Wist jij eigenlijk al dat je een serieus data risico loopt? Waarschijnlijk niet.

Openbaring

Ik bezocht onlangs een NextSales meeting waar een bedrijf zich presenteerde met een oplossing voor het anonimiseren en pseudonimiseren van gegevens. Risico data dus. En ik moet toegeven dat ik blij ben dat ik daar aanwezig was. Het blijkt namelijk een solide oplossing voor een probleem in het IT&SAM werkveld: anonimiseren van gebruikers, persoonlijke, commerciële of andere Europese GDPR (General Data Protection Regulation) gerelateerde gegevens.

Het risico

Omdat Software audits nog steeds op een hogere frequentie worden uitgevoerd moet ik steeds meer organisaties wijzen op het feit dat de overdracht van door de auditor geëiste data een serieus risico is. Risico data dus. Het overhandigen van deze data aan de auditor is al een simpel feit dat kan worden aangemerkt als een data-lek. En dat kan jouw organisatie een risico opleveren van een boete met heel veel getallen voor de komma (tot 4% van de jaarlijkse omzet).

Solide oplossing

Is deze oplossing dan volledig waterdicht? Het eerlijke antwoord luidde: nee. En dat is ook juist want als iemand zich er toe zet om iets te ‘stelen’ dan zal hij of zij daar uiteindelijk ook wel in slagen. Het wordt in ieder geval uitermate moeilijk gemaakt. In mijn ogen is dit een van de veiligste en snelste oplossingen voor dit probleem die ik tot nu toe heb gezien.

oplossing voor een patstelling bij audits

Dus nu is er een mogelijke uitweg van de patstelling met de auditor waarop data die tot op heden niet overdraagbaar was toch ter inzage te stellen. Iets wat tot voor kort een no-go was volgens lokale en Europese wetgeving.  De volgende uitdaging is natuurlijk wie voor de kosten van die anonimisering op moet draaien. Dat kan wat mij betreft alle kanten op.

Nog een redelijk onbekend risico

Een ander punt dat mij mateloos interesseerde was het feit dat het simpelweg in de WBP staat dat het gebruik van gebruikers/persoonlijke gegevens voor ontwikkel test en acceptatiedoeleinden gewoon is verboden. Dit kan alleen worden opgelost door deze omgevingen gelijk beveiligd en onder een autorisatie regime te laten vallen als de productie omgeving en dat is een hele kostbare aangelegenheid die maar weinig bedrijven zullen willen nemen. Maar helaas gebeurt die kopieslag wel en lig dus alle data heel onveilig voor het grijpen. De meeste hacks en datalekken worden dus ook via die manier gepleegd. De oplossing voor pseudonimisering of anonimisering van de data maakt dit dus tegen een heel kleine meerprijs wel mogelijk terwijl de resultaten en de werking van en voor de OTA (Ontwikkel, Test, Acceptatie) omgeving gelijk zullen blijven.

En zeker voor HR systemen, waar niets anders dan privacy gevoelige data in staat, is dit een mooie oplossing. En ondanks dat de GDPR  pas in mei 2018 volledig effectief wordt (vorig jaar echter wel al gestart) is nu wel het moment om de voorzorgsmaatregelen te nemen.

Hulp nodig hiermee?

Al u uw risico’s op dit gebied wilt wegnemen neem dan contact op met mij, of mijn collega’s bij In2SAM. Wij helpen u graag bij het oplossen ervan.

Nico Blokland

(this blog has also been posted on LinkedIn)

Leave A Reply