Oelan en EntrD over software testen en privacy

Oelan en EntrD over software testen en privacy

‘Kopietje productiedata draaien kan echt niet meer’
De één is consultant en heeft verstand van ICT, testen en privacy. De ander is softwareontwikkelaar en heeft een mooie tool voor het anonimiseren van data. Oelan en EntrD bestormen sinds kort samen de wereld met Datafactory. Een gesprek met Johan Vork (Oelan) en Eric Hoefman (EntrD) over de AVG, software testen en privacy bij organisaties.

Ze kwamen elkaar ineens op het spoor en ze hadden direct in de gaten: wij kunnen samen iets betekenen. Ze raken elkaar op het vlak van software testen en privacy. De timing is perfect met de Algemene Verordening Gegevensbescherming (AVG) op komst. Op 25 mei 2018 moet elke organisatie compliant zijn. En daar past testen met een kopietje van de productiedata niet meer bij.

Johan, wat sprak jou aan in het verhaal van EntrD?
Johan: ‘Privacywetgeving is niet nieuw, maar met de AVG krijgt ze straks wel een andere insteek. We zien dat bedrijven daar onrustig door worden. Wij komen in het veld veel tegen dat een ‘kopietje productie’ wordt gemaakt om mee te testen. Terwijl privacyconsultants zeggen: dat is straks een van de eerste dingen waar de Autoriteit Persoonsgegevens op gaat letten. Het is makkelijk te controleren en ze gaan actief scannen en boetes uitdelen. Wij dachten al een tijdje: dat kan anders. En toen kwamen we in contact met EntrD en hun Datafactory.’

Eric, wat hebben jullie Oelan te bieden en andersom?
Eric: ‘Wij hebben een tool ontwikkeld waarmee je op een vrij simpele manier persoonsgegevens kunt anonimiseren, zodat je die kunt gebruiken buiten de productieomgeving. In eerste instantie deden wij alles zelf: analyse, implementatie, nazorg et cetera. Maar we willen geen consultants zijn, wij willen een softwareontwikkelaar zijn. Eentje die verrekte goeie software maakt op het gebied van privacy. Dus moet je goede partners zoeken die de rest doen. We kwamen Oelan tegen en we merken dat het werkt. Bij klanten kunnen we nu een compleet verhaal op tafel leggen. En voor Oelan is het gaaf omdat zij een kant en klare oplossing kunnen leveren. Zij kennen de problematiek van de klant, wij sluiten aan met ons product.’

Voor welke branches is Datafactory interessant?
Eric: ‘Datafactory is generiek, maar je moet het wel voor jouw applicatie inrichten. Dat hebben we nu gedaan voor Chipsoft HiX, waarmee het direct toepasbaar is in ziekenhuizen die ChipSoft HiX gebruiken. Maar we zouden het bij wijze van spreken ook voor AFAS kunnen doen. In feite kan elke organisatie die een grote berg persoonsgegevens heeft die zij wil gebruiken voor andere doeleinden dan waarvoor ze bedoeld zijn, Datafactory inzetten.’

Johan: ‘De wetgeving maakt uiteindelijk geen onderscheid. Een retailer moet net zo goed voldoen als een ziekenhuis. Maar mensen hebben andere emoties bij de zorg. De overheid is ook zo’n voorbeeld. Die ligt onder een vergrootglas als het om ICT gaat. Meer dan bijvoorbeeld een reisbureau.’

Eric: ‘Uiteindelijk zou het een intrinsieke motivatie moeten zijn dat je de privacy van je klanten bewaakt, los van boetes. Gelukkig vinden ook grote retailers dat ze het netjes moeten inregelen, dat is heel goed.’

Johan, als jullie met deze tool aan de slag gaan bij een klant, hoe gaat dat in zijn werk?
Johan: ‘Eerst bepalen we wat de privacygevoelige gegevens zijn en wat je wilt bereiken met je data. Dan bepalen we welke data in de tool moet worden opgenomen. Op basis daarvan maken we een plan zodat we weten wie wat moet uitvoeren en wanneer. De meeste taken liggen bij EntrD en Oelan maar ook de klant speelt een belangrijke rol, vooral als het gaat om het aanleveren en weer terugplaatsen van de data.’

Eric: ‘Wij kijken hoe je die data gaat gebruiken. Waar ga je een naam door vervangen? Door een x of door een echte naam uit een lijstje? Het hangt af van wat je ermee wilt. In die analysefase voeren we dat gesprek. De klant maakt de keuze. En die is niet in beton gegoten, want je kunt nog terug. Het is iteratief. Als je later vaststelt dat er nog een veldje bij moet, dan voegen we die toe, ook als de tool al is geïmplementeerd. Zo krijg je ook acceptatie in de organisatie.’

Wordt software testen heel anders met Datafactory?
Eric: ‘Als je als tester gewend bent om altijd testgeval 21 op te halen, dan ziet die er nog redelijk hetzelfde uit. Daarom is het zo belangrijk om van tevoren te bepalen waarom je een bepaalde testset maakt, hoe die is samengesteld, op basis van welke criteria. Als je dat goed hebt staan, vind je elk testgeval terug.’

Johan: ‘Je hoeft niet je hele organisatie aan te passen aan deze tool. Onze testers en privacy officers bereiden de implementatie helemaal voor, zodat het netjes landt in de organisatie.’

Worden jullie overspoeld met opdrachten nu de AVG eraan komt?
Johan: ‘Er is beweging in de markt, onze privacy officers worden veel gevraagd en we leiden ook nieuwe mensen op. Datafactory zit bij ons in de rugzak, en we zien dat bedrijven erdoor getriggerd worden. Het is een heel mooie oplossing voor een bescheiden prijs en het implementatietraject is redelijk kort, twee tot zes weken. Als je een proof of concept met een deel van de data doet kun je heel snel iets hebben staan.’

Eric: ‘Het past goed bij agile werken, wat veel organisaties doen. Deze tool kun je makkelijk zelf aanpassen als er iets verandert. Dus wij merken ook dat de vraag toeneemt. Gesprekken zijn nu vaak geïnitieerd door potentiële klanten zelf die gewoon een probleem willen oplossen.’

Zal iedereen op tijd compliant zijn op dit issue, denken jullie?
Johan: ‘Ik denk niet dat iedereen compliant is in mei volgend jaar. De komende drie, vier jaar zitten daar nog bergen werk aan vast.’

Eric: ‘Voor veel organisaties voelt het te groot en ingewikkeld. Maar technisch is het niet moeilijk en tijdrovend. De complexiteit zit hem erin dat je anders moet gaan werken, maar dat moet je sowieso. Persoonsgegevens gebruiken bij testen kan écht niet meer.’