• Home
• Nieuws

EntrD: Wat doe je als Corporatie om een datalek te voorkomen?

Geplaatst door CorporatieMedia op Monday 14 May 2018

Met het ingaan van de AVG later deze maand wordt het voor corporaties zaak nog zorgvuldiger met de persoonsgegevens van haar huurders om te gaan. Een onderdeel van de van kracht wordende wet is namelijk dat échte persoonsgegevens niet langer gebruikt mogen worden bij het testen van systemen. Softwareleverancier EntrD levert hiervoor de Datafactory, waarmee je persoonsgegevens kunt maskeren zodat ze onherleidbaar worden. Een gesprek over de essentie van het maskeren van data met Eric Hoefman (foto rechtsboven) en Wilma Borgers (foto linksonder).

“De privacy van je huurders bewaken is vanuit de rol die de corporatie heeft ontzettend belangrijk,” begint Wilma het gesprek. “Het maskeren – waar het pseudonimiseren, anonimiseren of genereren van synthetische data onder valt – is vooral belangrijk bij het testen van nieuwe releases of bij het opleiden van nieuwe medewerkers. Wat regelmatig gebeurt, is dat er een kopie van de productieomgeving wordt gemaakt waarna deze in de testomgeving wordt gezet. Daar hebben meer medewerkers toegang en ook meer rechten waardoor er sneller een datalek kan ontstaan. Dat is een van de redenen waarom de nieuwe Europese privacywetgeving het gebruik van echte persoonsgegevens verbiedt. Doe je dit wel, dat zijn de boetes fors om nog maar te zwijgen van de reputatieschade.”

Data-dilemma
Bij het anonimiseren moet je bijvoorbeeld rekening houden met het ‘data-dilemma’, vertelt Eric. “Corporaties willen dat gegevens onherleidbaar worden, maar wel bruikbaar blijven.” Om dit te bereiken zijn volgens hem drie dingen van belang: ketenconsistentie, consistentie over tijd en bruikbaarheid. “Met ketenconsistentie bedoel ik dat het cruciaal is dat gegevens consistent over de hele keten gemaskeerd worden om betrouwbaar te testen of een goede analyse te maken. Als mevrouw Jansen na het maskeren in een ERP-systeem bijvoorbeeld mevrouw Peters heet, dan moet dit ook doorgevoerd worden in bijvoorbeeld een WBS of andere gekoppelde systemen.”

“Met consistentie over tijd bedoelen wij dat wanneer mevrouw Jansen na het maskeren mevrouw Peters wordt, zij na de volgende keer maskeren weer diezelfde naam heeft. Hiermee voorkom je dat een tester al zijn testgevallen kwijt is na een verversing van de testomgeving. Met bruikbaarheid bedoelen wij dat gegevens onherleidbaar gemaakt moeten worden, maar wel bruikbaar blijven. Bijvoorbeeld door ervoor te zorgen dat het profiel van een huurder zo representatief mogelijk blijft.”

Datafactory
Om corporaties te ondersteunen bij het maskeren van data levert EntrD de Datafactory. Eric: “Hiermee worden de persoonsgegevens geanonimiseerd. Alle andere gegevens blijven ongewijzigd. Hiermee hebben we een belangrijke eerste stap gezet om de gegevens representatief te houden. De gegevens die de Datafactory wel maskeert, veranderen op zo’n manier dat het profiel van een huurder zoveel mogelijk intact blijft. Een gezin blijft bijvoorbeeld herkenbaar als gezin en woont ook na het maskeren in grofweg dezelfde regio. Ook zaken als geboortedata passen we slim aan, waardoor bijvoorbeeld de leeftijd in jaren gelijk blijft zodat je geen minderjarige huurders krijgt. Samen met de corporatie kijken we uiteraard naar het doel dat ze hebben met de gemaskeerde gegevens, zodat ze optimaal gebruik kunnen maken van onze tool.”

Synthetische data
Een van de mogelijkheden voor het maskeren van data is het gebruikmaken van synthetische testdata. “Dit is data, gemaakt zonder dat er een echt persoonsgegeven aan ten grondslag ligt,” legt Wilma uit. “Als corporatie definieer je zelf wat voor testgevallen je nodig hebt en EntrD levert die vervolgens aan. Een groot voordeel hiervan is dat er geen echte persoonsgegevens aan de basis van dergelijke data staan. Toch is synthetische data niet zaligmakend. Doordat je je eigen testgevallen definieert en daar data voor aanmaakt, test je alleen wat je verwacht tegen te komen. Stel dat je bijvoorbeeld verwacht dat alle telefoonnummers in het ERP-systeem uit tien karakters bestaan en alleen maar cijfers bevatten, dan zal je geen data laten aanmaken die negen karakters lang zijn en letters bevatten. De betrouwbaarheid van je testen, zeker van een acceptatietest, komt hiermee wel onder druk te staan. Daarom bieden wij corporaties ook de mogelijkheden om echte persoonsgegevens te pseudonimiseren of te anonimiseren.”

Andere processen
Afgelopen jaar sprak CorporatieGids.nl met Frank te Velde van Domijn, die de Datafactory gebruikt voor het maskeren van testdata. Op de vraag of er ook andere processen zijn waar de software uitkomst kan bieden, zegt Eric: “Zeker, de gemaskeerde data die de Datafactory oplevert is inzetbaar voor alles buiten je reguliere productie-omgeving. Denk hierbij aan een opleidingsomgeving, een datawarehouse of bij Business Intelligence.”

Samenwerking met Aareon
EntrD heeft intensief contact met verschillende softwareleveranciers, waaronder Aareon. “Op korte termijn gaan wij een samenwerkingsovereenkomst tekenen,” zegt Eric. “Wij werken graag samen met een ERP-leverancier. De samenwerking met Aareon is daar een mooi voorbeeld van, en stelt ons in staat om de Datafactory nu en in de toekomst naadloos aan te laten sluiten op hun software. Hiermee bieden we klanten van Aareon een ‘plug-and-play’-oplossing om over de keten te beschikken over betrouwbare en onherleidbare gegevens.”

“Binnenkort gaan wij samen met Arie van der Deijl – productmanager bij Aareon – en ondergetekende middels een webinar uit leggen wat deze samenwerking precies voor corporaties kan betekenen. Zodra de datum bekend is gaan we deze communiceren en kunnen relaties van Aareon en andere geïnteresseerden zich hiervoor inschrijven.”

Bron: Johan van den Beld | CorporatieMedia – 9 mei 2018