Rabobank versleutelt klantgegevens met GDPR in aantocht
In aanloop naar invoering van de nieuwe Europese privacywetgeving (GDPR) werkt Rabobank samen met computergigant IBM. Met behulp van cryptografie worden gevoelige privacygegevens zoals naam, geboortedatum en rekeningnummer gepseudonimiseerd en omgevormd tot op zichzelf onherkenbare en onbruikbare gegevens. Hiermee bereidt Rabobank zich voor op compliance met de nieuwe wetgeving.
Met de invoering van de General Data Protection Regulation (GDPR) wil de Europese Unie consumenten de controle teruggeven over hun digitale gegevens. Bedrijven, instanties en verenigingen moeten stuk voor stuk serieuze maatregelen nemen om in lijn te komen met de nieuwe wetgeving, alles ter bescherming van privacygevoelige data van consumenten. Rabobank zocht de samenwerking met IBM om een oceaan aan gevoelige data - naam, geboortedatum, rekeningnummer - om te vormen tot niet gevoelige data. In essentie betekent het dat gegevens worden vervangen door pseudoniemen; echte namen worden bijvoorbeeld vervangen door fictieve namen.
Met behulp van complexe algoritmes worden gevoelige (i.e. identificerende) gegevens vervangen door versleutelde gegevens. Door klantdata te pseudonimiseren ontkoppelt Rabobank een consument als het ware van zijn eigenlijke klantprofiel. Wat overblijft is een samenraapsel van ogenschijnlijk onsamenhangende gegevens, waarvan Rabobank de cryptografische sleutel in handen heeft. Samen met IBM werkt Rabobank inmiddels al meer dan een jaar aan dit project. Een aantal belangrijke functies en platformen zijn al volledig versleuteld, waaronder betaalrekeningen en spaarrekeningen.
Onkraakbare code
Michael Osborn is cryptograaf bij IMB Research en legt uit: “De software van IBM in combinatie met een cryptografische engine maakt sensitieve data minder sensitief door deze op te hakken in stukjes code. Die stukjes code zijn vandaag de dag niet te kraken en ook in de nabije toekomst niet. Zelfs niet door krachtige kwantumcomputers.”
De inrichting van de testomgeving waarin gegevens gepseudonimiseerd worden is bewust gekozen. Het biedt namelijk belangrijke mogelijkheden voor performance-tests van nieuwe producten, bijvoorbeeld een nieuwe app of een nieuwe betaaloplossing. “Het is van cruciaal belang voor de Rabobank om tijdens de testfase gegevens te gebruiken die zo dicht mogelijk bij de productie liggen, zodat we zeker zijn dat onze diensten goed functioneren als we live gaan”, aldus Peter Claasen, delivery manager radical automation bij Rabobank. “Aan de mogelijkheid om te testen met gepseudonimiseerde data zullen nieuwe innovaties ontspringen vanuit ons DevOps team, die zorgen voor nog meer beveiliging en nog meer gemak voor onze klanten.”