Voordeur en achterdeur op slot?

13 jul

Voordeur en achterdeur op slot?

Door Nieuws Geen reacties

De vakantie staat voor de deur. Half Nederland verlaat straks zijn huis voor langere tijd. En wat is het laatste dat je doet voor je weggaat? De deuren en ramen checken. Voordeur, achterdeur, alles op het dubbele slot en gaan. Logisch, iedereen doet dat.

In IT-land is dat vaak anders. Ja, door de toegenomen aandacht voor het voorkomen van datalekken, zijn veel organisaties (nog meer) gaan nadenken over het beveiligen van hun (klant)gegevens. Dat heeft ertoe geleid dat productieomgevingen steeds moeilijker toegankelijk zijn voor hackers. Een positieve ontwikkeling.

 

Logging en firewalls 

Zo wordt bijvoorbeeld met behulp van autorisatiemanagement de toegang geregeld op gebruikersniveau. Er vindt logging en monitoring plaats zodat afwijkend gedrag wordt opgemerkt. Firewalls zijn ingericht om de omgeving nog verder te beschermen en er vindt regelmatig een Pen-test plaats door een white hacker. Gegevensverkeer is versleuteld en in sommige organisaties wordt de data zelfs encrypted opgeslagen.

Het resultaat van al deze maatregelen? De beveiliging van productieomgevingen is steeds beter op orde. Een dDos aanval is op deze manier niet te voorkomen, maar echt toegang krijgen tot een productieomgeving is de afgelopen jaren steeds moeilijker geworden.

 

Klaar?

Betekent dit dan dat je als organisatie klaar bent? Voorkom je datalekken door alleen te focussen op de productieomgeving?

Helaas is het antwoord daarop negatief. In veel organisaties wordt de data uit een productieomgeving ook in niet productieomgevingen gebruikt. Zo wordt er bijvoorbeeld vaak getest met echte klantgegevens, maar ook voor demo’s, trainingen of analyses blijkt productiedata erg handig…

 

De voordeur en de achterdeur

De consequentie hiervan is dat de data die zo zorgvuldig wordt beschermd in de productieomgeving, in veel gevallen veel makkelijker toegankelijk is via bijvoorbeeld een testomgeving. Met andere woorden: de voordeur zit op slot maar de achterdeur staat wagenwijd open. Dat is vragen om moeilijkheden!

Die achterdeur moet dus ook op slot. Belangrijk daarbij: het is volgens de privacywet niet toegestaan om persoonsgegevens buiten de productieomgeving te gebruiken. Dat betekent dat je de niet-productieomgeving kunt beveiligen wat je wilt – en dat moet je ook zeker doen – maar dat je in overtreding bent zolang er persoonsgegevens in staan. Naast de gebruikelijke maatregelen als autorisatiemanagement en logging, zal je dus moeten zorgen dat de niet-productieomgeving vrij is van persoonsgegevens.

 

Anonimiseren

Hiervoor heb je twee mogelijkheden: je kunt een niet productieomgeving vullen met zelf gecreëerde data (synthetische data) of je vult de omgeving met geanonimiseerde productiegegevens. Het voordeel van het anonimiseren van productiegegevens is dat het sneller gaat en (vaak) goedkoper is dan het creëren van synthetische data. Bovendien is een geanonimiseerde set representatief voor de productieomgeving.

 

Synthetische data

Bij een synthetische set is dit sterk afhankelijk van de gevallen die opgevoerd zijn. Het gebeurt bijvoorbeeld nog steeds regelmatig dat in een productieomgeving situaties voorkomen die eigenlijk niet zouden moeten voorkomen. Denk bijvoorbeeld aan onjuiste postcode/huisnummer combinaties, 9-cijferige telefoonnummers etc. Als je ervan uitgaat dat dergelijke situaties niet voorkomen in productie omdat ze niet mógen voorkomen, dan zullen ze ook niet teruggekomen in de synthetische set. In een geanonimiseerde set komen dit soort gevallen wel terug. De representativiteit van de geanonimiseerde data is daardoor groter.

 

Betekent dit dan dat synthetische data geen waarde heeft? Nee, zeker niet. Geanonimiseerde data is erg waardevol om situaties die al in productie voorkomen te testen. Maar om bijvoorbeeld een nieuw product te testen, heb je hier niet genoeg aan. Dan zul je zelf data moeten creëren. Dat kan data zijn die je van de grond af aan opbouwt, maar uiteraard kan dit ook data zijn, die gebaseerd is op al bestaande data. In veel gevallen blijkt een combinatie van synthetische en geanonimiseerde data dan ook erg goed te werken.

 

Samenvattend…

De toegenomen aandacht voor de beveiliging van (klant)gegevens is een groot goed. Maar als organisatie ben je er dan nog niet. Je zult ook goed moeten nadenken over de beveiliging van de niet-productieomgevingen. Voor dergelijke omgevingen geldt daarnaast dat ze geen (klant)gegevens mogen bevatten die herleidbaar zijn. Ons advies: anonimiseer de herleidbare persoonsgegevens en vul deze geanonimiseerde data waar nodig aan met synthetische data. Dus zet zowel de voordeur als de achterdeur op slot.

Related Posts

26 mrt

EntrD in Corporatiegids 2018

EntrD in Corporatiegids 2018 Met de Datafactory anonimiseert u de persoonsgegevens van uw huurders op een slimme manier. Door de... Lees meer

23 mei

Weg met de Wbp, hallo GDPR

De Meldplicht Datalekken is nog nauwelijks van kracht en de volgende grote verandering staat alweer voor de deur. Uiterlijk... Lees meer

22 feb

29 procent meer datalek meldingen in 2019

De Autoriteit Persoonsgegevens (AP) kreeg in 2019 bijna een derde meer meldingen binnen van datalekken dan in 2018, schrijft... Lees meer

18 aug

Compliancy, lees waarom het je juist geld óplevert

Nu de invoering van de nieuwe Europese privacywetgeving (GDPR) steeds dichterbij komt, zijn veel organisaties aan het kijken hoe... Lees meer

15 feb

Data anonimiseren: wel of niet zelf doen?

Data anonimiseren: wel of niet zelf doen? Steeds meer organisaties willen stoppen met het gebruik van ‘echte’ persoonsgegevens in... Lees meer

Jonas at See sponsored by EntrD
04 apr

Jonas at Sea

Een half jaar geleden schreven wij dat EntrD sponsor is van Jonas at Sea. Wij leerden Jonas van Polen... Lees meer

08 nov

Pinkroccade Healthcare en EntrD: oplossing MijnQuarant

Na een gedegen testtraject, gaan Pinkroccade Healthcare en EntrD gebruikers van MijnQuarant binnenkort een plug & play oplossing van... Lees meer

26 mrt

EntrD in Computable

EntrD in Computable, uitgave 6 april Zorg & ICT Wilt u betrouwbaar uw systemen testen én de privacy van uw... Lees meer

15 jun

Datamasking op bestands- of op databaseniveau?

We hebben al veel geschreven over de privacywetgeving en wat die betekent voor bijvoorbeeld testen. Datamasking is een oplossing... Lees meer

08 mrt

Anonimiseertool voor ChipSoft HiX in de maak

EntrD heeft samen met Zapphire een oplossing ontwikkeld die patiëntgegevens in ChipSoft HiX anonimiseert: Datafactory HiXPort. De anonimiseertool wordt... Lees meer