Oelan en EntrD over software testen en privacy

05 feb

Oelan en EntrD over software testen en privacy

Door Blogs, Nieuws Geen reacties

‘Kopietje productiedata draaien kan echt niet meer’
De één is consultant en heeft verstand van ICT, testen en privacy. De ander is softwareontwikkelaar en heeft een mooie tool voor het anonimiseren van data. Oelan en EntrD bestormen sinds kort samen de wereld met Datafactory. Een gesprek met Johan Vork (Oelan) en Eric Hoefman (EntrD) over de AVG, software testen en privacy bij organisaties.

Ze kwamen elkaar ineens op het spoor en ze hadden direct in de gaten: wij kunnen samen iets betekenen. Ze raken elkaar op het vlak van software testen en privacy. De timing is perfect met de Algemene Verordening Gegevensbescherming (AVG) op komst. Op 25 mei 2018 moet elke organisatie compliant zijn. En daar past testen met een kopietje van de productiedata niet meer bij.

Johan, wat sprak jou aan in het verhaal van EntrD?
Johan: ‘Privacywetgeving is niet nieuw, maar met de AVG krijgt ze straks wel een andere insteek. We zien dat bedrijven daar onrustig door worden. Wij komen in het veld veel tegen dat een ‘kopietje productie’ wordt gemaakt om mee te testen. Terwijl privacyconsultants zeggen: dat is straks een van de eerste dingen waar de Autoriteit Persoonsgegevens op gaat letten. Het is makkelijk te controleren en ze gaan actief scannen en boetes uitdelen. Wij dachten al een tijdje: dat kan anders. En toen kwamen we in contact met EntrD en hun Datafactory.’

Eric, wat hebben jullie Oelan te bieden en andersom?
Eric: ‘Wij hebben een tool ontwikkeld waarmee je op een vrij simpele manier persoonsgegevens kunt anonimiseren, zodat je die kunt gebruiken buiten de productieomgeving. In eerste instantie deden wij alles zelf: analyse, implementatie, nazorg et cetera. Maar we willen geen consultants zijn, wij willen een softwareontwikkelaar zijn. Eentje die verrekte goeie software maakt op het gebied van privacy. Dus moet je goede partners zoeken die de rest doen. We kwamen Oelan tegen en we merken dat het werkt. Bij klanten kunnen we nu een compleet verhaal op tafel leggen. En voor Oelan is het gaaf omdat zij een kant en klare oplossing kunnen leveren. Zij kennen de problematiek van de klant, wij sluiten aan met ons product.’

Voor welke branches is Datafactory interessant?
Eric: ‘Datafactory is generiek, maar je moet het wel voor jouw applicatie inrichten. Dat hebben we nu gedaan voor Chipsoft HiX, waarmee het direct toepasbaar is in ziekenhuizen die ChipSoft HiX gebruiken. Maar we zouden het bij wijze van spreken ook voor AFAS kunnen doen. In feite kan elke organisatie die een grote berg persoonsgegevens heeft die zij wil gebruiken voor andere doeleinden dan waarvoor ze bedoeld zijn, Datafactory inzetten.’

Johan: ‘De wetgeving maakt uiteindelijk geen onderscheid. Een retailer moet net zo goed voldoen als een ziekenhuis. Maar mensen hebben andere emoties bij de zorg. De overheid is ook zo’n voorbeeld. Die ligt onder een vergrootglas als het om ICT gaat. Meer dan bijvoorbeeld een reisbureau.’

Eric: ‘Uiteindelijk zou het een intrinsieke motivatie moeten zijn dat je de privacy van je klanten bewaakt, los van boetes. Gelukkig vinden ook grote retailers dat ze het netjes moeten inregelen, dat is heel goed.’

Johan, als jullie met deze tool aan de slag gaan bij een klant, hoe gaat dat in zijn werk?
Johan: ‘Eerst bepalen we wat de privacygevoelige gegevens zijn en wat je wilt bereiken met je data. Dan bepalen we welke data in de tool moet worden opgenomen. Op basis daarvan maken we een plan zodat we weten wie wat moet uitvoeren en wanneer. De meeste taken liggen bij EntrD en Oelan maar ook de klant speelt een belangrijke rol, vooral als het gaat om het aanleveren en weer terugplaatsen van de data.’

Eric: ‘Wij kijken hoe je die data gaat gebruiken. Waar ga je een naam door vervangen? Door een x of door een echte naam uit een lijstje? Het hangt af van wat je ermee wilt. In die analysefase voeren we dat gesprek. De klant maakt de keuze. En die is niet in beton gegoten, want je kunt nog terug. Het is iteratief. Als je later vaststelt dat er nog een veldje bij moet, dan voegen we die toe, ook als de tool al is geïmplementeerd. Zo krijg je ook acceptatie in de organisatie.’

Wordt software testen heel anders met Datafactory?
Eric: ‘Als je als tester gewend bent om altijd testgeval 21 op te halen, dan ziet die er nog redelijk hetzelfde uit. Daarom is het zo belangrijk om van tevoren te bepalen waarom je een bepaalde testset maakt, hoe die is samengesteld, op basis van welke criteria. Als je dat goed hebt staan, vind je elk testgeval terug.’

Johan: ‘Je hoeft niet je hele organisatie aan te passen aan deze tool. Onze testers en privacy officers bereiden de implementatie helemaal voor, zodat het netjes landt in de organisatie.’

Worden jullie overspoeld met opdrachten nu de AVG eraan komt?
Johan: ‘Er is beweging in de markt, onze privacy officers worden veel gevraagd en we leiden ook nieuwe mensen op. Datafactory zit bij ons in de rugzak, en we zien dat bedrijven erdoor getriggerd worden. Het is een heel mooie oplossing voor een bescheiden prijs en het implementatietraject is redelijk kort, twee tot zes weken. Als je een proof of concept met een deel van de data doet kun je heel snel iets hebben staan.’

Eric: ‘Het past goed bij agile werken, wat veel organisaties doen. Deze tool kun je makkelijk zelf aanpassen als er iets verandert. Dus wij merken ook dat de vraag toeneemt. Gesprekken zijn nu vaak geïnitieerd door potentiële klanten zelf die gewoon een probleem willen oplossen.’

Zal iedereen op tijd compliant zijn op dit issue, denken jullie?
Johan: ‘Ik denk niet dat iedereen compliant is in mei volgend jaar. De komende drie, vier jaar zitten daar nog bergen werk aan vast.’

Eric: ‘Voor veel organisaties voelt het te groot en ingewikkeld. Maar technisch is het niet moeilijk en tijdrovend. De complexiteit zit hem erin dat je anders moet gaan werken, maar dat moet je sowieso. Persoonsgegevens gebruiken bij testen kan écht niet meer.’

Related Posts

verhuisbericht
03 jul

Verhuisbericht EntrD

Dat EntrD kan ‘toveren met data’ mag algemeen bekend zijn. Op 1 juli toverden we het hele bedrijf zelfs naar een... Lees meer

23 mei

Weg met de Wbp, hallo GDPR

De Meldplicht Datalekken is nog nauwelijks van kracht en de volgende grote verandering staat alweer voor de deur. Uiterlijk... Lees meer

23 feb

Cloud – ook voor informatiebeveiliging

Het wordt druk in de cloud. Naast productieomgevingen belanden test-en analyseomgevingen ook steeds vaker in de cloud. Daarmee... Lees meer

07 mei

Presentatie Zorg & ICT

Hoe kun je privacygevoelige data toch veilig gebruiken? Wat is anonimiseren, wat is pseudonimiseren en hoe werkt het in... Lees meer

06 jul

Computable ICT Awards – EntrD driemaal genomineerd

EntrD heeft de eer om driemaal genomineerd te zijn voor de Computable ICT Awards 2019. Computable is een onafhankelijke... Lees meer

13 jul

Voordeur en achterdeur op slot?

De vakantie staat voor de deur. Half Nederland verlaat straks zijn huis voor langere tijd. En wat is het... Lees meer

26 apr

Fraudeonderzoek met echte patiëntgegevens?

Door de nieuwe Europese privacywetgeving GDPR (AVG in Nederland) zoeken veel organisaties naar alternatieven voor het gebruik van persoonsgegevens.... Lees meer

15 dec

Testdatamanagement in de praktijk, meer dan een ‘tooltje’ kiezen…

Privacy was in 2018 al een hot topic en ook in 2019 is dit top of mind. Door de... Lees meer

29 nov

Ronald Pronk en Sander Monté (Dunavie): Communicatie de sleutel om informatiebeveiliging en AVG continu onder de aandacht te houden

Geplaatst door CorporatieMedia op Tuesday 29 November 2022 Het goed beschermen van persoonsgegevens en borgen van privacy wordt voor corporaties steeds... Lees meer

GDPR, persoonsgegevens
16 jun

Risico’s van testen met echte persoonsgegevens

Bij het ontwikkelen en testen van software of applicaties kan het verleidelijk zijn om echte persoonsgegevens te gebruiken. Hoewel... Lees meer