Privacy en AVG

Binnen Wigo4it en bij de G4 wordt in testomgevingen nog regelmatig gebruik gemaakt van productiedata: echte gegevens van echte burgers. De wet verbiedt dit inmiddels. Omdat we de privacy van burgers hoog in het vaandel hebben staan, gaan we werken met geanonimiseerde gegevens. Hoe staan we ervoor met dit project? En waarom is deze stap zo belangrijk?

Testen met geanonimiseerde gegevens

Sinds 25 mei 2016 is er de Algemene verordening gegevensbescherming (AVG) en deze treedt op 25 mei 2018 definitief in werking. Onder de oude wet was bescherming van persoonsgegevens in niet-productie omgevingen al een belangrijk aandachtspunt voor Wigo4it.

Met de komst van de AVG is hier nog meer aandacht voor gekomen. “Voordat we een applicatie in gebruik nemen, moeten we die eerst goed testen in de praktijk. Maar die wet staat ons niet meer toe om daarvoor persoonsgegevens in te zien en te gebruiken.”

Het dilemma in een notendop uit de mond van Hans Verweijmeren, Manager Functioneel Beheer bij de dienst SZW van de gemeente Den Haag. “Je mag persoonsgegevens alleen gebruiken wanneer je er een doel mee hebt voor de klant en het noodzakelijk is vanuit je functie.”  

Om applicaties toch goed te kunnen testen, zijn dan ook datasets nodig die niet echt zijn, maar de werkelijkheid wél goed nabootsen, legt Verweijmeren uit. Hij is blij dat hierin nu wordt geïnvesteerd. “Het is voor ons echt noodzaak om alle mogelijke situaties te kunnen testen: ook extreme gevallen. Daar hebben we nu wel omsleutelprogramma’s voor, maar elke specifieke situatie moeten we ombouwen. Dat kost veel tijd.”  

Flinke klus

Siepie Ebbes is projectleider ‘Anonimiseren van persoonsgegevens in de Socrates-omgeving’ bij Wigo4it. Met haar team werkt zij er hard aan om anonimisering in alle interne omgevingen mogelijk te maken. “Het gaat daarbij niet alleen om testomgevingen, maar ook om ontwikkelomgevingen en omgevingen voor applicatiebeheer: bij Wigo4it alleen al in totaal een stuk of 30. Alle omgevingen die niet bedoeld zijn voor productie, moeten worden geanonimiseerd.”

Al met al een flinke klus dus, maar Ebbes is tevreden over het verloop van het project. “Voor acht interne omgevingen bij Wigo4it hebben we inmiddels een script ontwikkeld om persoonsgegevens te anonimiseren. Dat script zorgt ervoor dat de persoonsgegevens worden gehusseld en/of gemaskeerd, zodanig dat ze niet meer herleidbaar zijn naar een persoon. Als dit goed gebeurt dan functioneren de geautomatiseerde regressietesten als voorheen en kan de gebruiker zijn werk doen alsof er niets is gebeurd.

De scripts zijn we nu uitgebreid aan het testen. Het lijkt goed te gaan: we hebben nog geen fouten ontdekt. Dat is mooi, want als het hier goed werkt, gaat het ook in de andere omgevingen goed werken. Intern en extern: dus ook bij de gemeenten.”

AVG in een notedop
Uit infographic AVG van Autoriteit Persoonsgegevens

Gemeenten in maart aan de beurt

De eerste maanden van 2018 worden de scripts getest binnen alle andere interne omgevingen van Wigo4it. In maart en april zijn vervolgens de gemeenten aan de beurt. “Dat doen we uiteraard in goed overleg met de gemeenten,” belooft projectleider Ebbes. “Het doel is dat vanaf mei alle omgevingen zijn geanonimiseerd. Als alles intern goed werkt, wordt dat normaal gesproken een fluitje van een cent.” Doelstelling is dat Wigo4it en de G4 vóór 25 mei 2018 overal voldoen aan de privacywetgeving op dit onderdeel.  

Ook Verweijmeren heeft vertrouwen in het project. “De belangrijkste uitdaging voor ons is de planning: wanneer kunnen we lopende processen in een bestaande omgeving afronden. En wat is het goede moment om die omgeving te anonimiseren?”

Toch heeft de manager functioneel beheer nog wel een punt van zorg: “In geval van een specifiek probleem bij een klant hebben we incidenteel toch de werkelijke gegevens nodig, om te kunnen zien waar het mis gaat. Op dat moment is het ook doelmatig gebruik en dus wettelijk toegestaan. Maar daarvoor moet nog wel een procedure worden ontwikkeld.”  

Afstemming in de keten

Projectleider Ebbes ziet nog een andere, belangrijke uitdaging. “We hebben nu goed zicht op wat we bij ons intern en bij de gemeenten moeten anonimiseren. Maar voor partijen in de keten – zoals DUO en de SVB, waarmee we veel gegevens uitwisselen – is dat nu nog een grijs gebied. Om te kunnen werken met de geanonimiseerde gegevens moeten de systemen goed op elkaar afgestemd worden. Het overleg hierover zit nog in de oriënterende fase. De komende maanden hopen we de neuzen dezelfde kant uit te krijgen.”  

Lees ook de andere artikelen

Deze artikelen zijn de komende twee weken te lezen op deze website. Daarna verhuizen ze naar het archief op het G4 Extranet van Wigo4it. Hiervoor is een inlogcode vereist. Deze kun je opvragen bij de Functioneel Beheerder van jouw stad.

Wil je je aan- of afmelden voor deze nieuwsbrief? Stuur dan een mail naar communicatie@wigo4it.nl.