Testdatamanagement in de praktijk, meer dan een ‘tooltje’ kiezen…

Testdatamanagement in de praktijk, meer dan een ‘tooltje’ kiezen…

Privacy was in 2018 al een hot topic en ook in 2019 is dit top of mind. Door de aandacht rondom de AVG, realiseren steeds meer organisaties zich dat ze persoonsgegevens niet mogen gebruiken buiten de live omgeving. Op de site van de Autoriteit Persoonsgegevens staat bijvoorbeeld de vraag “mag ik persoonsgegevens gebruiken om een informatiesysteem te testen”, waarbij het antwoord letterlijk is “Nee, dat mag niet. Als organisatie mag u de persoonsgegevens die u heeft verworden, niet gebruiken voor een ander doel.”

Toch zien wij dat veel organisaties persoonsgegevens nog steeds gebruiken om mee testen of om opleidingen mee te verzorgen. Vaak komt dit doordat ze niet het gevoel hebben dat er een alternatief is voor het gebruik van echte persoonsgegevens. Die alternatieven zijn er wel degelijk, maar het vraagt wel van je als organisatie dat je nadenkt over wat je nu eigenlijk nodig hebt. Met andere woorden, voldoen aan de AVG betekent dat je je datamanagement op een volwassen manier moet inrichten.

Vragen die dan al snel de kop op steken zijn bijvoorbeeld “hoe pak je dit aan?”, “waar begin je?” en “welke alternatieven zijn er. Dit geldt voornamelijk voor organisaties die (nog) niet op zoek zijn naar een technische oplossing, maar veel meer naar een manier om een datamanagementstrategie te formuleren. Wat ons opvalt is dat de stappen die zij in dit proces doorlopen, elke keer grotendeels vergelijkbaar zijn.

Stap 1: “Bewustwording”
De 1e stap is het ontstaan van ‘bewustwording’. Er moet iemand zijn die zich realiseert dat de huidige manier van werken niet meer houdbaar is. Bewustwording ontstaat vaak als een organisatie het gevoel krijgt dat het risico op een datalek of reputatieschade te groot wordt.

Stap 2: “Draagvlak”
De 2e stap is dat er ook binnen het management bewustwording ontstaat zodat er draagvlak is voor verandering. Dit betekent vaak dat aan het management uitgelegd moet worden wat de impact gaat zijn van niks doen. De laatste tijd zijn er steeds vaker voorbeelden van situaties waarbij niks doen forse impact blijkt te hebben. Zodra er ook binnen het management draagvlak ontstaat, komt er ruimte om na te denken over wat de organisatie eigenlijk wil: welke eisen worden er gesteld aan de data die gebruikt wordt?

Stap 3: “Analyse”
Dit leidt dan tot de 3e stap, waarin een analyse uitgevoerd wordt van de aanwezige persoonsgegevens. In deze fase wordt binnen de organisatie gekeken welke gevoelige gegevens er vastgelegd worden. Dit kan erg lastig en tijdrovend zijn omdat er geen limitatief overzicht beschikbaar is van persoonsgegevens. Elk gegeven dat direct of indirect herleidbaar is naar een natuurlijk persoon, dient volgens de AVG namelijk gezien te worden als persoonsgegeven. De vertaling van deze definitie naar de praktijk binnen een organisatie, leidt vaak tot discussie. Nadat de organisatie bepaald heeft welke gegevens betiteld worden als persoonsgegeven, volgt de minstens zo lastige vervolgactie: wat willen we met deze gegevens in de niet-productie omgevingen.

Stap 4: “Requirements per omgeving”
Dit is de 4e stap in het proces: welke gegevens heb je buiten Productie nodig en wat ga je er mee doen? In deze stap bepaal je per omgeving 3 dingen:
– wat is het doel van die omgeving,
– welke gegevens heb je nodig,
– in welk volume heb je die gegevens nodig.

De crux zit hem er in dat je dit per omgeving moet doen omdat elke omgeving andere eisen stelt aan het soort gegevens en het volume. Het eindresultaat van deze stap is dat je per omgeving een beeld hebt van het doel, het soort gegevens dat je daar nodig hebt en het aantal gegevens. Je kunt dit in 1x doen voor alle omgevingen, maar je kunt dit ook in meerdere iteraties doen.

Stap 5: “Functionele eisen & subsetten”
In deze 5e stap start je met het overzicht dat je net gemaakt hebt. Dit overzicht bevat de functionele eisen die je aan de gegevens stelt (welke gegevens, welke eisen en in welke hoeveelheid). Samen met de privacy officer bepaal je hoe je deze eisen op een compliant manier invult. Je moet nu dus keuzes maken qua maskeren: hoe zorg je dat de gegevens onherleidbaar worden. Je kunt dit doen door te anonimiseren, te pseudonimiseren of door synthetische data te gaan maken.Elk van deze oplossingen kent zijn eigen voors- en tegens. Per situatie moet je hier een voor jou passende keuze in maken.

Nadat je gekozen hebt hoe je gaat maskeren, moet je nog bepalen hoe je zorgt voor het juiste volume. Subsetten is een goede oplossing. Een subset is een representatieve set van gegevens die precies aansluit bij het doel dat je hebt.

Stap 6: “Toolselectie”
De 6e stap is dat je een keuze maakt voor de tool waarmee je de gegevens gaat maskeren en eventueel subsetten. Op basis van de vorige stappen, weet je wat de requirements zijn en dit stelt je in staat een passende tool te selecteren. Naast de functionele randvoorwaarden is het belangrijk om bij toolselectie te kiezen voor een tool die database onafhankelijk is zodat je een toekomst vaste keuze maakt.

Een ander requirement om rekening mee te houden is de mogelijkheid om te zorgen voor consistentie over tijd en over omgevingen. Niks is vervelender dan de situatie waarbij Jan vandaag in systeem A in Piet veranderd is maar in systeem B in Klaas. Een laatste technisch requirement dat wij vaak tegenkomen is de eis dat een maskeeroplossing geautomatiseerd moet kunnen werken. Dit vermindert de beheerskosten en maakt het mogelijk om de oplossing te integreren in het verversingsproces.

Stap 7: “Implementatie”
De laatste en 7e stap is de feitelijke implementatie. Hierbij gaat het zowel om de technische als de organisatorische implementatie. De gekozen oplossing technisch implementeren, kan vaak relatief snel. Maar de oplossing ook organisatorisch implementeren heeft meer voeten in aarde. Dit betekent namelijk dat je ook qua werkprocessen zaken moet inrichten. Dergelijke werkafspraken zijn cruciaal. Als je die niet goed maakt en verankert, dan ben je als organisatie na verloop van tijd (weer) niet compliant.

Samenvattend, dit zijn de 7 stappen die je moet zetten om te komen tot een volwassen en compliant manier van datamanagement:

1. Ontstaan van bewustwording.
2. Draagvlak creëren op managementniveau.
3. Analyse van aanwezige persoonsgegevens.
4. Requirements opstellen per omgeving.
5. Functionele eisen & subsetten.
6. Toolselectie.
7. implementatie.

Wat bij u past, hangt sterk af van de vraag en de al aanwezige kennis en expertise. Belangrijk is dat je een keuze maakt die past bij jouw organisatie, maar het allerbelangrijkste is dat je als organisatie in beweging komt. Niets doen en persoonsgegevens ook buiten Productie blijven gebruiken, is in ieder geval geen optie meer.