Elke reis begint met de eerste stap

09 mei

Elke reis begint met de eerste stap

Door Nieuws Geen reacties

De Algemene Verordening Gegevensbescherming (AVG) houdt de gemoederen bezig en er zijn al heel wat stappenplannen richting compliancy verschenen. Wat wij vaak missen zijn écht concrete acties. Wat kun je DOEN?

Een uitdaging is bijvoorbeeld het gebruik van persoonsgegevens buiten de productieomgeving.

Daar is grote behoefte aan, bijvoorbeeld bij het testen en demonstreren van IT-systemen en bij het maken van (medische) data-analyses. De wetgever, die het gebruik van persoonsgegevens natuurlijk stevig aan banden legt, kent die behoefte ook. Daarom stelt de wetgever drie methodes voor om hiermee om te gaan:

  • Gegevens anonimiseren
  • Gegevens pseudonimiseren
  • Data genereren

Drie smaken van hetzelfde? Nee, niet bepaald.

Ze kennen belangrijke verschillen en daarmee ook verschillende toepassingen.

Anonimiseren

Met anonimiseren zorg je dat de herleidbaarheid van persoonsgegevens wordt weggenomen. Je past de persoonsgegevens zo aan dat niet te achterhalen is bij wie ze horen. Kenmerkend is dat dit proces onomkeerbaar is: eenmaal anoniem, altijd anoniem. Cruciaal is wel dat ze hun voorspellende waarde behouden. Dat realiseer je door het profiel intact te laten. Denk aan familierelaties, leeftijden en geografische spreiding.

Geanonimiseerde gegevens zijn bij uitstek geschikt voor gebruik in testomgevingen. Daar moeten de gegevens immers representatief zijn, maar mogen ze niet herleidbaar zijn.

Pseudonimiseren

Wat nu als je wilt dat de gegevens wél weer herleidbaar gemaakt kunnen worden? Dan is pseudonimiseren de manier. Gepseudonimiseerde persoonsgegevens kun je met een sleutel altijd weer terughalen. Daarmee zijn ze per definitie minder veilig dan een geanonimiseerde set.

Toch kan die omkeerbaarheid nuttig zijn en dat heeft alles te maken met het gebruiksdoel.

Stel je een medisch onderzoek voor. Daarbij is het voor de analist niet relevant of hij naar het profiel van mevrouw Jansen of mevrouw De Vries kijkt, als het profiel maar klopt. Maar wat als de analist een afwijking ontdekt en de arts wil een patiënt vragen naar het ziekenhuis te komen? Dan moet de gepseudonimiseerde set kunnen worden ‘teruggedraaid’.

Werken met gepseudonimiseerde gegevens is dus vooral relevant in analyseomgevingen.

Je zou ze ook in een omgeving kunnen gebruiken waar je productie-incidenten analyseert.

Datageneratie

De derde optie, zelf data genereren, is in principe de veiligste. Zelf gegenereerde gegevens zijn per definitie anoniem. Voor testomgevingen is gegenereerde data uitstekend bruikbaar, ook omdat je gevallen kunt creëren die in productie nog niet voorkomen (omdat het product daar bijvoorbeeld nog niet bestaat). Daarnaast kun je de omvang eenvoudig aanpassen.

Gegenereerde data is daarom erg geschikt voor bijvoorbeeld een load test of een performance test.

Of… een slimme combinatie

Alleen gegenereerde data gebruiken is vaak niet verstandig, want ze kennen zo hun beperkingen. Het is erg lastig om historische gegevens aan te maken, je maakt alleen maar gevallen aan die je verwacht en oude producten zijn soms niet meer beschikbaar. Daarom is in een testomgeving een combinatie van gegenereerde en geanonimiseerde data vaak een uitstekende optie.

Maar hoe dan?

Data is vaak op afroep (dus snel) nodig. Daarom is een geautomatiseerd proces gewenst: data creëren (anonimiseren, pseudonimiseren of genereren) met bij wijze van spreken een druk op de knop. Dan heb je én veilige data (de kans op menselijke fouten is nul) én je kunt vlot verder met bijvoorbeeld je agile ontwikkelproces of je data-analyse.

Onze ervaring is dat het inrichten van testdatamanagement, want daar hebben we het eigenlijk over, prima getrapt kan worden aangepakt. Probeer het eerst eens met gegenereerde data. Voeg er een keer geanonimiseerde data aan toe. Elke reis, ook die naar compliancy, is een groeipad en begint met de eerste stap.

Wanneer zet jouw organisatie die eerste stap?

Als EntrD ondersteunen wij onze klanten bij het inrichten van dit proces. Wij bieden niet alleen tooling waarmee zij data kunnen anonimiseren, pseudonimiseren of genereren. Wij kijken ook met hen wat voor hen de meest passende manier is om die tools in te zetten. Wij zijn er namelijk van overtuigd dat een tool op zich nooit de oplossing is: het gaat erom dat je het proces inbedt in je organisatie.

Related Posts

retentietermijn
10 mei

Over de datum – retentietermijn

Eten dat ‘over datum’ is, gebruiken we niet meer en gooien we weg om weer ruimte in de koelkast... Lees meer

26 mrt

EntrD legt stevige basis voor een mooie toekomst

EntrD wil groeien en heeft daarvoor kapitaal gezocht. Dankzij een investering van de Noordelijke Ontwikkelings Maatschappij (NOM) en twee... Lees meer

25 mrt

De CorporatieGids LIVE Kennisdag

Natuurlijk is EntrD ook weer aanwezig bij de CorporatieGids LIVE kennisdag! Schrijf u in voor onze sessie ‘AVG PROOF... Lees meer

08 okt

Plug & play variant van de Datafactory voor woningcorporaties

(Bijna) alle woningcorporaties kunnen nu gebruik maken van een plug & play variant van de Datafactory! Voor woningcorporaties is een... Lees meer

18 aug

Compliancy, lees waarom het je juist geld óplevert

Nu de invoering van de nieuwe Europese privacywetgeving (GDPR) steeds dichterbij komt, zijn veel organisaties aan het kijken hoe... Lees meer

24 okt

Subsetoplossing voor HiX nu beschikbaar

Veel Nederlandse ziekenhuizen die gebruik maken van HiX hebben aangegeven dat er behoefte is aan een subsetoplossing. Een subsetoplossing... Lees meer

29 nov

Ronald Pronk en Sander Monté (Dunavie): Communicatie de sleutel om informatiebeveiliging en AVG continu onder de aandacht te houden

Geplaatst door CorporatieMedia op Tuesday 29 November 2022 Het goed beschermen van persoonsgegevens en borgen van privacy wordt voor corporaties steeds... Lees meer

24 sep

VIR en EntrD bieden een maskeeroplossing voor Ecaris

VIR is een gespecialiseerde leverancier van EPD-software (Ecaris) voor revalidatie instellingen. De bescherming van de privacy van patiënten is... Lees meer

23 mei

Weg met de Wbp, hallo GDPR

De Meldplicht Datalekken is nog nauwelijks van kracht en de volgende grote verandering staat alweer voor de deur. Uiterlijk... Lees meer

18 nov

Zó voorkom jij datalekken binnen jouw bedrijf

Er gaat geen dag voorbij of ergens op internet of in de krant wordt wel weer een melding gemaakt... Lees meer