Domijn is een woningcorporatie in Enschede met zo’n 15.500 woningen in bezit in Enschede, Haaksbergen en Losser. Vanwege het complexe applicatielandschap is het testen van de systemen voor Domijn belangrijk, vertelt Informatiemanager en Chief Information Security Officer Frank te Velde. Maar nooit meer met echte gegevens van huurders.
Domijn heeft een uitgebreid arsenaal aan applicaties draaien. ‘Een systeem voor alle basisadministratie’, begint Frank, ‘een systeem voor het klantcontactcentrum, een portal voor huurders en een portal voor aannemers waar ze opdrachten in aannemen. De incasso-afdeling heeft een eigen systeem, en zo hebben we er nog meer. Als we een IT-systeem gingen testen gebruikten we daarvoor een kopie van deze hele productieomgeving. Zo was elke test zo representatief mogelijk voor de echte situatie, maar we gebruikten wel de gegevens van echte huurders.’
Op zoek naar een oplossing
Met de Algemene Verordening Gegevensbescherming (AVG) in aantocht is dat geen optie meer. Deze nieuwe wetgeving vanuit Europa verbiedt heel expliciet het gebruik van persoonsgegevens voor andere doeleinden dan de ‘core business’, zoals fraudeonderzoek, opleidingen of het testen van systemen. Op overtreding staan hoge boetes. Daarnaast is ook de kans op reputatieschade aanzienlijk. Frank ging op zoek naar een oplossing en kwam via CEPO in contact met EntrD. Wat zij hem lieten zien viel direct in goede aarde.
Gebruikersgemak
‘Het gebruiksgemak gaf de doorslag’, zegt hij. ‘Daarnaast is het voor ons belangrijk dat op de verschillende applicaties dezelfde data op dezelfde manier wordt gemaskeerd. Dat is waar de Datafactory zich mee onderscheidt ten opzichte van vergelijkbare producten. Ten slotte hebben we met deze tool zelf invloed op de manier van configureren. Zo kunnen we iets maken waar wij én heel goed mee kunnen werken én dat voldoet aan wet- en regelgeving. Zodat we zeker weten dat wanneer de update wordt doorgevoerd in productie de klant hiervan geen hinder ondervindt.’
Pilot
Om te beginnen hebben EntrD en Domijn samen een pilot opgezet met de belangrijkste velden (naam, adres, woonplaats, BSN, mailadres) en een basisconfiguratie: de manier waarop gegevens gehusseld moeten worden. Na wat finetuning hebben de gebruikers binnen Domijn - de testers - de pilotversie geaccepteerd. Het werkt vooral goed voor de gebruikers omdat gegevens niet geanonimiseerd maar gepseudonimiseerd worden: daardoor zijn ze ‘herkenbaar’ voor de testers. Dat maakt het testen prettiger dan wanneer namen zijn vervangen door bijvoorbeeld xxx of 123.
Pseudonimiseren
‘We laten de klantnummers in stand’, zegt Frank. ‘De overige gegevens waarmee een huurder te identificeren is husselen we volgens bepaalde regels door elkaar. Zo kun je een huurder waar iets mee aan de hand is, bijvoorbeeld een betalingsachterstand, in de testomgeving makkelijker vinden. We maken ook gebruik van de echte namen, zodat elk vreemd leesteken dat we in de praktijk tegenkomen in de testomgeving zit. Ook de straatnamen zijn echt, dus herkenbaar voor de mensen die ermee werken. Toch kan iemand die kwaad wil er niks mee. Zolang je niet alle benodigde informatie bij elkaar hebt, is het veilig. Daar heeft onze functionaris gegevensbescherming goed naar gekeken.’
Stapje extra
Inmiddels draait de Datafactory lokaal op de omgeving van Domijn. Er kunnen onbeperkt testdatasets mee worden gemaakt, die testers vervolgens gebruiken in de testomgeving. Frank kijkt terug op een geslaagde pilot- en implementatieperiode. ‘De samenwerking met EntrD is heel goed bevallen’, zegt hij. ‘Het is echt een no nonsense partij. What you see is what you get. Ze proberen je niets aan te smeren, ze doen het zoals ze het moeten doen. Ze zetten graag een stapje extra en werken gewoon door tot het af is en perfect werkt. Je loopt niet tegen bureaucratie aan zoals bij sommige grote organisaties. Dat vind ik heel gaaf.’
Vraag van Domijn
De vraag van Domijn was: lever een tool waarmee we gegevens van huurders kunnen pseudonimiseren, zodat we die kunnen gebruiken om onze IT-systemen mee te testen en zo aan de AVG te voldoen. Functionele eisen: we willen zelf bepalen hoe we de gegevens onherleidbaar maken; het pseudonimiseren moet op een consistente manier gebeuren voor alle applicaties; en de tool moet gebruiksvriendelijk zijn.
Oplossing van EntrD
De Datafactory is eenvoudig te implementeren en biedt de flexibiliteit die veel organisaties zoeken. Het is te gebruiken voor elke applicatie en na het anonimiseren zijn de gegevens in alle systemen hetzelfde. We stellen eerst met de klant vast voor welk doel de data worden gebruikt, daarna bepalen we samen volgens welke regels gegevens geanonimiseerd of gepseudonimiseerd moeten worden. Bij Domijn hebben we vervolgens een pilot gedaan die is geaccepteerd door de business. Daarna hebben we de oplossing uitgerold voor meer applicaties.
Bron: CorporatieGids 2018 | Foto: EntrD
Zoals ieder jaar was het een voorrecht om CorporatiePlein te mogen organiseren. En de 2024-editie, de veertiende van het…
www.corporatieplein.nlCorporatieGids Magazine September 2024 - Digitale Transformatie Inhoud Madeleine Hamburg (Pré Wonen): De digitale transformatie is bij uitstek…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.