Ir. H. Kikkers* en E. van Vliet**

Uwpersoonsgegevens tijdens systeemontwikkeling

177

Trefwoorden:maskeren, testomgeving, software- en systeemont-wikkeling

In Nederland en België is er een aandachtsgebied vanprivacy dat momenteel sterk onderbelicht is. Dit aan-dachtsgebied is de privacy tijdens de softwareontwik-keling. Op grote schaal worden namelijk kopieën ge-maakt van de reguliere productiedata omdie gegevenste gebruiken voor de testactiviteiten tijdens de softwa-reontwikkeling, zonder dat er rekening gehoudenwordt met de privacybescherming van deze gegevens.De gevaren van deze handelwijze zijn dat veel meer

personen (interne en externe medewerkers) toeganghebben tot alle data die in productie voorkomen,waaronder privacygevoelige en bedrijfsgevoelige data.Daarnaast krijgen demedewerkers veelmeer gegevenste zien dan men normaliter zou kunnen zien.Vanuit security-oogpunt zijn de gevaren dat deze

privacygevoelige data per ongeluk, door hackers ofdoor datadiefstal buiten de organisatie terecht kunnenkomen – met alle gevolgen van dien.

1 Inleiding

Staat u er wel eens bij stil hoeveel software wij in Neder-land gebruiken? Een organisatie kan niet zonder soft-ware. Om de processen te optimaliseren wordt er veelgebruik gemaakt van maatwerksoftware. Grotere orga-nisaties hebben hun eigen software-afdeling waar ont-wikkeld en getest wordt.Om te kunnen testen horen testdata aanwezig te zijn

in een testomgeving. Deze testdata zijn complex enmoeilijk om zomaar op te bouwen. De oplossing diedaarom het meest gebruikt wordt is het maken van eenkopie van alle gegevens uit de productieomgeving. Dezedata zijn betrouwbaar, want het zijn immers de datawaarmee de nieuwe software straks gaat werken en allenodige relaties met andere data van andere systemen inde organisatie zijn aanwezig. Deze data bevatten ook allemogelijke situaties die in productie voorkomen. Tenslotte is het ophalen van productiedata een snelle endaarmee goedkope actie. Gartner1 heeft in 2011 aangege-ven dat 80% van de bedrijven wereldwijd gebruikmakenvan een kopie van productiedata voor softwareontwikke-

ling. Op basis van klantengesprekken blijkt dat in Neder-land dit percentage zelfs hoger ligt.

2 Uw persoonsgegevens worden gebruikt om tetesten

Meer dan 80% van de organisaties in Nederland en Belgiëgebruiken de productiedata voor softwareontwikkeling,waaronder het testen van de nieuwe software. Rekening-gegevens, adresgegevens, transacties van de afgelopenjaren, klantgegevens en voorraadgegevens worden een-op-een zonder enige wijziging of beveiliging overgeno-men om te testen. Gevoeligere data, zoals creditcardge-gevens, wachtwoorden, enz., worden daarentegenmeestal wel uiterst veilig en correct behandeld.Soms testen productiemedewerkers de nieuwe soft-

ware, maar meestal zijn testers personen die alleen metsoftware-ontwikkeling bezig zijn. Dit kunnen interne enexternemedewerkers zijn, bijvoorbeeld gedetacheerdenof zzp’ers, of medewerkers van een IT-leverancier. Zijkrijgen tijdens het testenmet de bestaande productiege-gevens inzicht in alle aanwezige productiedata in eentestomgeving.Een onderdeel van de maatregelen ter bescherming

van persoonsgegevens in productie is dat bepaalde per-sonen specifieke onderdelen van de data mogen inzien.Er zijn in productie weinig personen die bevoegd zijnom alle data te mogen zien, omdat er zogenaamde ‘Chi-nese Walls’ zijn opgeworpen. Mocht men gegevens vanandere systemen in productie willen inzien, dan moetmen gaan samenwerken met beheerders van die anderesystemen. In productie wordt doorgaans gelogd wiewelke gegevens heeft ingezien, bijvoorbeeld ommisbruikte voorkomen.Waar in de productieomgeving gegevens dus beperkt

toegankelijk zijn en alleen personen die geautoriseerdzijn toegang hebben tot bepaalde gegevens, zijn er ineen testomgeving geen Chinese Walls of is er geen log-ging van de inzage in de gegevens. Een tester heeft toe-gang tot meerdere systemen en dus tot alle data in diesystemen om zijn werk goed te kunnen doen. Loggingwordt meestal niet aangezet, omdat de beheerder dande loggings moet legen terwijl er toch niets mee gedaanwordt.

Hilbrand Kikkers is mede-eigenaar van ITCG en DATPROF. Vanuit zijn functie adviseert hij organisaties bij de inrichting van test-datamanagement. Tevens leidt hij projecten op het gebied van data-integratie (datawarehousing en dataconversies).

*

Edwin van Vliet is testdatamanagementspecialist bij SUPRIDA. Hij begeleidt bedrijven in het selecteren en inrichten van testdata-managementoplossingen. Daarnaast is hij auteur van het boek ‘Testdata management’, ISBN 9490986062.

**

Gartner inc. is een wereldwijd ITT-adviesbureau, waarvan het hoofdkwartier gevestigd is in Stamford, Connecticut, USA.1

P&IAfl. 5 – oktober 2013228

3 Een datalek kan zeer grote impact hebben op decontinuïteit van uw organisatie

Deze situatie is niet alleen een privacyprobleem, maarook een securityprobleem. Bij security geldt dat deze zosterk is als de zwakste schakel. Doordat er productiedatain een minder beschermde testomgeving aanwezig zijn,ondermijnt dit de maatregelen die in een productieom-geving zijn genomen om de data te beschermen. Metname nu steeds meer organisaties hun data willen ver-kopen is de kans op datadiefstal uit een testomgevingvanwege de economische waarde ervan een belangrijkaandachtspunt. Het gaat hier bovendien niet alleen omprivacygevoelige informatie, maar ook om bedrijfsgevoe-lige informatie.

Casus: Een bank gebruikt een kopie van produc-tiedata en gebruikt die in een testomgeving voortestwerkzaamheden. Deze bank heeft informatieover haar klanten, beursgenoteerde bedrijven.Wanneer er iets zou gebeuren met deze data, danis niet alleen die bank, maar zijn ook haar klantengedupeerd. Er kan op dat moment gehandeldwordenmet voorkennis, niet van één organisatie,maar van veel organisaties.

Een datalek met persoonsgegevens heeft meer schadetot gevolg dan ‘alleen’ maar een schending van de priva-cy. De gevolgen voor de betrokkene kunnen zeer grootzijn én ook de schade voor de organisatie is substantieel.Er kan reputatieschade ontstaan en niet alleen dat: doorhet wetsvoorstel ‘Meldplicht datalekken’ kan de toezicht-houder, het College bescherming persoonsgegevens, eenboete opleggen tot een maximum van € 450 000 als deorganisatie onzorgvuldig omgaat met een dergelijk lekof het lek niet meldt.2 Bij beursgevoelige organisaties ofkleinere organisaties kan reputatieschade leiden tot eenfors klantenverlies en zelfs faillissement. Een ander risicois nog dat productiegegevens uit een testomgeving perongeluk toch in productie terechtkomen, waardoor bij-voorbeeld iemand een paar duizend brieven in zijnbrievenbus heeft gekregen.Daarnaast geven 65% middelgrote en grote bedrijven

aan geen zaken te doen met organisaties, die te makenhebben gehad met een datalek.3

4 Kans op identiteitsdiefstal

Een testomgeving wordt gebruikt om de software tekunnen testen en daarna foutloos te promoveren naarde productieomgeving. Ditzelfde geldt ook voor de data-structuur. In een testomgeving worden geen extra databewaard voor testdoeleinden.Gebruikt een organisatie het burgerservicenummer,

een digitale handtekening, bankrekeningnummers,

NAW-gegevens, financiële gegevens en/ofmedische gege-vens van haar cliënten, dan zijn er data aanwezig voorpotentieel misbruik in een testomgeving. Worden dezegegevens daadwerkelijk in de tekstomgeving gebruikt,dan kan op grote schaal identiteitsdiefstal worden ge-pleegd.De risico’s en de gevaren zijn voor de organisatie en

voor de betrokkene, zijnde een natuurlijk persoon ofzakelijke klant.De gevaren voor de organisatie zijn:

– de organisatie werkt niet conform de Wet bescher-ming persoonsgegevens;

– datadiefstal kan plaatsvinden door interne mede-werkers en door hackers;

– de organisatie kan een bron zijn van identiteitsdief-stal;

– de organisatie kan een bron zijn van misbruik vanvoorkennis.

Deze gevaren kunnen resulteren in reputatieschade,verkoop van waardevolle data door derden, concurren-tievervalsing, boete, verlies van klanten enmogelijk zelfsfaillissement.

De gevaren voor een betrokkene zijn:– misbruik van zijn of haar persoonsgegevens, bijvoor-

beeld medische gegevens of financiële gegevens;– identiteitsdiefstal.Daarbij dient te worden meegenomen dat het hier nietéén betrokkene betreft, maar dat het om grote hoeveel-heden betrokkenen kan gaan.

De gevaren voor een zakelijke klant zijn:– inzicht in financiële en gevoelige bedrijfsgegevens;– mogelijk gedupeerd worden door misbruik van

voorkennis.

5 Geen enkele organisatie hoeft dit probleem tehebben

Financiële organisaties en de overheden hebbenmaatre-gelen genomen om problemen bij het testen met echtegegevens te voorkomen of zijn bezig die te nemen. Ande-re organisaties zijn zich nog niet voldoende bewust vande gevaren, of dat zij hiermee de privacywetgevingovertreden. Zij onderkennen dit niet als een probleem,mede doordat de kennis hierover tekortschiet, en moge-lijk vinden zij het onderwerp niet belangrijk genoeg omhierin te investeren.

De oplossing is echter ook voor deze organisaties inprincipe heel simpel.Gevoelige gegevens, waaronder persoonsgegevens, kan

menmaskeren. Maskeren is het dermate veranderen vangegevens dat de data niet meer te herleiden zijn tot eennatuurlijk persoon. Dergelijke gegevens die niet langerpersoonsgegevens zijn, vormen geen risico bij het testen

www.rijksoverheid.nl/documenten-en-publicaties/kamerstukken/2013/06/21/wetsvoorstel-meldplicht-datalekken.html.2Iron Mountain & PWC Information Risk Maturity 2013, www.accountancynieuws.nl/actueel/ict/iron-mountain-pwc-organisaties-doen-bedrijven-met.124059.lynkx.

3

229Afl. 5 – oktober 2013P&I

UW PERSOONSGEGEVENS TIJDENS SYSTEEMONTWIKKELING

en kunnen derhalve een-op-een in de productie overge-nomen worden.Het venijn zit echter in de uitvoering. Een aantal orga-

nisaties heeft ‘al eens geprobeerd om hun niet-produc-tieomgevingen te beschermen’. Sommige proberen ditdoor het testen door hun eigen databasebeheerders telaten uitvoeren. Dit is op zich wel mogelijk, maar hetprobleem overstijgt meestal een enkele database. Er zijnook relaties naar andere databases en systemen. Uitein-delijk faalt een dergelijke inspanning door een onjuisteopzet van de probleemstelling.Het betreft hier veel meer een organisatorisch pro-

bleem. De betreffende data zitten verweven door alleniet-productieomgevingen, waarvan dagelijks veel ont-wikkelings- en analyseactiviteiten afhankelijk zijn. Ookzomaar een deel beschermen en andere systemen nietis in sommige situaties niet haalbaar. De oplossing vanhet probleem moet van structurele aard zijn.Alle data in alle systemen horen op verschillende wijze

consistent te zijn.– Wanneer in meerdere systemen bijvoorbeeld de

naam Jansen wordt gebruikt, dan hoort de maske-ring ook gelijk zijn.

– De financiële, medische en andere gegevens vaneen betrokkene horen ook na de maskering nogsteeds gekoppeld te kunnen worden aan de (gemas-keerde) betrokkene, hoewel dan altijd nog het rest-risico blijft bestaan van de indirecte herleidbaar-heid.

6 Uw businesscase

Vanzelfsprekend hoort elke organisatie te voldoen aande Wet bescherming persoonsgegevens, ook in niet-pro-ductieomgevingen. Elke organisatie zou eigenlijk eenbusinesscase moeten opstellen om de situatie te veran-deren. Een businesscase is per organisatie sterk wisse-lend, maar een businesscase heeft een aantal componen-ten, te weten:– Hoeveel risico loopt een organisatie en wat zijn de

kosten van de mitigerende maatregelen?– Hoeveel kost het projectmatig wijzigen van de situa-

tie?– Wat zijn de jaarlijks terugkerende kosten, zoals li-

centiekosten van tooling?

Elke organisatie loopt een bepaalde mate van risico, af-hankelijk van het soort data dat wordt gebruikt. Er zijnbedrijven die quick scans aanbieden, die inzicht gevenin hoeverre een organisatie mogelijk gevaar loopt tijdenssysteemontwikkeling. Verdere analyses kunnen inzichtgeven hoeveel de mitigerende maatregelen kosten,wanneer een dergelijk risico zich voordoet. De recente‘Cost of Data Breach’-studie4 geeft een indicatie dat dekosten van een datalek tot $ 199 per record kunnen op-lopen.Een gespecialiseerde organisatie heeft ongeveer 50

werkdagen nodig om maskeringstooling voor een mid-

delgrote database eenmalig in te regelen. Het borgen ineen organisatie kan in 1 à 2maanden gereed zijn. Daarbijkomen licentiekosten van € 25 000 voor eenmiddelgroteorganisatie. Er zijn organisaties die u kunnen ondersteu-nen bij het opzetten van een goede businesscase.

7 Maskeringstooling is onmisbaar

Het gebruik van een softwareproduct (tooling) om temaskeren is daarbij van onmisbare waarde.Er zijn goede softwareproducten op de markt om de

gevoelige en privacygevoelige data uit een kopie vanproductiedata te maskeren voordat deze in een testom-geving komen. Dit betekent dat productiedata wel wor-den gebruikt, maar dat alleen de gevoelige en privacyge-voelige data worden aangepast. Hierdoor zijn de dataniet meer herleidbaar naar een natuurlijk persoon. Ookdit aanpassenwordtmaskeren genoemd.Hierdoor blijvende complexe informatiestructuur en datastructuur intact.Deze structuur is van groot belang, want men wil dat desoftware nog wel blijft werken als deze na het testen inde productieomgeving is geïmplementeerd.

Een argument dat nogal eens wordt gebruik is: ‘Onzeorganisatie heeft zo’n complexe datastructuur dat hetonmogelijk is om gemaskeerde testdata te maken’. Toe-gegeven kanworden dat datastructuren complex kunnenzijn. Maar de huidige softwareproducten zijn dermatevolwassen dat zij goed kunnen omgaan met zeer com-plexe datastructuren. Door zich daarnaast te beperkentot de inhoud van de gevoelige velden, blijft de structuuronaangetast. Elke organisatie kan dus voorkómen datprivacygevoelige data worden gebruikt voor softwareont-wikkeling.Door velden, zoals namen, adressen, ID-gegevens,

transactiegegevens, enz. temaskeren ontstaan er testdatadie 100% vergelijkbaar zijnmet productiedata, maar dieniet te herleiden zijn naar een natuurlijk persoon. Er isdan geen sprake meer van persoonsgegevens in de zinvan de Wbp.

Een naam kan bijvoorbeeld verwisseld worden met eenwillekeurige andere naam uit de database.

TestProductieTest NaamIDProductie NaamIDHoogwerf1Jansen1Jansen2Klaasen2De Ruiter3Hoogwerf3Klaasen4De Ruiter4

Maskeren door het verwisselen van de data in het veld naam

Postcode-adres-huisnummer-woonplaatscombinatieshoren consistent te blijven. Er zijn namelijk veel softwa-reprogramma’s die postcode-huisnummercombinatiesvalideren. Men wil ook niet dat alle inwoners ineens inMaastricht gaanwonen, want dan kan de software onge-

Ponemon Cost of Data Breach 2013, internet: www.symantec.com/about/news/resources/press_kits/detail.jsp?pkid=ponemon-2013.4

P&IAfl. 5 – oktober 2013230

UW PERSOONSGEGEVENS TIJDENS SYSTEEMONTWIKKELING

wenst gedrag gaan vertonen. Een adres kan ook verwis-seld worden, maar dan met behoud van de locatie en denodige postcode-huisnummerrelaties.

Opmerkingen velden kunnen allerlei privacygevoeligeinformatie bevatten. Deze velden kunnen door ‘XXXXX’of een vaste tekst worden vervangen.

TestProductieE-mailadresIDE-mailadresIDJansen@email.com1Jansen@kpn.com1Klaasen@email.com2Klaasen@planeet.nl2Hoogwerf@email.com3Hoogwerf@email.com3Ruiter@email.com4De Ruiter@suprida.nl4

Maskeren door een deel van het veld te vervangen door een vastetekst

Het is geen enkel probleem om deze maskeringsregelsook toe te passen op alle gekoppelde systemen binneneen organisatie. Er is voor elk soort veld eenmogelijkheidvoor maskeren, zodat de data gevrijwaard worden vanprivacygevoelige informatie. De gemaskeerde informatieis op geen enkele wijze meer terug te herleiden naar eennatuurlijk persoon, waardoor de oorspronkelijke per-soonsgegevens optimaal zijn beveiligd.Over privacybescherming moet niet alleen worden

nagedacht in de productieomgeving, maar deze begintal tijdens de systeemontwikkeling. Organisaties moetenervoor zorg dragen dat zij voldoen aan de privacywetge-ving. Misschien is het zelfs nog belangrijker dat een or-ganisatie correct omgaat met persoonsgegevens tijdenssysteemontwikkeling. De kennis is in demarkt aanwezigom verantwoord om te gaanmet de gegevens die organi-saties beheren. Echter, daarvoor dientmenwel de nodigestappen te zetten om ervoor zorg te dragen dat de per-soonsgegevens die in de organisatie aanwezig zijn, opeen gemaskeerdemanier worden ingezet in de testomge-vingen.

231Afl. 5 – oktober 2013P&I

UW PERSOONSGEGEVENS TIJDENS SYSTEEMONTWIKKELING