GDPR een jaar later

Algemene Verordening Gegevensbescherming (AVG)

Ons recht op privacy maakt deel uit van het Europees Verdrag voor de rechten van de mens (European Convention on Human Rights). Deze conventie stelt dat iedereen “het recht heeft op respect voor zijn privé- en gezinsleven, zijn huis en zijn correspondentie”. Op basis hiervan zijn verschillende privacywetten aangenomen. Met de huidige IT-systemen en de opkomst van sociale media was de oude wetgeving niet langer voldoende. Daarom werd de AVG geïntroduceerd: de nieuwste wet inzake gegevensbescherming en privacy voor alle individuele burgers in de Europese Unie (EU) en de Europese Economische Ruimte (EER). Als je geïnteresseerd bent in de volledige GDPR-verordening, kun je deze hier raadplegen, maar we hebben het een beetje eenvoudiger gemaakt met een samenvatting van de basisregels:

1. Verkrijgen van toestemming
Je instemmingsvoorwaarden moeten duidelijk zijn. Dit betekent dat je je algemene voorwaarden niet kunt vullen met een complexe taal die is ontworpen om je gebruikers te verwarren. Toestemming moet op elk moment eenvoudig worden gegeven en vrij worden ingetrokken.

2. Tijdige ‘breach’ notificatie
Als er zich een beveiligingsinbreuk voordoet, heb je 72 uur om de gegevensbreuk te melden aan zowel je klanten als eventuele datacontrollers, als je bedrijf groot genoeg is om een AVG-datacontroller te vereisen. Het niet melden van schendingen binnen dit tijdsbestek leidt tot boetes.

3. Recht op gegevenstoegang
Als je gebruikers hun bestaande gegevensprofiel aanvragen, moet je ze kunnen voorzien van een volledig gedetailleerde en gratis elektronische kopie van de gegevens die je over hen hebt verzameld. Dit rapport moet ook de verschillende manieren bevatten waarop je hun informatie gebruikt.

4. Het recht om te worden vergeten
Ook bekend als het recht op het verwijderen van gegevens, zodra het oorspronkelijke doel of gebruik van de klantgegevens is gerealiseerd, hebben je klanten het recht om te vragen of je hun persoonlijke gegevens volledig wilt wissen.

5. Dataportabiliteit
Dit geeft gebruikers rechten op hun eigen gegevens. Zij moeten in staat zijn om hun gegevens van je te verkrijgen en diezelfde gegevens opnieuw te gebruiken in verschillende omgevingen buiten je bedrijf.

6. Privacy by design
Deze sectie van GDPR vereist dat bedrijven vanaf het begin hun systemen ontwerpen met de juiste beveiligingsprotocollen. Als je je systemen voor dataverzameling niet op de juiste manier ontwerpt, krijg je een boete.

7. Potentiële gegevensbeschermingsfunctionarissen
In sommige gevallen moet je bedrijf mogelijk een data protection officer (DPO) benoemen. Of je een functionaris nodig hebt, hangt af van de grootte van je bedrijf en op welk niveau je momenteel data verwerkt en verzamelt.

Zelfs nu de AVG overal in Europa geldt, zijn er nogal wat verschillen met betrekking tot de aanpak van autoriteiten. Sommige van hen bevinden zich nog in de informerende fase, sommige beboeten bedrijven al. In Nederland is het aantal inbreukmeldingen vrij hoog in vergelijking met de andere landen. De reden hiervoor kan zijn dat Nederland een jaar voordat de AVG van kracht was al een nieuwe wetgeving had die ook inbreukmeldingen betreft.

AVG en test data trends

We zien enkele nieuwe ontwikkelingen in testdata nu de AVG volledig is geïmplementeerd:

1. Het belang van informatiebeveiliging wordt opgemerkt
2. Synthetische test data versus gemaskeerde test data
3. Volwassenheidsmodel van test data
4. Subsetting om risico’s te beperken
5. Nieuwe partijen

1. Het belang van informatiebeveiliging wordt opgemerkt

Er was nooit echt voldoende budget beschikbaar om informatiebeveiliging echt belangrijk te maken. Met de hulp van de AVG zien we echt dat informatiebeveiliging steeds belangrijker wordt. Er is veel aandacht voor het beveiligen van informatiesystemen. Van privacy by design tot “two-way authentication”. Je ziet ook een belangrijk thema in rolscheiding en wie welke informatie kan zien. Opvallend is dat veel DPO’s (gegevensbeschermingsfunctionarissen) zich voornamelijk richten op productieomgevingen en deze zo veilig mogelijk proberen te houden. In de afgelopen jaren hebben we gezien dat er voor elk productiesysteem meerdere kopieën van de productie zijn in niet-productieomgevingen. En vaak zijn deze omgevingen minder veilig vanwege hun doel, anders zijn ze moeilijk en traag om mee te werken.

In veel gevallen zien we dat er voor elk productiesysteem ten minste drie andere omgevingen zijn: acceptatie, QA en Dev. Deze omgevingen hebben vaak een veel lager beveiligingsniveau. Dit is iets moet veranderen!

2. Synthetische testdata versus gemaskeerde testdata

We willen ervoor zorgen dat, wanneer we software in productie nemen, deze software echt doet wat we verwachtten. Dit is de reden dat we de softwarekwaliteit meten. In een DevOps wereld wordt het nog belangrijker. De vraag is: gebruiken we synthetische testgegevens of gemaskeerde testgegevens om de software te testen?

In het afgelopen jaar zagen we een toenemende vraag naar synthetische testdata. Synthetische testgegevens zijn natuurlijk een mooie oplossing in relatie tot AVG. Met synthetische testgegevens weet je zeker dat de testdata fictief is en dat je daarbij 100% voldoet aan AVG. Het nadeel van het anoniem maken of maskeren van testgegevens is dat er nog steeds een mogelijkheid bestaat dat een combinatie van factoren kan worden herleid tot een natuurlijke persoon.

Het grote nadeel van synthetische testdata is het gebrek aan representativiteit. Vaak wordt van testgegevens een test case verwacht en deze wil je coveren. Zeker in bedrijfsomgevingen waar je vaak ziet dat de database:

• Gevuld met historische testgegevens;
• Gevuld met gemigreerde testgegevens;
• Vaak met systemen met veel (meer dan 500) tabellen bevat.

Het synthetisch invullen van deze databases is een enorme klus. Je hebt niet alleen veel technische kennis nodig, maar ook veel tijd. We zien dat er veel partijen zijn die zeggen dat ze dit kunnen doen. Maar in werkelijkheid zien we slechts een paar partijen die daadwerkelijk invulling (kunnen) geven aan de realisatie van het genereren van synthetische testgegevens.

3. Volwassenheidsniveau van testdata

De technieken voor het maskeren of anonimiseren van gegevens worden steeds volwassener. Nog niet zo lang geleden werden gegevens anoniem gemaakt met relatief weinig maskeerfuncties. Maar met de druk van de AVG kun je zien dat de functies steeds uitgebreider worden. En dat de sjablonen ook steeds complexer worden. Om het specifieker te maken, wordt het maskeren van gegevens volwassener omdat individuele gevallen gemakkelijker te anonimiseren worden.

Over het algemeen zien we dat professionele oplossingen in toenemende mate gemaskeerde en synthetisch gegenereerde testgegevens combineren. Enerzijds om te voldoen aan de AVG (om meer traceerbaarheid uit een dataset te verwijderen) en aan de andere kant om ervoor te zorgen dat testgegevens beter aansluiten bij testcases. Door slim testgevallen te manipuleren, kun je bijvoorbeeld ook gegevens manipuleren zodat deze perfect aansluiten bij testcases.

4. Subsetting om risico’s te beperken

Hoewel het nog steeds minimaal is, zien we dat subsets onderdeel worden van de AVG-oplossing van organisaties. Dit lijkt misschien een beetje vreemd, maar het is een slimme manier om data onbeschikbaar te maken. Gegevens die niet beschikbaar zijn, kunnen immers niet worden gelekt. Het helpt bij de rapportageverplichting, want als je gegevens lekt, moet je dit mogelijk melden aan de betreffende persoon. Als er minder gegevens zijn, dus geen volledige kopiën van productie, dan heb je veel minder werk. Dit is een van de redenen waarom organisaties ervoor kiezen om testdata te subsetten als onderdeel van hun AVG-programma voor testdata.

5. Nieuwe partijen

Er komen steeds meer kleine spelers op de markt die bezig zijn met testdata. Dat is een goede ontwikkeling. Dit zorgt voor de nodige intensiteit op de markt en geeft klanten meer keuzemogelijkheden. De druk op de prijzen is daarom ook beter. Maar het is belangrijk dat de prijs niet doorslaggevend is.

Conclusie

De afgelopen jaren zagen we bij DATPROF steeds meer focus ontstaan op het onderwerp test data management. Daarnaast was er veel aandacht voor het maskeren en anonimiseren van testdata met betrekking tot de AVG. Deze focus zal de komende tijd waarschijnlijk niet veranderen, klanten zullen op dit gebied naar meer oplossingen zoeken. De AVG blijft druk uitoefenen. Het belang van het maskeren van testdata is dus zeker niet overschat! Onze algemene tip voor iedereen die op zoek is naar een oplossing voor het maskeren van data: kies een partij die de ontwikkelingen volgt. Het is belangrijk dat er aanpassingen kunnen worden gemaakt. Je wilt je huidige toolset niet moeten vervangen door een nieuwe, met alle implementatie werk.

Stel je voor dat we over een paar jaar een fantastische synthetische testdatagenerator hebben, dan wil je niet dat al het huidige werk voor niets is geweest. Als de partij die je als eerste hebt gekozen dan niet meer bestaat of open source is en er geen community omheen is, kun je helemaal opnieuw beginnen. En dat is wel het laatste wat je nodig hebt.