+31 35 543 1000 info@kza.nl

Als een young padawan tester vroeg ik eens aan een van de meer ervaren testers: “is het normaal dat productiedata wordt gebruikt tijdens het testen?” Destijds, bij mijn eerste opdracht, gebruikten wij geen productiedata. Ik was niet echt op de hoogte hoe het bij andere bedrijven werkte. Het bleek dat ik er goed naast zat. Hij begon te lachen en zei dat het gros van de bedrijven waar hij in aanraking mee gekomen was productiedata gebruikte. Op een sarcastische toon reageerde hij, “handig genoeg om even snel een bugje te testen.” Ik stond er redelijk perplex van. Als tester vond ik dat niets, maar ook niet als persoon. Als je jouw persoonlijke data invult, dan zou het kunnen zijn dat het een heel team doorgaat omdat er een bug in het systeem zit. Wil je dit? Wil je dat data ergens anders voor gebruikt wordt waarvoor het bedoeld is?

De EU heeft het antwoord al voor je klaar: een heldere “nee.” Op 25 mei 2016 is de nieuwe wet Algemene Verordening Gegevensbescherming (AVG) in werking getreden, die vanaf 25 mei 2018 nageleefd moet worden . Het is de vervanger van de Wet bescherming persoonsgegevens, die hard toe was aan een update. Nog even terug naar mijn vraag over productiedata. Die stelde ik in juli, 2016. Ruim anderhalf later, wat is er veranderd? Na een uiterst academische questionnaire, uitgezet naar mijn KZA-collega’s, met de vraag: “heb jij de afgelopen anderhalf jaar in een omgeving gewerkt waar met productiedata werd gewerkt?” werd het antwoord duidelijk: er is weinig veranderd.

En die verandering is nou juist één van de nieuwe knelpunten van de AVG. Als bedrijf moet je kunnen verantwoorden welke stappen (zowel technisch als organisatorisch) zijn ondernomen op het gebied van AVG-handhaving: de verantwoordingsplicht. Als er dan een data breach is of een aanvraag van de Autoriteit Persoonsgegevens, dan moet je kunnen aantonen dat er voldoende gedaan wordt aan het beschermen van privacygegevens. Deze vereisten kunnen in de breedste zin onderverdeeld worden in drie onderwerpen:

– Data verstrekker is op de hoogte van welke gegevens gebruikt worden
– Data wordt alleen gebruikt voor en tijdens het beoogde doel
– Data wordt beschermd tegen gebruik/inzien van onbevoegden

Die drie onderwerpen zo onder elkaar lijken redelijk onschuldig en vrij eenvoudig te implementeren. Het probleem zit echter in de details. Heeft de dataverstrekker het recht om een elektronische kopie te vragen van alle data of mag alleen het minst mogelijke gevraagd worden voor het doel van de data? Daarnaast zijn er nog meer vragen van “wordt de data in de cloud of op een server vastgelegd?” tot “wat als er een USB-stick met gevoelige data kwijt is?”

Correcte antwoorden vinden op problemen zoals deze zijn, als een iets minder young padawan tester, ongelooflijk interessant. Het is het snijvlak tussen beleid, menselijke invloed, techniek en de invloed van alles op de maatschappij. Wil jij ook meer te weten komen? Kom dan op 15 februari naar onze GDPR kennissessie waar onder andere dieper wordt ingegaan op het anonimiseren van data. Daarnaast is het KZA security gilde ook altijd een goede bron van informatie, te bereiken op security@kza.nl.

Door: Wouter van der Eng