IBM en Rabobank testen cryptografische pseudoniemen op klantdata

IBM en Rabobank werken samen aan het toepassen van cryptografische pseudoniemen op klantgegevens. Met het desensibiliseren van data kan de bank zo reëel mogelijke klantgegevens gebruiken bij de ontwikkeling van nieuwe innovatieve technologieën en diensten, zoals mobiele apps en betalingssystemen, en voldoet zij aan de eisen van nieuwe privacyregelgeving in de EU (GDPR).
 
Vanaf 25 mei brengt de Algemene Verordening Gegevensbescherming (of General Data Protection Regulation) een geharmoniseerd rechtskader tot stand voor gegevensbescherming in de hele EU. Dit rechtskader heeft als doel burgers de controle over hun persoonlijke gegevens te geven. Het legt tegelijkertijd strikte regels op aan wie deze gegevens beheert, verplaatst, of verwerkt.
 
Veiligheid en gebruiksgemak
In een project met IBM heeft de Rabobank tientallen terabytes aan gevoelige klantgegevens gedesensibiliseerd, inclusief namen, geboortedata en rekeningnummers, naar een pseudonieme voorstelling. Dit betekent dat de gegevens echt lijken en zich ook gedragen als echte data, maar geen echte persoonsgegevens zijn.
“Het is van cruciaal belang voor de Rabobank om tijdens de testfase gegevens te gebruiken die zo dicht mogelijk bij de productie liggen, zodat we zeker zijn dat onze diensten goed functioneren als we live gaan”, zegt Peter Claassen, delivery manager radical automation bij Rabobank. “Nu het mogelijk is om te testen met gepseudonimiseerde data zullen nieuwe innovaties nog meer veiligheid en gebruiksgemak bieden voor onze klanten.”
 
Pseudonimisatie verbetert de privacy door de meest identificeerbare velden in een gegevensbank te vervangen door kunstmatige identiteiten of pseudoniemen, bijvoorbeeld door echte namen te vervangen door fictieve namen. Daarbij worden de gegevens met het oog op GDPR zodanig verwerkt dat ze zonder bijkomende informatie niet langer kunnen worden toegeschreven aan een specifieke betrokkene. Zonder pseudonimisatie kunnen geboortedatum en thuisadres volstaan om de identiteit van die persoon vrij te geven.
 
Ondoordringbare hash-waarden
Volgens cryptograaf Michael Osborne bij IBM Research kan IBM’s analytics software gecombineerd met IBM’s desensibilisatiesoftware gegevens pseudonimiseren door ze om te zetten naar individuele hash-waarden die volledig ondoordringbaar zijn, zelfs in de verre toekomst voor een foutentolerante quantum computer. “Het resultaat van dit onderzoek is commercieel beschikbaar om overal ter wereld en in alle industriesectoren aan privacyregelgeving te voldoen.”
 
Rabobank en IBM Services hebben het afgelopen jaar samengewerkt aan dit project. Meerdere belangrijke applicaties en platforms zijn al gepseudonimiseerd, inclusief de huidige bankrekening- en spaarsystemen op mainframe, UNIX, Tandem en Windows platformen.