Gebruik van Cookies

Aareon gebruikt cookies om de werking van haar websites zo goed mogelijk aan te passen aan de wensen van haar bezoekers.
Wanneer u gebruikmaakt van de Aareon-websites, gaat u akkoord met het plaatsen van deze cookies.

Vidomes
Tobias AX

Magazine
Nieuws > Tobias

Vidomes over het maskeren van data

Twee jaar geleden werd de AVG van kracht in de corporatiesector. Eén van de gevolgen hiervan is dat testdata nu gepseudonimiseerd moeten worden. Hoe doe je dat als corporatie op een efficiënte manier?

CorporatieGids.nl sprak daarover met business adviseur Informatisering & Digitalisering Tineke de Vries en consulent Informatisering & Digitalisering Paul van Noppenvan woningcorporatie Vidomes in Delft.

“De invoering van de AVG in 2018 betekende dat we anders met onze testomgeving moesten omgaan,” begint Tineke het gesprek. “Hoewel de omgeving niet zomaar te benaderen is, is het volgens de wetgeving niet gerechtvaardigd persoonsgegevens in te zetten voor testdoeleinden. Maar tegelijkertijd is dit wel heel belangrijk voor de bedrijfsvoering van Vidomes en dus ook in het belang van onze huurders. Onze testomgeving wordt onder andere gebruikt voor het testen van nieuwe versies van ons ERP-systeem Tobias AX, het opleiden van medewerkers en het inrichten en optimaliseren van processen. Gelukkig biedt de wet wat speelruimte en mogen we met niet herleidbare persoonsgegevens blijven testen.”

Herleidbaarheid doorbreken

Het pseudonimiseren of maskeren van testdata is daarom essentieel. “Hierdoor wordt de herleidbaarheid van persoonsgegevens doorbroken, maar kunnen we de uitkomsten wel blijven interpreteren voor Vidomes,” vertelt Paul. “Alleen onze medewerkers hebben toegang tot de testomgeving en de gegevens worden niet gedeeld met andere partijen. De testomgeving is een afgeschermde omgeving en valt onder de applicatiearchitectuur van Vidomes zodat dezelfde technische en organisatorische beveiligingsmaatregelen gelden als voor de productieomgeving. Hiermee voldoen we aan de AVG-richtlijnen, en zijn we als organisatie in staat om te blijven testen en voorkomen we stagnering van processen.”

Pilot

Bij het pseudonimiseren van testdata heeft Vidomes als pilotklant samengewerkt met Aareon en EntrD. Tineke: “Dit betekende dat wij samen in kaart hebben gebracht welke tabellen gemaskeerd moesten worden en op welke manier. Het afgelopen jaar is dit uitgegroeid tot een standaard maskeerconfiguratie. Onze praktijkervaringen – maar ook die van andere corporaties – helpen dit te verfijnen.”

Afstemming

Het vinden van een maskeerconfiguratie die het beste past bij je organisatie, vraagt volgens Paul de nodige afstemming. “Door met elkaar daarover in gesprek te gaan en de uitkomsten van testen met elkaar te bespreken, kwamen we tot een inrichting die voor ons het beste werkt. Het gaat hierbij om een samenwerking tussen EntrD, Aareon én Vidomes. Je hebt elkaar nodig, net zoals kennis van processen, tabellen en over de uitwerking van maskeerregels.”

Maskeerregels

Op de vraag hoe het pseudonimiseren van data precies in z’n werk gaat, geeft Paul een aantal voorbeelden. “Een geboortedatum passen wij aan door de dag te veranderen; van bijvoorbeeld 14 maart naar 23 maart. Op die manier blijven leeftijden wel in stand. Voorletters van namen worden karakter voor karakter vervangen, bijvoorbeeld van T.Y. naar L.K. En vrije tekstvelden worden leeggemaakt en vervangen door een standaardtekst.” “Het maskeren van adressen was een uitdaging en daarom hebben wij hiervoor andere regels opgesteld. Het was vooral puzzelen om de consistentie tussen pand, contract en complex te behouden. Het is namelijk erg belangrijk dat testuitkomsten goed te interpreteren zijn.”

Doorwerking in processen

“Ook willen we doorgronden wat het effect van een maskeerregel is op de database, en hoe dit doorwerkt in onze processen,” gaat Tineke verder. “Door dit goed te bespreken, is het mogelijk om sommige maskeerregels te finetunen. Deze ruimte is aanwezig zonder af te doen aan de AVG-richtlijnen. Wat voor ons werkte was om eerst de regels door te nemen om vervolgens per tabel te bekijken welke regel er in de standaard is toegepast. Tenslotte is het belangrijk om met kerngebruikers de uitwerking in je database te controleren via procestesten. Zij zijn bij Vidomes nauw betrokken bij het testen van nieuwe versies van Tobias AX. Hierdoor kunnen we de effecten aanscherpen, wat in belang is van zowel het proces als het voldoen aan de AVG.”

“Zo’n procestest hebben we bijvoorbeeld uitgevoerd voor onze vastgoeddata die we hebben hernoemd volgens een maskeerregel. Hieruit bleek dat het toetsen om een nieuw begrotingsjaar in te lezen niet meer kon of er ontstonden foutmeldingen. Daarom hebben wij nog eens kritisch gekeken naar sommige tabellen en de toegepaste maskeerregels. Door hier – binnen de kaders van de AVG – anders mee om te gaan, werd het werkbaarder voor collega’s die betrokken zijn bij het testproces.”

Consistentie

Op de vraag hoe ver Vidomes inmiddels is met het pseudonimiseren van testdata, vertelt Paul: “Onlangs hebben we de gemaskeerde database van Tobias AX geëvalueerd. Want het is best even wennen. Vertrouwde testcases moeten toch iets anders worden aangevlogen, gebruikers herkennen de database misschien niet meer en een aantal hobbels voor het doorvoeren van de maskeerregels zette de acceptatie onder druk. Door met kerngebruikers hierover in gesprek te gaan en de regels nogmaals goed langs te lopen of aan te passen, hebben we voor het gebruik een stap in de goede richting gezet.” De volgende stap is het testen van nieuwe applicaties die een koppeling hebben met het primaire systeem, zoals het KC-portaal of de ECM. Tineke: “We hopen hiermee later dit jaar te starten, zodat we bij testen de consistentie niet uit het oog verliezen.”

Johan van den Beld
CorporatieMedia

to top