Menu
Eind vorig jaar kwam de gemeente Amersfoort niet te positief in het nieuws dankzij een datalek. Die situatie liet nogal wat te wensen over. Recentelijk was er weer een incident. En ook dit keer viel ik van mijn stoel. Als dit zo doorgaat moet ik judomatten onder mijn bureau leggen.
De oorzaak van het lek vond z’n oorzaak in het testen met echte gegevens door een leverancier, om zo “realistische tests” te kunnen uitvoeren. De meeste IT-auditoren, securityconsultants en -specialisten zijn het er wel over eens: testen met productiedata is een slecht idee en dat moet je niet doen. Maar waarom?
Zoals we hebben gezien: het vergroot onder andere de kans op een datalek! Dit geldt overigens niet alleen voor persoonsgegevens, maar kan ook andere vertrouwelijke gegevens omvatten zoals financiële of bedrijfsgeheimen.
Testomgevingen zijn over het algemeen minder streng beveiligd. Over of het noodzakelijk is om met productiegegevens te testen verschillen de meningen. Tijdens audits kom ik wel eens ontwikkelaars tegen die stellen dat je met echte gegevens moet testen om goede resultaten te krijgen. Want: “de werkelijkheid is weerbarstig.” Dit is slechts ten dele waar. In hele uitzonderlijke gevallen kan dit kloppen. Mijn ervaring is dat als je als auditor of consultant een paar keer goed doorvraagt die “noodzaak” veelal neerkomt op gemak en geld.
Los daarvan: persoonsgegevens die niet voor testdoeleinden zijn afgestaan, mogen hiervoor niet eens gebruikt worden. In dit specifieke geval had de gemeente zich moeten houden aan de Baseline Informatiebeveiliging Overheid (BIO) en de Algemene Verordening Gegevensbescherming (AVG). Hoewel de BIO het gebruik van productiedata niet expliciet verbiedt, is de AVG duidelijker in dit verbod. Het Centrum informatiebeveiliging en privacybescherming (CIP) geeft duidelijk aan dat de overheid “behoudens na vooraf gegeven toestemming van betrokkenen, geen ruimte voor het testen van systemen met ‘echte’ persoonsgegevens…” biedt. De overheid heeft zich gewoon aan (haar eigen) wetten te houden.
We weten nu dat het niet mag en een slecht idee is. Wat zijn dan de alternatieven? Er zal toch getest moeten worden. Nou, er zijn nogal wat opties! Het eerdergenoemde CIP heeft een “testdorp” ontwikkeld, speciaal hiervoor. Daarnaast hebben overheden (en ook andere organisaties) de mogelijkheid om zelf test-sets te maken, zonder gevoelige of bijzondere gegevens. Daarnaast kunnen databestanden ook geanonimiseerd of gepseudonimiseerd worden. Er zijn dus voldoende alternatieven.
Frappant dat er nog steeds zo losjes met gevoelige data wordt omgegaan. Denk maar zo: alles wat je niet hebt, kun je ook niet verliezen. En wat je niet verliest, kan ook geen problemen voor de burger veroorzaken.