SmartLockr - jan 27, 2021

Zijn jouw productiegegevens voor het testen AVG Compliant?

Zijn jouw productiegegevens voor het testen AVG Compliant?

De Algemene Verordening Gegevensbescherming (AVG) is een Europese verordening. Het is hierdoor voor bedrijven verplicht geworden om de beveiliging van het e-mailverkeer nauwlettend in de gaten te houden. De AVG beschermt persoonsgegevens ongeacht de technologie die wordt gebruikt voor het verwerken en opslaan ervan. In alle gevallen zijn persoonsgegevens onderworpen aan de beschermingsvereisten zoals uiteengezet in de AVG.

Je moet ervoor zorgen dat de persoonlijke gegevens van je medewerkers, maar ook van klanten, altijd volledig veilig blijven..

Maar kan ik testgegevens gebruiken en voldoen aan de AVG?

Het korte antwoord is nee. In onze laatste webinar bracht gastspreker Arie van der Deijl van Aareon het belang van productiegegevens en GDPR-compliance over. De AVG is van toepassing op alle organisaties die met gevoelige gegevens te maken hebben, ongeacht of dit persoonsgegevens, productiegegevens of beide zijn. Wanneer productiegegevens worden gedupliceerd naar een testomgeving in 'non-production', moeten organisaties ervoor kunnen zorgen dat deze gegevens veilig zijn, terwijl ze hun interne processen en efficiëntie verbeteren.

Een organisatie kan opmerken dat hun algemene voorwaarden stellen dat ze gegevens alleen voor testdoeleinden gebruiken. Dit betekent niet dat deze gegevens zomaar gebruikt mogen worden. Volgens de AVG moet alles wat onder de categorie persoonsgegevens valt, beschermd worden.


Wat zijn persoonlijke gegevens?

Persoonlijke gegevens zijn alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare levende persoon. Verschillende soorten gegevens die worden verzameld, kunnen leiden tot de identificatie van een bepaald persoon, vormen ook persoonsgegevens. Denk hierbij aan namen, achternamen en huisadressen.

Persoonlijke gegevens die zijn geanonimiseerd, versleuteld of "gepseudonimiseerd", maar kunnen worden gebruikt om een persoon opnieuw te identificeren, blijven persoonlijke gegevens en vallen onder de AVG. Terwijl persoonsgegevens die zodanig zijn geanonimiseerd dat het individu niet (meer) identificeerbaar is, niet langer als persoonsgegevens worden beschouwd. Om gegevens echt als geanonimiseerd te beschouwen in overeenstemming met de AVG, moet de anonimisering onomkeerbaar zijn.

 

Wat kunnen we eraan doen, hoe kunnen we testdata gebruiken en voldoen aan de AVG??

Om gegevens te kunnen gebruiken bij testen of trainingen, moeten ze eerst volledig geanonimiseerd worden voor zover ze onomkeerbaar zijn. Dit staat bekend als "Data Obfuscation" (DO). Dit kan worden gedefinieerd als een vorm van datamaskering waarbij gegevens opzettelijk worden gecodeerd om ongeautoriseerde toegang te voorkomen. Deze vorm van versleuteling verandert tekst in data naar onbegrijpelijke symbolen zodat de betreffende tekst onleesbaar wordt. Maskeren is het belangrijkste middel om gegevens te verduisteren.


Datamasking

Datamaskering is een belangrijke techniek om een structuur te ontwikkelen die lijkt op de beschikbare, maar heeft een niet-authentieke update van de bedrijfsinformatie die om meerdere redenen kan worden gebruikt, zoals gebruikerstraining en softwaretests. Het belangrijkste doel is echter om de originele gegevens op te slaan door een operationeel alternatief te hebben voor verschillende situaties wanneer de echte gegevens niet nodig zijn..

Arie van der Deijl’s (Aareon) Presentation

Bron: presentatie van Arie van der Deijl, Aareon.

 

Voor- en nadelen van het maskeren van gegevens

Er is een groot aantal datamaskersoftware ontwikkeld om organisaties te helpen aan regelgevingen te voldoen. Daarbij worden de eigen werkprocessen continu verbeterd. Datamaskering kan op een aantal manieren worden uitgevoerd, waarbij elke methode het best op een bepaald datateypte kan worden toegepast.

 

Datamasking methoden

We hebben hieronder een lijst samengesteld met de verschillende methoden inclusief sterke en zwakke punten:

  • Substitutie– het willekeurig vervangen van de inhoud van een kolom met gegevens, door gegevens die er hetzelfde uitzien, maar geen verband houden met deze gegevens. 
    • + behoudt effectief de look and feel van bestaande gegevens.
    • te omslachtig bij grote hoeveelheden gegevens. Het kan moeilijk zijn om in zulke grote hoeveelheden, relevante gegevens te vinden.

  • Shuffling– zoals bij vervanging, maar in dit geval worden de vervangende gegevens gegenereerd uit de kolom zelf. De gegevens in een kolom worden willekeurig tussen rijen geschud totdat de gegevens niet langer verband houden met de resterende informatie in de rij.
    • + behoudt effectief de ‘look and feel’ van bestaande data en verwerkt efficiënt grote hoeveelheden data.
    • niet effectief bij kleine hoeveelheden gegevens, aangezien de originele gegevens nog steeds aanwezig zijn.

  • Afwijking van aantal en datum – elk getal of elke datumwaarde in een kolom wordt algoritmisch gewijzigd door een willekeurig percentage van de werkelijke waarde.. 
    • + tools voor gegevensmaskering kunnen numerieke gegevens maskeren, terwijl het bereik en de verdeling van waarden binnen de bestaande limieten blijven.
    • olleen van toepassing op numerieke gegevens.

  • Versleuteling – gegevens worden algoritmisch versleuteld en alleen degenen met toegang tot de juiste sleutel kunnen de versleutelde gegevens bekijken.
    • + maskeert gegevens.
    • versleuteling vernietigt zowel de opmaak als het uiterlijk van de gegevens. Hierdoor is het gemakkelijk om te zien wanneer de gegevens zijn versleuteld. Met voldoende moeite kan ook bijna elke codering worden verbroken. Daarnaast kan iedereen met de toegangssleutel bij het gebruik van test- of ontwikkelingsdatabases ook iedereen met de juiste sleutel toegang krijgen tot de gegevens, waardoor de codering nutteloos is.

  • Nulling Out/Truncating/Deletion –verwijdering van de gevoelige gegevens.
    • + handig in omstandigheden waarin de gegevens niet vereist zijn.
    • niet geschikt voor testdatabase-omgevingen, waar op zijn minst een realistische benadering van de gegevens vereist zijn door de testteams.

Het naleven van oude en nieuwe regelgevingen veroorzaakt nog steeds veel problemen binnen organisaties. Veel organisaties zijn niet op de hoogte van datawetten, waardoor ze in hun huidige processen een groot risico lopen op boetes.

SmartLockr neemt deze zorg weg door je volledig te ontzorgen, zodat jij je als organisatie kunt concentreren op waar je goed in bent: jouw core business.

Wil je meer weten over de AVG?

 

AVG GDPR

 

Written by SmartLockr