.png){kind=small}
Test data compliance
Voldoe aan GDPR, PCI and HIPAA
Wanneer je (een kopie van) productiedata in je QA-omgevingen gebruikt, moet deze data voldoen aan de wetgeving inzake gegevensbescherming en andere gegevensprivacyregelgeving. AVG (GDPR), PCI en HIPAA zijn voorbeelden van dergelijke regelgeving. Terwijl iedereen dit eigenlijk wel weet, wordt in veel gevallen nog niet aan wet- en regelgeving voldaan. Zonde, want je neemt onnodige risico’s met privacygevoelige data voor QA-doeleinden.
What is jouw voornaamste uitdaging?
Ik moet voldoen aan wet- en regelgeving
Wanneer je data Personally Identifiable Information (PII) bevat, moet je zorgen dat je voldoet aan wet- en regelgeving rondom databescherming.
Om de voldoen aan wetten en regels zoals de AVG (GDPR), PCI en HIPAA moet je de data in test- en ontwikkelomgevingen anonimiseren. Met behulp van data maskeren en synthetische data generatie kun je data creëren die veilig is om te gebruiken voor test- en ontwikkelwerkzaamheden.
Ik heb te weinig inzicht in mijn data
Verkrijg inzicht in je database en weet wat er speelt. Er kan privacygevoelige data in je database zitten en in dat geval wil je weten waar precies.
Als je niet weet waar je Personally Identifiable Information (PII) data opgeslagen is, ben je niet in staat om je database goed te maskeren. Je hebt inzicht nodig in je dat om een passend maskeer template te bouwen en daarmee te voldoen aan privacywetgeving zoals de AVG (GDPR), PCI en HIPAA.
De auditability van mijn data moet worden verbeterd
Laat iedereen zien dat je databescherming serieus neemt. Zorg ervoor dat je controle hebt over jouw data maskeer inspanningen en maskeer je data wanneer dat maar nodig is.
Geen controle hebben over je test data omgevingen zorgt voor onnodige tijdverspilling en de bijbehorende kosten. Start met het beheren, monitoren en automatiseren van je test data vanuit één TDM portaal. Ontvang notificaties over de maskeerruns en download het audit report om je data maskering te bewijzen.
Wat is AVG/GDPR, PCI en HIPAA
Algemene verordening gegevensbescherming (AVG) / General Data Protection Regulation (GDPR)
De AVG is een wet binnen de Europese Unie die de rechten van Europese inwoners beschermt. In het buitenland wordt deze wet de GDPR genoemd. Volgens de GDPR, persoonlijke data is alle informatie gerelateerd aan een identificeerbaar natuurlijke persoon. Deze persoonlijke data moet worden beschermd en daarom zijn er wetten (AVG/GDPR) en standaarden (PCI DSS and HIPAA) voor bedrijven om zich aan te houden.
Payment Card Industry Data Security Standard (PCI DSS)
De PCI DSS (in het kort PCI) is niet een wet – het is een standaard die verplicht is bij credit card bedrijven. De PCI richt zich erop bedrijven te helpen bij het verwerken van card payments op een veilige manier en om kaartfraude te verminderen. Om dit te bereiken impliceert het strikte veiligheidscontroles voor het opslaan, verzenden en verwerken van de gegevens van kaarthouders. Het belangrijkste doel van de PCI is het beschermen van kaarthouder informatie. Dat omvat ook de persoonlijke informatie zoals gedefinieerd door de AVG (bron: logsentinel.com).
Health Insurance Portability and Accountability Act (HIPAA)
De HIPAA-privacyregel regelt het gebruik en de openbaarmaking van beschermde gezondheidsinformatie, protected health information (PHI) bij behandelingen, betalingen en operaties in de gezondheidszorg die worden gehouden door zogenaamde gedekte entiteiten (gezondheidsplannen, uitwisselingscentra voor gezondheidszorg en zorgaanbieders) (bron: tier3md.com). PHI is alle demografische informatie die kan worden gebruikt om een patiënt te identificeren. Dit omvat naam, geboortedatum, adres, financiële informatie, burgerservicenummer, volledige gezichtsfoto of verzekeringsinformatie. PHI bevat alleen informatie die is verzameld door een HIPAA-gebonden entiteit (bron: compliancy-group.com).
Verschillen en overeenkomsten
Het belangrijkste verschil tussen GDPR en zowel PCI als HIPAA is de focus. Waar de AVG een groot aantal persoonsgegevens bestrijkt, zijn de PCI en HIPAA meer gericht op één component. De AVG beschermt alle persoonlijk identificeerbare gegevens die zijn verzameld van iedereen in de EU en zorgt ervoor dat persoonlijke gegevens niet worden misbruikt, op verzoek worden verwijderd en alleen worden gebruikt zolang de persoon ermee instemt (bron: ispartnersllc.com).
AVG vs. HIPAA
AVG heeft een veel bredere reikwijdte dan HIPAA. De belangrijkste focus van HIPAA ligt op organisaties en mensen die in de Verenigde Staten omgaan met beschermde gezondheidsinformatie (PHI). HIPAA is beperkt tot PHI alleen, terwijl AVG alle ‘gevoelige persoonlijke gegevens’ behandelt, zoals raciale of ethische afkomst en religie. Zorgverleners zorgen al voor de veilige verwerking en afhandeling van PHI onder HIPAA, maar onder de AVG zal dit moeten gebeuren met de actieve toestemming van elke patiënt die een EU-ingezetene is. Het belangrijke woord is hier ’toestemming’. HIPAA vereist geen actieve toestemming (bron: blog.ipswitch.com).
AVG vs. PCI
PCI’s belangrijkste focus is beveiliging en de bescherming van kaarthoudergegevens; bijvoorbeeld inbreuken, gegevensverlies en identiteitsdiefstal. Alleen het gebruik dat deel uitmaakt van het betalingsproces is gedekt. De AVG en PCI overlappen elkaar op het gebied van één type gegevens: de betaalkaartgegevens. Als de kaarthouder uit de EU komt, moet ook voor al deze processen aan de AVG worden voldaan.
Overeenkomsten van AVG, PCI and HIPAA
De meest voor de hand liggende overeenkomst tussen de GDPR, PCI en HIPAA is dat ze allemaal persoonlijke gegevens beschermen.
Ondanks de verschillen in schaal en reikwijdte van de verzamelde gegevens, werken de AVG, PCI en HIPAA vaak samen. PCI- en HIPAA-compliance kan je helpen te voldoen aan de AVG en andersom.
Compliant met DATPROF Privacy
Data anonimiseren voor AVG compliance
Voldoen aan de AVG betekent dat persoonsgegevens worden verwerkt op een manier die een passende beveiliging van de persoonsgegevens garandeert, inclusief bescherming tegen ongeoorloofde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging, met gebruikmaking van passende technische en organisatorische maatregelen (bron: gdpr-info.eu). Dit heeft een grote impact op hoe je met je test data omgaat.
We komen nog steeds organisaties tegen die productiedata gebruiken voor test- en ontwikkelingsdoeleinden. Het geven van toegang tot productiegegevens aan testers en ontwikkelaars is echter verre van een passende beveiliging van de persoonsgegevens. Het gebruik van productiedata (met privacygevoelige data erin) voor test- en ontwikkelingsdoeleinden verhoogt het risico op onopzettelijk verlies, vernietiging of beschadiging. Kortom: je kunt productiegegevens niet gebruiken voor test- en ontwikkelingsdoeleinden.
Natuurlijk wil je testen met data die zo “productieachtig” mogelijk is om een hoge kwaliteit te garanderen. DATPROF Privacy helpt je om je privacygevoelige gegevens te maskeren en je privacygevoelige gegevens te vervangen door synthetische testgegevens. Op deze manier kun je gebruik maken van productieachtige data, maar zonder de privacygevoelige informatie erin.
Data anonimiseren voor PCI DSS
Als je PCI DSS-compliant wilt zijn, moet je ervoor zorgen dat de gegevens van de kaarthouder beschermd zijn. Eigenlijk is de aanpak om PCI DSS-compliant te zijn dezelfde als de aanpak om GDPR-compliant te zijn. Je dient ervoor te zorgen dat de gegevens van de kaarthouder niet voor andere dan de beoogde doeleinden worden gebruikt. Dat betekent: niet testen met de persoonlijke gegevens van de kaarthouder.
Met DATPROF Privacy kun je de gegevens van de (privacygevoelige) kaarthouder maskeren door een maskeringstemplate te maken met verschillende maskeringsregels en synthetische gegevensgeneratoren. Je kunt bijvoorbeeld synthetische creditcardnummers, synthetische namen en vervaldatums genereren. Zo zorg je ervoor dat er geen privacygevoelige kaarthoudergegevens worden gebruikt voor test- en ontwikkelingsdoeleinden, maar maak je gebruik van productieachtige gegevens.
Hoe word je compliant door test data te maskeren of te genereren
Een uitgebreid artikel over het maskeren of synthetisch genereren van test data om te voldoen aan de privacyregelgeving.
Data masking voor HIPAA compliance
Zoals eerder vermeld, is PHI alle demografische informatie die kan worden gebruikt om een patiënt of cliënt van een organisatie te identificeren die HIPAA-compatibel moet zijn. Dergelijke informatie kan bijvoorbeeld namen, geografische informatie, telefoonnummers, medische dossiers, gezondheidsplan en nog veel meer zijn.
Gegevensmaskering is ontworpen om data “in rust” te behandelen in relationele databasebeheerplatforms, bijv. Oracle, SQL Server. Of gegevens kunnen worden gemaskeerd in bestanden zoals .csv- en XML-indelingen. Beide oplossingen worden gedefinieerd als “statische gegevensmaskers” omdat ze de database ter plaatse bijwerken of een nieuwe kopie van een bestand als uitvoer maken.
Data masking for HIPAA compliance
Download our free whitepaper about how to become HIPAA compliant.
Test data compliance tools
Discover & Learn
Ontdek je data en verkrijg analyses van datakwaliteit door je applicatiedatabases te profilen en te analyseren.
→
Mask & Generate
Geef teams gemaskeerde productiedata van hoge kwaliteit en synthetisch gegenereerde data.
→
Provision & Automate
Voorzie elk team van de juiste test data via het self-service portaal of automatiseer test data met de ingebouwde API.
→
Neem eenvoudig contact op
Contactform
FAQ
What does GDPR mean?
General Data Protection Regulation. It is the primary law regulating how companies protect EU citizen’s (personal) data.
What does PCI DSS mean?
Payment Card Industry Data Security Standard. The PCI DSS (in short PCI) is not a law – it’s a standard required by the credit card companies. The PCI aims to help businesses process card payments securely and reduce card fraud.
What does HIPAA mean?
Health Insurance Portability and Accountability Act. It regulates the use and disclosure of protected health information (PHI) in healthcare treatment, payment and operations held by so called covered entities (health plans, healtcare clearinghouses and healthcare providers)
