Voldoe aan AVG, PCI en HIPAA

Hoe DATPROF Privacy helpt om te voldoen aan privacywetten en -regels

We krijgen regelmatig de vraag of onze software voldoet aan de AVG (GDPR), PCI en/of HIPAA.  Deze vraag kun je op twee manieren interpreteren. De eerste is: is het veilig om onze software te gebruiken? De tweede is: helpt de software om te voldoen aan (om compliant te zijn met) privacywetten en -regels? Op beide vragen is het antwoord: ja! We leggen het uit.

Wanneer je software gebruikt in een opgeving die moet voldoen aan privacywetten en -regels is de belangrijkste overweging hoe de architectuur van de software implementatie eruit ziet. DATPROF software kan worden gebruikt in het beveiligde domein van de klant, waardoor het net zo veilig is als de omgeving waarin het wordt gebruikt.

DATPROF’s data anonimiseer software, DATPROF Privacy, kan worden gebruikt als compliance tool om te voldoen aan wet- en regelgeving. DATPROF Privacy helpt je te voldoen aan de AVG (GDPR), PCI en/of HIPAA. Voordat we ingaan op hoe je de tool hiervoor kunt inzetten, moeten we eerst begrijpen wat deze wetten en regels inhouden en wat de verschillen en overeenkomsten zijn.

Wat is AVG/GDPR, PCI en HIPAA


Algemene verordening gegevensbescherming (AVG) / General Data Protection Regulation (GDPR)

De AVG is een wet binnen de Europese Unie die de rechten van Europese inwoners beschermt. In het buitenland wordt deze wet de GDPR genoemd. Volgens de GDPR, persoonlijke data is alle informatie gerelateerd aan een identificeerbaar natuurlijke persoon. Deze persoonlijke data moet worden beschermd en daarom zijn er wetten (AVG/GDPR) en standaarden (PCI DSS and HIPAA) voor bedrijven om zich aan te houden.

Payment Card Industry Data Security Standard (PCI DSS)

De PCI DSS (in het kort PCI) is niet een wet – het is een standaard die verplicht is bij credit card bedrijven. De PCI richt zich erop bedrijven te helpen bij het verwerken van card payments op een veilige manier en om kaartfraude te verminderen. Om dit te bereiken impliceert het strikte veiligheidscontroles voor het opslaan, verzenden en verwerken van de gegevens van kaarthouders. Het belangrijkste doel van de PCI is het beschermen van kaarthouder informatie. Dat omvat ook de persoonlijke informatie zoals gedefinieerd door de AVG (bron: logsentinel.com).

Health Insurance Portability and Accountability Act (HIPAA)

De HIPAA-privacyregel regelt het gebruik en de openbaarmaking van beschermde gezondheidsinformatie, protected health information (PHI) bij behandelingen, betalingen en operaties in de gezondheidszorg die worden gehouden door zogenaamde gedekte entiteiten (gezondheidsplannen, uitwisselingscentra voor gezondheidszorg en zorgaanbieders) (bron: tier3md.com). PHI is alle demografische informatie die kan worden gebruikt om een patiënt te identificeren. Dit omvat naam, geboortedatum, adres, financiële informatie, burgerservicenummer, volledige gezichtsfoto of verzekeringsinformatie. PHI bevat alleen informatie die is verzameld door een HIPAA-gebonden entiteit (bron: compliancy-group.com).

Verschillen en overeenkomsten

Het belangrijkste verschil tussen GDPR en zowel PCI als HIPAA is de focus. Waar de AVG een groot aantal persoonsgegevens bestrijkt, zijn de PCI en HIPAA meer gericht op één component. De AVG beschermt alle persoonlijk identificeerbare gegevens die zijn verzameld van iedereen in de EU en zorgt ervoor dat persoonlijke gegevens niet worden misbruikt, op verzoek worden verwijderd en alleen worden gebruikt zolang de persoon ermee instemt (bron: ispartnersllc.com).

AVG vs. HIPAA

AVG heeft een veel bredere reikwijdte dan HIPAA. De belangrijkste focus van HIPAA ligt op organisaties en mensen die in de Verenigde Staten omgaan met beschermde gezondheidsinformatie (PHI). HIPAA is beperkt tot PHI alleen, terwijl AVG alle ‘gevoelige persoonlijke gegevens’ behandelt, zoals raciale of ethische afkomst en religie. Zorgverleners zorgen al voor de veilige verwerking en afhandeling van PHI onder HIPAA, maar onder de AVG zal dit moeten gebeuren met de actieve toestemming van elke patiënt die een EU-ingezetene is. Het belangrijke woord is hier ‘toestemming’. HIPAA vereist geen actieve toestemming (bron: blog.ipswitch.com).

AVG vs. PCI

PCI’s belangrijkste focus is beveiliging en de bescherming van kaarthoudergegevens; bijvoorbeeld inbreuken, gegevensverlies en identiteitsdiefstal. Alleen het gebruik dat deel uitmaakt van het betalingsproces is gedekt. De AVG en PCI overlappen elkaar op het gebied van één type gegevens: de betaalkaartgegevens. Als de kaarthouder uit de EU komt, moet ook voor al deze processen aan de AVG worden voldaan.

Data classification for GDPR, PCI & HIPAA Compliancy

Overeenkomsten van AVG, PCI and HIPAA

De meest voor de hand liggende overeenkomst tussen de GDPR, PCI en HIPAA is dat ze allemaal persoonlijke gegevens beschermen.

Ondanks de verschillen in schaal en reikwijdte van de verzamelde gegevens, werken de AVG, PCI en HIPAA vaak samen. PCI- en HIPAA-compliance kan je helpen te voldoen aan de AVG en andersom.

Compliant met DATPROF Privacy


Data anonimiseren voor AVG compliance

Voldoen aan de AVG betekent dat persoonsgegevens worden verwerkt op een manier die een passende beveiliging van de persoonsgegevens garandeert, inclusief bescherming tegen ongeoorloofde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging, met gebruikmaking van passende technische en organisatorische maatregelen (bron: gdpr-info.eu). Dit heeft een grote impact op hoe je met je test data omgaat.

We komen nog steeds organisaties tegen die productiedata gebruiken voor test- en ontwikkelingsdoeleinden. Het geven van toegang tot productiegegevens aan testers en ontwikkelaars is echter verre van een passende beveiliging van de persoonsgegevens. Het gebruik van productiedata (met privacygevoelige data erin) voor test- en ontwikkelingsdoeleinden verhoogt het risico op onopzettelijk verlies, vernietiging of beschadiging. Kortom: je kunt productiegegevens niet gebruiken voor test- en ontwikkelingsdoeleinden.

Natuurlijk wil je testen met data die zo “productieachtig” mogelijk is om een hoge kwaliteit te garanderen. DATPROF Privacy helpt je om je privacygevoelige gegevens te maskeren en je privacygevoelige gegevens te vervangen door synthetische testgegevens. Op deze manier kun je gebruik maken van productieachtige data, maar zonder de privacygevoelige informatie erin.

Hoe je compliant kunt worden door data te maskeren of te genereren

Uitgebreide informatie over het maskeren of synthetisch genereren van testgegevens om te voldoen aan privacyregels.

Data anonimiseren voor PCI DSS

Als je PCI DSS-compliant wilt zijn, moet je ervoor zorgen dat de gegevens van de kaarthouder beschermd zijn. Eigenlijk is de aanpak om PCI DSS-compliant te zijn dezelfde als de aanpak om GDPR-compliant te zijn. Je dient ervoor te zorgen dat de gegevens van de kaarthouder niet voor andere dan de beoogde doeleinden worden gebruikt. Dat betekent: niet testen met de persoonlijke gegevens van de kaarthouder.

Met DATPROF Privacy kun je de gegevens van de (privacygevoelige) kaarthouder maskeren door een maskeringstemplate te maken met verschillende maskeringsregels en synthetische gegevensgeneratoren. Je kunt bijvoorbeeld synthetische creditcardnummers, synthetische namen en vervaldatums genereren. Zo zorg je ervoor dat er geen privacygevoelige kaarthoudergegevens worden gebruikt voor test- en ontwikkelingsdoeleinden, maar maak je gebruik van productieachtige gegevens.

Data masking voor HIPAA

Zoals eerder vermeld, is PHI alle demografische informatie die kan worden gebruikt om een patiënt of cliënt van een organisatie te identificeren die HIPAA-compatibel moet zijn. Dergelijke informatie kan bijvoorbeeld namen, geografische informatie, telefoonnummers, medische dossiers, gezondheidsplan en nog veel meer zijn.

Gegevensmaskering is ontworpen om data “in rust” te behandelen in relationele databasebeheerplatforms, bijv. Oracle, SQL Server. Of gegevens kunnen worden gemaskeerd in bestanden zoals .csv- en XML-indelingen. Beide oplossingen worden gedefinieerd als “statische gegevensmaskers” omdat ze de database ter plaatse bijwerken of een nieuwe kopie van een bestand als uitvoer maken.

Data Masking for HIPAA compliance

Download our free whitepaper about how to become HIPAA compliant.

Supporting the leading database technologies

Data masking for HIPAA compliance

Download the free whitepaper

Paper - Data masking for HIPAA compliance

  • Hidden

Data Masking

DATPROF Privacy

Data Automation

DATPROF Runtime

Data Discovery

DATPROF Analyze