Cryptografische pseudoniemen in testomgeving Rabobank

Rabobank en IBM werken samen aan het toepassen van cryptografische pseudoniemen op klantgegevens. Met het desensibiliseren van data kan de bank zo reëel mogelijke klantgegevens gebruiken bij de ontwikkeling van nieuwe innovatieve technologieën en diensten, zoals mobiele apps en betalingsystemen, en voldoet zij aan de eisen van nieuwe privacyregelgeving in de EU (GDPR).

AVG

Vanaf 25 mei brengt de Algemene Verordening Gegevensbescherming (of General Data Protection Regulation) een geharmoniseerd rechtskader tot stand voor gegevensbescherming in de hele EU. Dit rechtskader heeft als doel burgers de controle over hun persoonlijke gegevens te geven. Het legt tegelijkertijd strikte regels op aan wie deze gegevens beheert, verplaatst, of verwerkt.

Terabytes

In een project met IBM heeft de Rabobank tientallen terabytes aan gevoelige klantgegevens gedesensibiliseerd, inclusief namen, geboortedata en rekeningnummers, naar een pseudonieme voorstelling. Dit betekent dat de gegevens echt lijken en zich ook gedragen als echte data, maar geen echte persoonsgegevens zijn.

Testfase

“Het is van cruciaal al belang voor de Rabobank om tijdens de testfase gegevens te gebruiken die zo dicht mogelijk bij de productie liggen, zodat we zeker zijn dat onze diensten goed functioneren als we live gaan”, zegt Peter Claassen, delivery manager radical automation bij Rabobank. “Nu het mogelijk is om te testen met gepseudonimiseerde data zullen nieuwe innovaties nog meer veiligheid, innovatie engebruiksgemak bieden voor onze klanten.”

Pseudonimisatie

Pseudonimisatie verbetert de privacy door de meest identificeerbare velden in een gegevensbank te vervangen door kunstmatige identiteiten of pseudoniemen, bijvoorbeeld door echte namen te vervangen door fictieve namen. Daarbij worden de gegevens met het oog op GDPR zodanig verwerkt dat ze zonder bijkomende informatie niet langer kunnen worden toegeschreven aan een specifieke betrokkene. Zonder pseudonimisatie kunnen geboortedatum en thuisadres volstaan om de identiteit van die persoon vrij te geven.

Analytics

"IBM’s analytics-software gecombineerd met onze desensibilisatie-software kan gegevens pseudonimiseren door ze om te zetten naar individuele hash-waarden die volledig ondoordringbaar zijn, zelfs in de verre toekomst voor een foutentolerante quantum computer”, zegt Michael Osborne, cryptograaf bij IBM Research. “Het resultaat van dit onderzoek is commercieel beschikbaar om overal ter wereld en in alle industriesectoren aan privacy-regelgeving te voldoen.”

Bankrekening en sparen

Rabobank en IBM Services hebben het afgelopen jaar samengewerkt aan dit project. Meerdere belangrijke applicaties en platforms zijn al gepseudonimiseerd, inclusief de huidige bankrekening- en spaarsystemen op mainframe, UNIX, Tandem en Windows platformen.