2min

Rabobank kondigt een samenwerking met IBM aan, waarbij er cryptografische pseudoniemen gebruikt worden om klantendata aan de General Data Protection Regulation (GDPR) te laten voldoen. Dankzij pseudonimisatie verbetert de privacy door de meest identificeerbare velden in een gegevensbank te vervangen door kunstmatige identiteiten of pseudoniemen.

Dit resulteert bijvoorbeeld in het vervangen van echte namen door fictieve namen. Daarbij worden de gegevens met het oog op GDPR zodanig verwerkt dat ze zonder bijkomende informatie niet langer toe te schrijven zijn aan een specifieke betrokkene. Zonder pseudonimisatie kunnen geboortedatum en thuisadres genoeg zijn om de identiteit van de persoon vrij te geven.

Testfase

In het project met IBM heeft de Raboobank tientallen terabytes aan gevoelige klantgegevens gedesensibiliseerd, inclusief namen, geboortedata en rekeningnummers, naar een pseudonieme voorstelling. De gegevens lijken in dat geval echt en gedragen zich ook als echte data, maar zijn in werkelijkheid geen echte persoonsgegevens. De Rabobank verwacht dat de testfase leidt tot het goed functioneren van de diensten als ze live gaan en dat nieuwe innovaties nog meer veiligheid en gebruiksgemak bieden.

Michael Osborne, cryptograaf bij IBM Research, legt uit dat de analytics software van Big Blue in combinatie met de desensibilisatie-software gegevens kan pseudonimiseren. Dat gebeurt door ze om te zetten naar individuele hash-waarden die volledig ondoordringbaar zijn, zelfs in de verre toekomst voor een foutentolerante quantum computer. Het resultaat van dit onderzoek is overigens beschikbaar om overal ter wereld en in alle industriesectoren aan privacy-regelgeving te voldoen.

De twee partijen werkten de afgelopen jaren samen aan dit project. Meerdere applicaties en platforms zijn al gepseudonimiseerd, waaronder de huidige bankrekening- en spaarsystemen op mainframe, UNIX, Tandem en Windows-platformen.