Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Testdatamanagement is meer dan ‘tooltje’ kiezen

Computable Expert

drs. Eric Hoefman
Oprichter, EntrD. Expert van Computable voor de topics Datamanagement, Development en Security.

Getriggerd door de AVG is de aandacht voor de privacy van burgers, klanten en patiënten bij veel organisaties enorm toegenomen. Vaak leidt dit ook tot hernieuwde aandacht voor testdatamanagement: hoe zorg je voor betrouwbare gegevens om mee te testen of voor onderzoek terwijl je tegelijkertijd de privacy respecteert?

Komen tot volwassen testdatamanagement verloopt in zeven stappen. Een toelichting.

  • Stap 1: Bewustwording

De eerste stap is het ontstaan van bewustwording. Er moet iemand zijn die zich realiseert dat de huidige manier van werken niet meer houdbaar is. Bewustwording ontstaat vaak als een organisatie het gevoel krijgt dat het risico op een data-lek of reputatieschade te groot wordt.

  • Stap 2: Draagvlak

De tweede stap is dat er ook binnen het management bewustwording ontstaat en er vervolgens draagvlak is voor verandering. Dit betekent dat aan het management uitgelegd moet worden wat de impact gaat zijn van niks doen. De laatste tijd zien we voorbeelden van situaties waarbij niks doen forse impact blijkt te hebben. Zodra er ook binnen het management draagvlak ontstaat, komt er ruimte om na te denken over wat de organisatie eigenlijk wil: welke eisen worden er gesteld aan de data die gebruikt wordt?

  • Stap 3: Analyse

Dit leidt dan tot de derde stap, waarin een analyse van de aanwezige persoonsgegevens plaatsvindt. In deze fase wordt binnen de organisatie gekeken welke gevoelige gegevens er vastgelegd worden. Dit kan lastig en tijdrovend zijn omdat er geen limitatief overzicht beschikbaar is van persoonsgegevens. Elk gegeven dat direct of indirect herleidbaar is naar een natuurlijk persoon, dient volgens de AVG namelijk gezien te worden als persoonsgegeven. De vertaling van deze definitie naar de praktijk binnen een organisatie leidt vaak tot discussie. Nadat de organisatie bepaald heeft welke gegevens doorgaan als persoonsgegeven, volgt de minstens zo lastige vervolgactie: wat willen we met deze gegevens in de niet-productie omgevingen?

  • Stap 4: Requirements per omgeving

Dit is de vierde stap in het proces: welke gegevens heb je buiten productie nodig en wat ga je er mee doen? In deze stap bepaal je per omgeving drie dingen: wat is het doel van die omgeving, welke gegevens heb je nodig, en in welk volume heb je die gegevens nodig?

De crux zit hem er in dat je dit per omgeving moet doen omdat elke omgeving andere eisen stelt aan het soort gegevens en het volume. Het eindresultaat van deze stap is dat je per omgeving een beeld hebt van het doel, het soort gegevens dat je daar nodig hebt en het aantal gegevens. Je kunt dit in een keer doen voor alle omgevingen, maar je kunt dit ook in meerdere iteraties doen.

  • Stap 5: Functionele eisen & subsetten

In deze stap start je met het overzicht dat je net gemaakt hebt. Dit overzicht bevat de functionele eisen die je aan de gegevens stelt (welke gegevens, welke eisen en in welke hoeveelheid?). Samen met de privacyofficer bepaal je hoe je deze eisen op een compliant manier invult. Je moet nu dus keuzes maken qua maskeren: hoe zorg je dat de gegevens onherleidbaar worden? Je kunt dit doen door te anonimiseren, te pseudonimiseren of door synthetische data te gaan maken. Elk van deze oplossingen kent zijn eigen voors- en tegens. Per situatie moet je hier een voor jou passende keuze in maken.

Nadat je gekozen hebt hoe je gaat maskeren, moet je bepalen hoe je zorgt voor de juiste volume. Subsetten is een goede oplossing. Een subset is een representatieve set van gegevens die precies aansluit bij het doel dat je hebt.

  • Stap 6: Toolselectie

De zesde stap is dat je een keuze maakt voor de tool waarmee je de gegevens gaat maskeren en eventueel subsetten. Op basis van de vorige stappen, weet je wat de requirements zijn en dit stelt je in staat een passende tool te selecteren. Naast de functionele randvoorwaarden is het belangrijk om bij toolselectie te kiezen voor een tool die database onafhankelijk is zodat je een toekomstvaste keuze maakt.

Een ander requirement om rekening mee te houden is de mogelijkheid om te zorgen voor consistentie over tijd en over omgevingen. Niks is vervelender dan de situatie waarbij Jan vandaag in systeem A in Piet veranderd is, maar in systeem B in Klaas. Een laatste technisch requirement dat zich vaak voordoet, is de eis dat een maskeeroplossing geautomatiseerd moet kunnen werken. Dit vermindert de beheerskosten en maakt het mogelijk om de oplossing te integreren in het verversingsproces.

  • Stap 7: Implementatie

De laatste stap is de feitelijke implementatie. Hierbij gaat het zowel om de technische als de organisatorische implementatie. De gekozen oplossing technisch implementeren, kan vaak relatief snel. Maar de oplossing ook organisatorisch implementeren heeft meer voeten in aarde. Dit betekent namelijk dat je ook qua werkprocessen zaken moet inrichten. Dergelijke werkafspraken zijn cruciaal. Als je die niet goed maakt en verankert, dan ben je als organisatie na verloop van tijd (weer) niet compliant.

Slot

"Wat bij jou past, hangt af van de vraag en de aanwezige kennis en expertise"

Samenvattend zijn dit de zeven stappen die je moet zetten om te komen tot een volwassen en compliant manier van datamanagement. Wat bij jou past, hangt af van de vraag en de aanwezige kennis en expertise. Belangrijk is dat je een keuze maakt die past bij jouw organisatie, maar het allerbelangrijkste is dat je als organisatie in beweging komt. Niets doen en persoonsgegevens ook buiten productie blijven gebruiken, is in geen optie meer.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Sponsored content 

HPE information Governance solutions: controle over uw data

Door datagroei, hogere gebruikerseisen en regelgeving wordt datamanagement een steeds grotere uitdaging. En dat terwijl uw bedrijfsdata ook uw waardevolste bezit is. Met de flexibele, modulaire datamanagement-oplossingen van Hewlett Packard Enterprise neemt u het heft in handen en haalt u bruikbare inzichten uit uw data tegen zo laag mogelijke kosten. 

Ontdek in deze whitepaper hoe u Information Governance proactief aanpakt met maximaal voordeel en minimale kosten.

Lees hier verder.


Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2019-01-15T14:34:00.000Z Eric Hoefman
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.