Smartlockr Blog: E-mail- en databeveiliging

Zijn je productiegegevens voor het testen AVG Compliant?

Geschreven door Smartlockr | 27-1-21 13:11

De Algemene Verordening Gegevensbescherming (AVG) is een Europese verordening. Het is hierdoor voor bedrijven verplicht geworden om de beveiliging van het e-mailverkeer nauw in de gaten te houden. De AVG beschermt persoonsgegevens ongeacht de technologie die wordt gebruikt voor het verwerken en opslaan ervan. In alle gevallen zijn persoonsgegevens onderworpen aan de beschermingsvereisten van de AVG.

Je moet ervoor zorgen dat de persoonlijke gegevens van je medewerkers, maar ook van klanten, altijd volledig veilig blijven..

Maar kan ik testgegevens gebruiken en voldoen aan de AVG?

Het korte antwoord is nee. In onze laatste webinar besprak gastspreker Arie van der Deijl van Aareon het belang van productiegegevens en GDPR-compliance. De AVG is van toepassing op alle organisaties die met gevoelige gegevens te maken hebben, ongeacht of dit persoonsgegevens, productiegegevens of beide zijn. Wanneer productiegegevens worden gedupliceerd naar een testomgeving in 'non-production', moeten organisaties ervoor zorgen dat deze gegevens veilig zijn, terwijl ze hun interne processen en efficiëntie verbeteren.

Een organisatie kan beargumenteren dat hun algemene voorwaarden stellen dat ze gegevens alleen voor testdoeleinden gebruiken. Dit betekent niet dat deze gegevens zomaar gebruikt mogen worden. Volgens de AVG moet alles wat onder persoonsgegevens valt, beschermd worden.


Wat zijn persoonlijke gegevens?

Persoonlijke gegevens zijn alle gegevens die betrekking hebben op een identificeerbaar, levend persoon. Verschillende soorten gegevens die herleidbaar zijn naar een persoon, zijn ook persoonsgegevens. Denk hierbij aan namen, achternamen en huisadressen.

Persoonlijke gegevens die zijn geanonimiseerd, versleuteld of "gepseudonimiseerd", kunnen worden gebruikt om een persoon opnieuw te identificeren. Deze blijven persoonlijke gegevens en vallen onder de AVG. Dit terwijl persoonsgegevens die zodanig zijn geanonimiseerd dat de persoon niet (meer) identificeerbaar is, niet langer als persoonsgegevens worden beschouwd. Om gegevens echt als geanonimiseerd te beschouwen in overeenstemming met de AVG, moet de anonimisering onomkeerbaar zijn.

 

Wat kunnen we eraan doen, hoe kunnen we testdata gebruiken en voldoen aan de AVG??

Om gegevens te kunnen gebruiken bij testen of trainingen, moeten ze eerst volledig geanonimiseerd worden totdat ze onomkeerbaar zijn. Dit staat bekend als "Data Obfuscation" (DO). Dit is een vorm van datamaskering waarbij gegevens opzettelijk worden gecodeerd om ongeautoriseerde toegang te voorkomen. Deze vorm van versleuteling verandert tekst in data naar onbegrijpelijke symbolen zodat de tekst onleesbaar wordt. Maskeren is de belangrijkste manier om gegevens te verduisteren.


Datamasking

Datamaskering is een belangrijke techniek om een structuur te ontwikkelen die lijkt op de huidige, maar heeft een niet-authentieke update van de bedrijfsinformatie die om meerdere redenen kan worden gebruikt, zoals gebruikerstraining en softwaretests. Het belangrijkste doel is om de originele gegevens op te slaan door een operationeel alternatief te hebben voor verschillende situaties waarin de echte gegevens niet nodig zijn..

Bron: presentatie van Arie van der Deijl, Aareon.

 

Voor- en nadelen van het maskeren van gegevens

Er is veel datamaskersoftware ontwikkeld om organisaties te helpen aan regelgevingen te voldoen. Daarbij worden de eigen werkprocessen continu verbeterd. Datamaskering kan op een aantal manieren worden uitgevoerd, waarbij elke methode het best op een bepaald datateypte kan worden toegepast.

 

Datamasking methoden

We hebben hieronder een lijst samengesteld met de verschillende methoden inclusief sterke en zwakke punten:

  • Substitutie– het willekeurig vervangen van de inhoud van een kolom met gegevens, door gegevens die er hetzelfde uitzien, maar geen verband houden met deze gegevens. 
    • + behoudt effectief de look and feel van bestaande gegevens.
    • te omslachtig bij grote hoeveelheden gegevens. Het kan moeilijk zijn om in zulke grote hoeveelheden, relevante gegevens te vinden.

  • Shuffling– zoals bij vervanging, maar in dit geval worden de vervangende gegevens gegenereerd uit de kolom zelf.  De gegevens in een kolom worden willekeurig tussen rijen verdeeld totdat de gegevens niet langer overeenkomen met de andeere informatie in de rij.
    • + behoudt effectief de ‘look and feel’ van bestaande data en verwerkt efficiënt grote hoeveelheden data.
    • niet effectief bij kleine hoeveelheden gegevens, aangezien de originele gegevens nog steeds aanwezig zijn.

  • Afwijking van aantal en datum – elk getal of elke datumwaarde in een kolom wordt algoritmisch aangepast door een willekeurig percentage van de werkelijke waarde.. 
    • + tools voor gegevensmaskering kunnen numerieke gegevens maskeren, terwijl het bereik en de verdeling van waarden binnen de bestaande limieten blijven.
    • alleen van toepassing op numerieke gegevens.

  • Versleuteling – gegevens worden algoritmisch versleuteld en alleen degenen met toegang tot de juiste sleutel kunnen de versleutelde gegevens bekijken.
    • + maskeert gegevens.
    • versleuteling vernietigt zowel de opmaak als het uiterlijk van de gegevens. Hierdoor is het gemakkelijk te zien wanneer de gegevens zijn versleuteld. Met voldoende moeite kan ook bijna elke codering worden verbroken. Daarnaast kan iedereen met de toegangssleutel bij het gebruik van test- of ontwikkelingsdatabases  toegang krijgen tot de gegevens, waardoor de codering nutteloos is.

  • Nulling Out/Truncating/Deletion –verwijderen van de gevoelige gegevens.
    • + handig als de gegevens niet vereist zijn.
    • niet geschikt voor testdatabase-omgevingen, waar op zijn minst een realistische benadering van de gegevens vereist zijn door de testteams.

Het naleven van oude en nieuwe regelgevingen veroorzaakt nog steeds veel problemen binnen organisaties. Veel organisaties zijn niet op de hoogte van datawetten, waardoor ze in hun huidige processen een groot risico lopen op boetes.

Smartlockr neemt deze zorg weg door je volledig te ontzorgen, zodat jij je als organisatie kan concentreren op waar je goed in bent: je core business.

Wil je meer weten over de AVG?