek.
Om niet direct met 10-0 achter te staan, is het zaak dat de onderneming zelf ook snel antwoord op dit soort vragen heeft. Zo kan de advocaat of interne onderzoeksafdeling interviews met de betrokkenen afnemen, maar ook zelf onderzoek laten doen op de in beslaggenomen data, op mailboxen, file shares, SharePoint of informatiebronnen van andere mogelijk betrokkenen.
Voorkomen nog altijd beter dan genezen
Wanneer bedrijven zelf controle over hun data houden en voor de analyse gebruik maken van een eigen eDiscovery platform, kunnen ze sneller, grondiger en nauwkeuriger reageren op een verzoek van de toezichthouder. Hier zijn verschillende redenen voor:·
- Alle relevante data is centraal opgeslagen en toegankelijk voor eigen en externe onderzoekers;
- De verschillende bestandstypen, formaten en talen zijn volledig gestandaardiseerd;
- Interne teams en externe partijen kunnen op een hoger beveiligingsniveau samenwerken;
- Veel saaie en tijdrovende taken zijn geautomatiseerd;
- De software biedt zeer geavanceerde zoekfuncties, gegevensanalyse en AI-gestuurde mogelijkheden om snel relevante informatie te vinden en diepere en zinvolle inzichten van achter de data te geven.
Alle bestandsfiles en elektronische communicatie inclusief bijlagen en complexe ZIP-, PDF- en visuele bestanden kunnen direct worden ge-upload, uitgepakt en binnen enkele minuten doorzoekbaar gemaakt op een enkel platform. De datasets kunnen tot wel 90% worden gereduceerd, omdat het systeem middels ‘culling’ dubbele en irrelevante systeembestanden eruit filtert. Zo neemt de hoeveelheid te beoordelen data enorm af, wat tot flinke kostenbesparingen leidt
Machine learning
De voordelen van de software is dat het systeem zelf snel signalen van potentiële problemen kan oppikken, waaronder beveiligingsrisico’s, antitrustgedrag, frauduleuze transacties etc. Met machine learning oefent het systeem verder in het opsporen van nieuw bewijsmateriaal, bijvoorbeeld bij het identificeren van gesproken woorden en zinnen in video's en audiobestanden aan de hand van Phonetic Audio Search; het vinden van specifieke numerieke waarden en getallen binnen gedefinieerd bereik; het gebruik van ‘fuzzy’ zoekopdrachten om verkeerd gespelde namen of woorden uit niet-westerse alfabetten terug te vinden. Ook ‘geheime’, verdachte en emotionele communicatie kan beter worden opgespoord, waarbij de technologie van eDiscovery e-mail threads reconstrueert en het hele verhaal van begin tot einde inzichtelijk maakt.
Om aan privacy voorschriften te voldoen, identificeert en anonimiseert het systeem automatisch alle persoons- en bedrijfsgevoelige informatie. Aan de hand van autoclassificatie kunnen namen, behandelaars, bestandstype, keywords en andere metadata worden gefilterd en getagd. Geprivilegieerde communicatie tussen advocaten en hun klanten kan worden verwijderd of geanonimiseerd. En met machinevertaling kan de communicatie in onbekende talen in mum van tijd worden ontcijferd.
Meer weten over het gebruik van kunstmatige intelligentie en Analytics bij een dataverzoek van de toezichthouder? Download hier de White paper van ZyLAB over de grote voordelen van het zelf beheren van een eDiscovery platform .
