|
Wanneer data zonder toestemming wordt gebruikt, hebben we het over een datalek. Datalekken kunnen consumenten en bedrijven schaden. Wet- en regelgeving zoals de Algemene Verordening Gegevensbescherming (AVG) zijn van kracht om consumenten te beschermen tegen onrechtmatig gebruik van hun gegevens. Ze verplichten organisaties om beveiligingsmaatregelen te nemen en privacyprocedures opnieuw te beoordelen, zodat de consumentengegevens die ze gebruiken en opslaan goed worden beschermd. Interne gevarenAls data niet goed wordt beveiligd, loopt elke organisatie het risico dat ze niet voldoen aan de wetgeving inzake gegevensbescherming, blootstelling van privacygevoelige gegevens aan onbevoegde gebruikers, imagoschade door slechte publiciteit wanneer gegevens worden gelekt, enzovoort. Daarom moet gegevensbescherming aanwezig zijn. In eerste instantie proberen organisaties data te beschermen tegen gevaren van buitenaf, zoals hackers en dieven. Uit het 2020 Data Breach Investigations Report van Verizon blijkt echter dat bij 30% van de datalekken interne actoren betrokken waren. In 22% van de gevallen waren fouten een oorzakelijke gebeurtenis en 8% was misbruik door geautoriseerde gebruikers. Uit deze cijfers blijkt dat er niet alleen extern, maar ook intern aanzienlijke risico’s op datalekken bestaan. Risico’s die moeten en kunnen worden verminderd door je data goed te beheren, bijvoorbeeld door data masking. Het risico van testdataNeem bijvoorbeeld testdata: data die (intern) worden gebruikt voor test- en ontwikkeldoeleinden binnen een organisatie. Veel organisaties laten hun testteams nog steeds kopieën van productiedata gebruiken voor deze activiteiten. Zo zijn veel OTP-omgevingen gevuld met privacygevoelige data. In de meeste gevallen betekent dat dat de overgrote meerderheid van het team toegang heeft tot deze data. Natuurlijk ken en vertrouw je je medewerkers, maar houd er rekening mee dat datalekken ook per ongeluk kunnen ontstaan. Wat kun je doen?De meest voor de hand liggende oplossing zou kunnen zijn: zorg ervoor dat teams geen toegang hebben tot (alle) gevoelige data. Dat klinkt moeilijker dan het is. Test- en ontwikkelteams hebben goede data nodig voor hun testwerkzaamheden. Goede testdata is data die representatief is voor de productie. Het hoeft niet (een volledige kopie van) de productiegegevens zelf te zijn: 1) Met een data masking tool dat je testdata maskeert of anonimiseert, heb je er geen omkijken meer naar. Volgens overweging 26 is de AVG namelijk niet van toepassing op anonieme gegevens. Dus wanneer je teams met anonieme data werken, hoef je je geen zorgen meer te maken over een datalek. 2) Als je uit de productiedata kleinere subsets haalt die alleen die testgevallen bevatten die nodig zijn voor het testwerk, verklein je de kans op een datalek aanzienlijk. Zij hebben immers niet toegang tot alle (al dan niet gemaskeerde) data, maar tot een klein deel ervan. Een veilige testdata-architectuurDoor een testdata-architectuur te bouwen en te gebruiken die gemaskeerde en gesubsette testdata bevat, verklein je het risico dat gegevens worden gelekt, al dan niet met opzet. Het omvat het maken van een zogenaamde ‘Master TDM’ of een ‘Gold copy’; een volledig – gemaskeerd – productieexemplaar. Deze Master TDM voldoet aan de privacyregelgeving en kan worden gekopieerd of gesubset in de downstream-omgevingen voor QA en Dev. ConclusieDe conclusie van dit artikel is vrij simpel: gebruik gemaskeerde productiedata voor het testen als je geen risico wilt lopen op datalekken en de bijbehorende boetes en imagoschade. Natuurlijk kan niet elke medewerker werken met alleen gemaskeerde data of slechts een deel ervan. Sommigen hebben tijdige toegang tot alle productiegegevens nodig om hun werk goed te kunnen doen. In deze gevallen moet je je richten op het opleiden van medewerkers, hen verantwoordelijk laten voelen en zich daarnaar gedragen. Maak hen bewust van de risico’s van dataverlies en houd voor iedereen in de organisatie duidelijk wie wanneer toegang heeft tot welke data. |
