Rapport Richtlijn gebruik productiegegevens

Transcriptie

1 Rapport Richtlijn gebruik productiegegevens Documenthistorie Datum en versienummer Auteur Opmerking Versie 1.0, 20 december 2005 M. van der Werff, B. de Wit Ter vaststelling door DPB Goedkeuring Datum en versienummer Auteur Opmerking Versie 1.0, 20 december 2005 M. van der Werff, B. de Wit Vastgesteld door DPB Auteur: J.E.Breeman Datum document: 20 december 2005 Versie: 1.0 Status: Definitief Datum afdruk: 20 december 2005

2 Inhoudsopgave 1. Inleiding 3 Wat zeggen de normen 3 2. Algemene eisen 4 3. Onderkende situaties Normaal gebruik / reguliere productie Incidentafhandeling Performance metingen Proefconversies Pre productietest (Pré inproductiename) Gebruikers acceptatietest Overige testen 7 DPB0397f Richtlijn productiegegevens v1.0.doc - 2 van 7

3 1. Inleiding Bevindingen in de edp-audit rapportages rondom de testomgevingen en het gebruik van productiegegevens in het kader van het testen dwingen ons om eens goed te kijken naar een sluitende interpretatie van de gestelde eisen vanuit de Wet Bescherming persoonsgegevens (Wbp) en het normenkader van de verantwoordingsrichtlijn (1.3, de huidige actuele versie). Wat zeggen de normen Bij wijzigingen in het systeem moeten voordat deze wijzigingen in productie genomen worden ze eerst afdoende getest worden. Dat testen gebeurt in de zogenoemde testomgeving die ten minste logisch gescheiden is van de productieomgeving. (Het is dus niet mogelijk om vanuit de testomgeving de productieomgeving te benaderen en andersom). Bij het testen wordt in principe geen gebruik gemaakt van productiegegevens of een kopie daarvan, de betreffende norm biedt wel ruimte hiervoor, zij het onder voorwaarden. De normen laten open wat nu wel of niet mag met kopie productiegegevens voor inzet bij o.a. proefconversies en performance metingen en hoe om moet worden gegaan met kopie productiegegevens in de overige ketentestomgevingen (verder genoemd KTO). Omdat systemen van de ketenpartijen met elkaar verbonden zijn, kunnen testactiviteiten van de ene ketenpartij invloed hebben op andere ketenpartijen en is het nodig hierover afspraken te maken. Deze notitie richt zich met name op het testen door een enkele partij met persoonsgegevens van een of meerdere ketenpartijen. In de vergadering van de domeingroep van 27 september 2005 is een eerste notitie van het gebruik van productiegegevens besproken. In het DPB overleg is onderkend dat vanuit kosten/baten overwegingen het niet altijd haalbaar is voor de gehele Suwiketen om een volledige productieconforme testomgeving in te richten en te onderhouden. Tevens is de behoefte uitgesproken voor een richtlijn het omgaan met productiegegevens (lees persoonsgegevens) buiten de productieomgeving en met name bij ketenacceptatietesten en performance metingen. In dit document worden een aantal in de praktijk voorkomende situaties onderkend en voor elk van die situaties volgen specifieke richtlijnen voor het omgaan met kopie productiegegevens. Deze notitie is bedoeld voor het management om - voorafgaand aan het testen - ondersteuning te bieden bij de beslissing of en in welke mate productiegegevens gebruikt mogen worden bij het testen en tevens als handreiking bij het zorgvuldig om gaan met persoonsgegevens tijdens het testen. Wat zegt de Wbp Vanuit de Wbp mogen persoonsgegevens niet gebruikt worden voor andere doeleinden dan waarvoor deze gegevens zijn verstrekt. Om echter een goede administratie te voeren is het echter niet te voorkomen dat persoonsgegevens soms ook voor andere doelen, zoals voor het testen van het administratiesysteem, gebruikt worden. Het College Bescherming Persoonsgegevens is behoorlijk helder wat betreft het testen met persoonsgegevens. In het document Achtergrondstudies en Verkenningen Nr. 23 wordt in 4.6 bij Risicoklasse II het volgende genoemd: Risicoklasse II Bij onderhoud aan apparatuur door derden moet de vertrouwelijke omgang met persoonsgegevens in het contract zijn vastgelegd. De toegankelijkheid van de persoonsgegevens door derden moet zo veel mogelijk beperkt zijn. Voor het testen van informatiesystemen met persoonsgegevens mogen uitsluitend gegevens van fictieve personen gebruikt worden. Wanneer afgeweken wordt van het gebruik van fictieve persoonsgegevens, dient invulling te worden gegeven aan de algemene eisen, zoals beschreven in hoofdstuk 2, en bovendien aan de aanvullende richtlijnen, zoals beschreven in hoofdstuk 3. Het is van het grootste belang dat er voor gezorgd wordt dat het testen geen nadelige invloed kan hebben op de beschikbaarheid, integriteit en vertrouwelijkheid van productiesystemen en/of productiegegevens. DPB0397f Richtlijn productiegegevens v1.0.doc - 3 van 7

4 2. Algemene eisen Voor alle situaties waarbij gewerkt wordt met productiegegevens gelden de volgende algemene eisen. Deze richtlijn is alleen bedoeld voor de persoonsgegevens. Voor andersoortige gegevens is het wenselijk en soms zelfs noodzakelijk om de waarden uit de productieomgeving over te nemen. Test- en productieomgeving zijn gescheiden en nooit mogen testgegevens in de productie omgeving komen. Testen vindt alleen plaats op basis van afgesproken procedures. Het testen mag in geen enkel geval nadelige invloed hebben op de integriteit, beschikbaarheid en vertrouwelijkheid van productiesystemen en/of productiegegevens. Voor het gebruik van productiegegevens of afslagen van de productieomgeving is altijd de toestemming van de gegevenseigenaar (proces/systeem) nodig en gelden de eisen zoals gesteld voor de productieomgeving van Suwinet. Waar mogelijk worden bij het testen gewerkt met fictieve of geanonimiseerde persoonsgegevens. Indien gebruik gemaakt moet worden van een kopie van de productiegegevens, dan wordt getracht de set van persoonsgegevens zo beperkt mogelijk te houden, dit geldt ook voor de overige gegevenselementen. In het geval gebruik gemaakt moet worden van een kopie van de productiegegevens, dan wordt deze kopie, als het gebruik daarvan niet meer relevant is, zo snel als mogelijk uit de betreffende testomgeving verwijderd. Na afloop van het testen worden alle al dan niet papieren afslagen en testresultaten welke niet-geanonimiseerde persoonsgegevens bevatten controleerbaar vernietigd. Het verlenen van toegang is controleerbaar en het aantal personen dat toegang wordt verleend, wordt tot een minimum beperkt. Bewerken van productiegegevens geschiedt door alleen daartoe geautoriseerde medewerkers en enkel in de productieomgeving. Medewerker die (kopie)productiegegevens inzien, hebben een geheimhoudingsverklaring getekend of een dergelijke clausule in het arbeidscontract staan. Externe medewerkers hebben een geheimhoudingsverklaring getekend of geheimhouding is contractueel vastgelegd. Het is controleerbaar welke handelingen hebben plaatsgevonden. Om ervoor te zorgen, dat de opgedane kennis / de specifieke testgevallen niet verloren gaan, is het streven om op basis van de uitkomsten nieuwe geanonimiseerde testsituaties te creëren. 3. Onderkende situaties We onderkennen de volgende situaties waarbij inzet van persoonsgegevens aan de orde is: Normaal gebruik Incidentafhandeling Performance metingen Proefconversies Pre productietest (Pré inproductiename) Gebruikers acceptatietest Overige testen DPB0397f Richtlijn productiegegevens v1.0.doc - 4 van 7

5 3.1. Normaal gebruik / reguliere productie Voor normaal gebruik van persoonsgegevens gelden de eisen uit de Wbp en het Suwinet Normenkader Incidentafhandeling In het geval van incidenten is het vaak nodig om persoonsgegevens in te zien in de productieomgeving voor de analyse en herstel van de fout. Afhankelijk van de oorzaak moeten programmatuur en/of persoonsgegevens gecorrigeerd worden. Na installatie van gewijzigde programmatuur zal gekeken worden of de situatie met betreffende persoonsgegevens nu wel goed gaat. Daar waar een incident in de testomgeving niet gereproduceerd kan worden, zal noodzakelijkerwijze in de productieomgeving foutanalyse en herstel moeten plaatsvinden. Daar waar wegens het ontbreken van bruikbare testgevallen noodzakelijkerwijze in de productieomgeving foutanalyse en herstel moet plaatsvinden, zal na afloop van de werkzaamheden alsnog een bruikbaar en geanonimiseerd testgeval aan de testomgeving toegevoegd worden. In geval van incidentafhandeling kunnen alleen daartoe geautoriseerde medewerkers meekijken in (kopie)productiegegevens Performance metingen De performance van een systeem is afhankelijk van een groot aantal factoren. Soms is het heel moeilijk om in een testomgeving een situatie te creëren, waarin al die factoren overeenkomen met de productiesituatie. In dat geval kan het gewenst zijn om een capaciteitsmeting uit te voeren in de productieomgeving. Bij voorkeur dienen load- en stresstesten echter in de preproductiefase uitgevoerd te worden. Meetgegevens zijn anoniem. Performancemetingen in de productieomgeving zijn alleen toegestaan, als het om nietdestructieve acties gaat (alleen raadplegen). Performancetesten met een destructief karakter (mutaties) worden in de KTO uitgevoerd. Performancemetingen in de productieomgeving vinden plaats buiten de normale openingstijden (kantoortijden). Tijdens de normale openingstijden kunnen wel performancemetingen worden uitgevoerd om zicht te krijgen op het functioneren in de daadwerkelijke praktijk. Dit laatste maakt deel uit van het normale beheer. Performancemetingen worden zoveel mogelijk geautomatiseerd uitgevoerd (door gebruikers te simuleren), zodat de productiegegevens niet door menselijke ogen gezien hoeven te worden. Als gebruik gemaakt wordt van de KTO, dan wordt deze tijdens de test onbereikbaar gemaakt voor andere ketentesters. Performance metingen met inzet van kopie van de productiegegevens en waarbij mutaties hierop plaatsvinden worden enkel in de KTO uitgevoerd. DPB0397f Richtlijn productiegegevens v1.0.doc - 5 van 7

6 3.4. Proefconversies Bij proefconversie wordt altijd gebruik gemaakt van productiegegevens. Vaak worden deze proefconversies uitgevoerd in de (keten)acceptatietest omgeving. Onderzoek naar de inhoudelijke juistheid van de conversie en van de productiegegevens geschiedt bij voorkeur door een speciaal daartoe geautoriseerde eigen medewerker (functioneel of technisch beheerder) of door de partij waarbij het vervaardigen van de conversieprogrammatuur is uitbesteed (projectmedewerker). Als gebruik gemaakt wordt van de KTO, dan wordt deze tijdens de proefconversie onbereikbaar gemaakt voor ketentesters van andere partijen. Als gebruik gemaakt wordt van een (interne) acceptatieomgeving, dan wordt deze onbereikbaar gemaakt voor anderen, dan degenen die met de proefconversie bezig zijn. Proefconversies vinden plaats in afgezonderde omgevingen of hiertoe gereserveerde systemen Pre productietest (Pré inproductiename) In het geval van wijzigingen is het vaak nodig expliciet te constateren, dat de installatiewerkzaamheden sluitend zijn uitgevoerd en correct functioneren. In een enkel geval is het nodig om daarbij productiegegevens te raadplegen. Onderzoek naar de juistheid van de installatie geschiedt bij voorkeur door een speciaal daartoe geautoriseerde eigen medewerker (functioneel of technisch beheerder) of door de partij waarbij het beheer is uitbesteed (functioneel of technisch beheerder) Gebruikers acceptatietest Voor (eind)gebruikers is het vaak moeilijk om in complexe geautomatiseerde omgevingen fictieve persoonsgegevens te gebruiken. Geprogrammeerde controles sluiten het invoeren van fictieve (persoons)gegevens uit en in complexe aan elkaar geknoopte acceptatietestomgevingen zoals in de Suwiketen is het ondoenlijk om voldoende fictieve testgevallen te kunnen invoeren. Omdat het bij deze testen gaat om geautoriseerde medewerkers van ketenpartners die in de dagelijkse praktijk al met dezelfde gegevens werken is het risico op schending van de privacy van de geregistreerden laag. Het gebruik van kopie productiegegevens dient zich te beperken tot die applicaties met geprogrammeerde controles en complexe ketenacceptatiekoppelingen en tot enkele bekende en moeilijke gevallen, welke in de testomgeving moeten worden uitgeprobeerd. Bij voorkeur worden deze gevallen geanonimiseerd in de testomgeving opgeslagen. De keten (acceptatie-) testen vinden plaats aan de hand van een vastgestelde set testgegevens. DPB0397f Richtlijn productiegegevens v1.0.doc - 6 van 7

7 3.7. Overige testen Bij overige testen, bijvoorbeeld bij interne integratie en acceptatietesten en keten- integratietesten, is het gebruik van productiegegevens of een kopie daarvan niet toegestaan. Gebruik productiegegevens niet toegestaan. DPB0397f Richtlijn productiegegevens v1.0.doc - 7 van 7