JOIN Admin Tools anonimiseren database

Uit JOIN wiki
(wijz) ← Oudere versie | Huidige versie (wijz) | Nieuwere versie → (wijz)
Naar navigatie springen Naar zoeken springen

Inleiding

Op deze pagina vind je informatie over de data anonimisatie tool voor JOIN Zaak & Document. Met deze tool bent u als (technisch) beheerder in staat om zelf persoonsinformatie (namen, telefoonnummers, emailadressen) die zich in JOIN bevinden (bijv. adresregistraties, zaken en documenten) volledig te anonimiseren. Op deze pagina wordt uitgelegd hoe de tool werkt en hoe deze kan worden geinstalleerd en uitgevoerd.

Waarom anonimiseren?

Anonimiseren is een goede methode om persoonsgegevens geschikt te maken voor test- en of analytische doeleinden. Anonimiseren is waardevol wanneer u in een (deels of volledig) ingerichte OTAP structuur met relevante data in bijvoorbeeld een test- of acceptatieomgeving wilt kunnen werken, zonder dat deze data herleidbaar is tot een persoon. Anonimiseren kan ook waardevol zijn wanneer een organisatie gegevens wil bewaren voor analytische of statistische doeleinden, maar het herleiden tot personen niet langer meer noodzakelijk of rechtmatig is.

Let op: Anonimisering draait om een vorm van versleuteling die niet omkeerbaar is: als persoonsgegevens eenmaal zijn ontdaan van identificerende data, is het niet meer mogelijk om deze later weer met personen in verband te brengen. Wij raden u daarom met klem aan om deze tool niet te gebruiken op een productieomgeving. U gebruikt de tool om een dataset te kopieren van productie naar test/acceptatie waarbij de in de dataset opgenomen persoonsgegevens niet langer meer herleidbaar zijn.

Na het anonimiseren voldoet u weer vollledig aan de eisen die zijn gesteld door de AVG. Geanonimiseerde data zijn volgens de AVG namelijk niet langer persoonsgegevens. Denk er overigens wel aan om de anonimisatie vooraf te bespreken met de AVG-officer in uw organisatie.

Tool installeren en uitvoeren

De tool wordt geïnstalleerd op uw test- of acceptatieomgeving (met connectie naar de database). De tool is een console executable die verbindt op basis van de decosadmin.ini (net als bijvoorbeeld de exportDBnet tool waarmee u eenvoudig een export van uw (productie) database maakt.

Belangrijk: het uitvoeren van de tool is onomkeerbaar: eenmaal geanonimiseerde data kan niet meer worden teruggedraaid.

Zodra u de tool heeft geactiveerd controleren wij eerst of de dataset een productie-dataset heeft. Dat doen wij op basis van de naam die wij in de database tegenkomen. Komen wij daarentegen de naam "accept" of "test" tegen dan gaat de tool er vanuit dat het hier om een testset gaat die geanonimiseerd mag worden. In alle andere gevallen (zoals bijv. bij productie) wordt eerst om bevestiging gevraagd voordat de tool daadwerkelijk start met het verwerken en anonimiseren van de data.

In de tool zijn de volgende parameters mogelijk om de hoeveelheid te anonimiseren data te beperken:

  • Decos.Anonymize.exe -itemtypes: hiermee kan door middel van | | (pipes) worden aangegeven welke itemtypes worden meegenomen in de anonimisatie (ADDRESS|FOLDER| ...)
  • Decos Anonymize.exe -fields: hiermee kan door middel van || worden ingesteld welke velden moeten worden geanonimiseerd. (SURNAME|FIRSTNAME|LEGALID)
  • Decos Anonymize.exe: hiermee worden alle registraties (metadata, memo) geanonimiseerd
  • Decos.Anonymize.exe -books EB893B6FA1FE4572B67B919570A82264: hiermee wordt alle data van 1 specifiek boek (met de betreffende sleutel) geanonimiseerd.

Voorbeeld: Decos.Anonymize.exe -itemtypes:ADDRESS -Fields:FIRSTNAME|SURNAME|LEGALID: anonimiseert alle voornamen, achternamen en BSN's van alle adressen in het systeem.

Wanneer de tool is uitgevoerd, is een controlebestand gegenereerd waarin alle geanonimiseerde waarden (en de "was" waarde) wordt weergegeven. Denk goed na over de plek waar je dit controlebestand bewaart (niet op dezelfde omgeving of verwijderen na uitvoeren en controle).

Tot slot: wanneer u gebruik maakt van JOIN Search (Elastic Search) is het belangrijk dat ook de search index opnieuw wordt opgebouwd. Zorg ervoor dat na het succesvol uitvoeren van de anonimisatietool de JOIN Search bulkindexer eenmalig wordt uitgevoerd.

Data anonimiseren

Zodra de tool is gestart en er is geconcludeerd dat het om een test- of acceptatieomgeving gaat vraagt de tool of ook gebruikersnamen in het systeem moeten worden geanonimiseerd. Als u dit bevestigt, moet er wel rekening mee worden gehouden dat de gebruikersinformatie niet meer herleidbaar is (aangezien de gebruiker Abe Batens nu ineens Gaby Veldman heet. Alle persoonsinformatie die in het systeem zich bevindt wordt geanonimiseerd. Denk dan bijvoorbeeld aan achternamen, voornamen, emailadressen, telefoonnummers, BSN etc. De tool kijkt niet alleen naar gangbare velden in het datamodel waar deze gegevens voorkomen (COMPANY, EMAIL1, LEGALID) maar doorzoekt de hele database op bijvoorbeeld een achternaam. Dus ook in een zaakomschrijving wordt een achternaam vervangen door een willekeurige achternaam.

Alle in het systeem gevonden BSN-nummers, telefoonnummers, e-mailadressen en naamgegevens worden door de tool vervangen door een willekeurige andere waarde. Bij een BSN-nummer zorgen we er daarnaast voor dat het de waarde wordt vervangen door een BSN die voldoet aan de 11-toets, maar niet meer herleidbaar is in het systeem tot een persoon.

De anonimisatietool houdt ook rekening met vrije tekst (bijvoorbeeld de velden SUBJECT1 en SUBJECT2, maar ook de MEMO-velden waar bijvoorbeeld de inhoud van bestanden in wordt opgeslagen. Ook de inhoud van paragrafen in de module JOIN Besluitvorming wordt geanonimiseerd.

Voorbeeld: in een persoonsregistratie staan de achternaam Batens met voornaam Abe en BSN 170817110. Na de anonimisatieslag staat hier achternaam Appelman met voornaam Gaby en BSN 191204765.

Veelgestelde vragen?

Wordt ook de persoonsgevoelige informatie in bestanden en scans geanonimiseerd?

Ja. Maar niet in de daadwerkelijke bestanden. De inhoudelijke tekst in bestanden en scans wordt weggeschreven naar het MEMO veld in JOIN. Persoonsinformatie die we tegenkomen in deze teksten worden ook geanonimiseerd. Wij adviseren daarom om bestanden nooit mee te exporteren van productie naar een testomgeving. Eventueel kunt u wel het betreffende bestand vervangen door dummy-bestanden.

Wordt ook workflowdata geanonimiseerd?

Ja. Naast data uit registraties (items en itemfields) wordt persoonsdata uit de objecten workflow, files en scans geanonimiseerd door de tool.

Welke databasetypen worden ondersteund?

Standaard ondersteunen wij:

  • Oracle
  • SQL Server
  • MySQL

Hoe lang duurt het anonimiseren van mijn data?

Uiteraard is dit afhankelijk van de hoeveelheid data die in uw systeem moet worden omgezet.

Wij kunnen niet exact inschatten hoe lang het anonimiseren duurt omdat dit afhankelijk is van meerdere factoren waar wij geen invloed op hebben. Helaas hebben wij op dit moment nog geen concrete informatie over de doorlooptijd. Wij zullen dit aanvullen in de wiki zodra dit wel bekend is.

Heb ik een licentie nodig voor de tool?

Ja. Om de tool te kunnen gebruiken heb je een geldige ANON-licentie nodig. Zonder deze licentie zal de tool niet worden gestart en is anonimiseren niet mogelijk. Neem contact op met jouw commerciele aanspreekpunt bij Decos om de mogelijkheden te bespreken.

Heeft de tool een helpfunctie?

Ja! Door in de tool in de command line "?" in te typen wordt de HELP functie getoond.

Waar vind ik de logbestanden?

De logbestanden worden na het draaien van de tool aangemaakt in de directory: \AnonymizeDB\bin\Debug directory. Daarnaast wordt, als er wordt gekozen voor het anonimiseren van gebruikersnamen en gebruikersrollen, een logbestand aangemaakt in de hoofddirectory van de tool: "UpdatedUserNameAndRoles.txt". In dit bestand vind je de oude naam en de nieuwe naam.

Bij wie kan ik terecht als de tool niet werkt?

Bij onze collega's van JOIN Support. Via joinsupport.decos.nl kun je een ticket aanmaken. Vragen stellen mag natuurlijk ook altijd!