www.DATPROF.comVolg ons op twitter: @DATPROF

TESTDATAversus

PERSOONSGEGEVENS

Bert Nienhuis

VEEL

ORGANISATIESGEBRUIKEN KOPIEËN VANPRODUCTIE DATABASES

DOELEINDEN:• TESTEN

• ONTWIKKELING

• OUTSOURCING

• MARKETING

• OPLEIDING

ZIEKENHUIS

ZORGVERZEKERAAR

Krant / Magazine

SUPERMARKT

Justitie

Overheid

BKR / Leningen

BANK

Telecom provider

ZIEKENHUIS

ZORGVERZEKERAARKrant / Magazine

SUPERMARKT

Justitie

RDW

BKR / Leningen

BANK

Identiteitsdiefstal

Chantage

Creditcard fraude Spam

Imagoschade Phishing

Persoonsgegevens

Identificerende Kenmerkende- Naam

- Geboortedatum

- Email

- Bankrekening nummer

- BSN nummer

- Adres

- Polisnummer

- Telefoonnummer

- Etc…

- Banksaldo

- Schulden

- Medicijn gebruik

- Ziekte

- Geloofsovertuiging

- Politieke voorkeur

- Salaris

- Telefoonhistorie

- Etc…

ProductieProductie Test Ontwikkel

Meest gebruikte oplossing

WBP & CBP

Viertal risicoklassen :

Risicoklasse 0 - Publiek niveau; telefoonboeken

Risicoklasse 1 - Basis niveau: krantabonnement

Risicoklasse 2 - Verhoogd risico: bank & verzekering gegevens

Risicoklasse 3 - Hoog risico: DNA & opsporingsgegevens Artikel 9: Doelbinding“Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen”Artikel 13: Organisatorische & technische maatregelen

“De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. “ CBP- AV23 - Beveiliging van persoonsgegevens

“Voor het testen van informatiesystemen met

persoonsgegevens mogen uitsluitend gegevens van

fictieve personen gebruikt worden”

Informatie

analyseImpact analyse

Definiëren regels Bouw Test

Tool onafhankelijk Tool/Scripts

- Welke systemen?- Welke tabellen?- Welke kolommen?- Welke interfaces?

- Impact op test?- Impact op systeem?- Impact op keten?

- Zo weinig mogelijk- Zo anoniem mogelijk- Herbruik - Mate van anonimiteit

- Bruikbaarheid- Acceptatietest

Anonimiseren

Intern Extern

Risico’s

- Geen vertrouwen in testdata

- 2 soorten bevindingen

- Niet representatief (onherkenbaar)

- Oplossing wordt niet gebruikt

- Anonimisering sluit niet aan bij requirements

- Alle focus op het product

Do’s Don’ts

- Betrek eindgebruikers

- Betrek DBA & FAB/TAB

- Inrichting/Beheer binnen project

- Formaliseer procedures

- Alles anonimiseren

- Systeem specifiek (geen keten)

- Gebruik synthetische data

- Niet nadenken over distributie

Bekijk een demo bij de stand

Vragen?

Kom langs de stand en maak kans op een gratis

QuickScan Anonimiseren