2012 tmap privacy website
-
Upload
maarten-urbach -
Category
Documents
-
view
231 -
download
1
Transcript of 2012 tmap privacy website
www.DATPROF.comVolg ons op twitter: @DATPROF
TESTDATAversus
PERSOONSGEGEVENS
Bert Nienhuis
VEEL
ORGANISATIESGEBRUIKEN KOPIEËN VANPRODUCTIE DATABASES
DOELEINDEN:• TESTEN
• ONTWIKKELING
• OUTSOURCING
• MARKETING
• OPLEIDING
ZIEKENHUIS
ZORGVERZEKERAAR
Krant / Magazine
SUPERMARKT
Justitie
Overheid
BKR / Leningen
BANK
Telecom provider
ZIEKENHUIS
ZORGVERZEKERAARKrant / Magazine
SUPERMARKT
Justitie
RDW
BKR / Leningen
BANK
Identiteitsdiefstal
Chantage
Creditcard fraude Spam
Imagoschade Phishing
Persoonsgegevens
Identificerende Kenmerkende- Naam
- Geboortedatum
- Bankrekening nummer
- BSN nummer
- Adres
- Polisnummer
- Telefoonnummer
- Etc…
- Banksaldo
- Schulden
- Medicijn gebruik
- Ziekte
- Geloofsovertuiging
- Politieke voorkeur
- Salaris
- Telefoonhistorie
- Etc…
ProductieProductie Test Ontwikkel
Meest gebruikte oplossing
WBP & CBP
Viertal risicoklassen :
Risicoklasse 0 - Publiek niveau; telefoonboeken
Risicoklasse 1 - Basis niveau: krantabonnement
Risicoklasse 2 - Verhoogd risico: bank & verzekering gegevens
Risicoklasse 3 - Hoog risico: DNA & opsporingsgegevens Artikel 9: Doelbinding“Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen”Artikel 13: Organisatorische & technische maatregelen
“De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. “ CBP- AV23 - Beveiliging van persoonsgegevens
“Voor het testen van informatiesystemen met
persoonsgegevens mogen uitsluitend gegevens van
fictieve personen gebruikt worden”
Informatie
analyseImpact analyse
Definiëren regels Bouw Test
Tool onafhankelijk Tool/Scripts
- Welke systemen?- Welke tabellen?- Welke kolommen?- Welke interfaces?
- Impact op test?- Impact op systeem?- Impact op keten?
- Zo weinig mogelijk- Zo anoniem mogelijk- Herbruik - Mate van anonimiteit
- Bruikbaarheid- Acceptatietest
Anonimiseren
Intern Extern
Risico’s
- Geen vertrouwen in testdata
- 2 soorten bevindingen
- Niet representatief (onherkenbaar)
- Oplossing wordt niet gebruikt
- Anonimisering sluit niet aan bij requirements
- Alle focus op het product
Do’s Don’ts
- Betrek eindgebruikers
- Betrek DBA & FAB/TAB
- Inrichting/Beheer binnen project
- Formaliseer procedures
- Alles anonimiseren
- Systeem specifiek (geen keten)
- Gebruik synthetische data
- Niet nadenken over distributie
Bekijk een demo bij de stand
Vragen?
Kom langs de stand en maak kans op een gratis
QuickScan Anonimiseren