Blog
Tips & tricks voor het inrichten van jouw Data Governance
De laatste tijd horen we veel verhalen over datalekken waarbij persoonsgegevens in verkeerde handen vallen. Zo werd dit jaar een groot datalek bij New York Pizza geconstateerd waarbij 3,9 miljoen persoonsgegevens werden gelekt en werd data van mensen die zich hadden ingeschreven voor de nieuwsbrief van NDC Mediagroep buitgemaakt door een stel cybercriminelen. Het wapenen hiertegen blijkt nog altijd een moeilijke uitdaging. Zo krijgen ziekenhuizen sinds kort hulp om datalekken in te perken in de vorm van een speciaal stappenplan voor zorginstellingen: Eerste Hulp bij Datalekken (EHBD). Data governance is een van de middelen die binnen iedere organisatie kan bijdragen aan beschermen van data. Alissa, Mendix Consultant bij Webflight, vertelt in deze blog meer.
Aandacht besteden aan Data Governance heeft veel voordelen binnen organisaties. Naast het transparanter en veiliger maken van je data kun je ook denken aan het voldoen aan wet- en regelgeving. Zo zijn er tal van Europese wetten om het vertrouwen in het delen van data te versterken. De GDPR, General Data Protection Regulation (of AVG) is hier een belangrijk onderdeel van. Het beschermt de rechten van de burger en bevat een stel gemeenschappelijke regels die gevolgd moeten worden voor de bescherming van data. Aan de ene kant moet data worden beschermd om veiligheidsredenen en aan de andere kant zijn processen binnen een applicatie nodig om data te verwerken. Een data governance framework zorgt voor één set van processen en regels die gebruikt worden voor het verzamelen, opslaan en gebruiken van data. Hierbij wordt gedefinieerd wie toegang heeft tot welke data en hoe er moet worden omgegaan met het verkrijgen van die toegang.
Hoe pas je Data Governance toe
Vaak worden grote hoeveelheden data verwerkt in applicaties. Deze verspreiden de data intern en/of extern, naar bijvoorbeeld klanten of medewerkers. Daarom is het belangrijk om data governance als onderwerp mee te nemen tijdens het ontwikkelen van een applicatie. Om ervoor te zorgen dat data governance waarde toevoegt binnen jouw organisatie moet er rekening worden gehouden met een aantal belangrijke vraagstukken.
1. Hoe wordt de kwaliteit van data bewaakt en zijn er risico’s?
Denk hierbij aan het inrichten van databases. Het is belangrijk om te bepalen hoe gegevens worden geregistreerd. De werkwijze moet voor iedereen duidelijk zijn. Zorg ervoor dat de data is opgeschoond en dat dubbele entries zijn verwijderd uit het systeem. Klantinformatie die in verschillende systemen wordt opgeslagen moet zoveel mogelijk dezelfde structuur hebben. Als laatste moet worden bepaald wat de single source of truth is, dus welke database is leidend binnen het IT landschap.
2. Wie is de eigenaar van de data?
Vaak wordt beargumenteerd dat data behoort tot de organisatie in plaats van een individu. De verantwoordelijkheid over een stukje data moet echter worden toegeschreven aan een rol binnen het bedrijf. Zo heb je bijvoorbeeld bij NAW gegevens een eigenaar: de persoon waar de gegevens betrekking op hebben. Daarnaast heb je verwerkers: de mensen binnen bedrijven die iets met data doen. Binnen deze rol heeft een verwerker alleen toegang tot data die voor deze rol relevant is.
3. Wat is de data lineage?
Data lineage betekent dat de levenscyclus van data goed is gedocumenteerd. Veel bedrijven moeten kunnen aantonen dat ze controle hebben van databron tot besluitvorming. Het beschrijft wat er gebeurt met data door de tijd heen. Dit verbetert de betrouwbaarheid, fouten komen namelijk makkelijker aan het licht. Ook kunnen audits efficiënter worden uitgevoerd.
Tips voor Data Governance
Tips voor Data Governance:
Het is belangrijk om aandacht te besteden aan het onderhoudbaar houden van je applicatie, zodat deze kan meegroeien met je bedrijf. Goed onderhoudbare broncode staat hier centraal en draagt direct bij aan de security van de applicatie. Misschien nog wel het belangrijkste is het blijven beveiligen van de applicatie nadat deze live is. Daarom is een plan voor het maken van verbeteringen aan de applicatie belangrijk. Zo voorkom je technical debt.
Gebruikers die geen toegang nodig hebben tot bepaalde gegevens binnen een applicatie, krijgen geen toegang. Dit kan op twee manieren worden gerealiseerd. Allereerst heb je column level security. Denk hierbij aan NAW gegevens die binnen een bedrijf vaak alleen voor HR personeel in te zien zijn. Bij row-level security wordt een deel van diezelfde NAW data bijvoorbeeld afgeschermd op basis van criteria. Zo kan het HR personeelslid alleen gegevens zien van de medewerker waar hij of zij verantwoordelijk voor is.
Zorg voor een veilige login pagina zodat de toegang tot data in jouw applicatie wordt beperkt. Denk hierbij aan bijvoorbeeld het beschikbaar maken van de applicatie alleen voor bepaalde IP-adressen of het gebruik van 2-factor authenticatie.
Zorg dat back-ups van databases nooit zomaar worden verspreid of ergens blijven slingeren. Zorg ook dat hier duidelijke afspraken over worden gemaakt die voor iedereen terug te vinden zijn.
Let op consistent datagebruik. Dit moet door het gehele software ontwikkelproces heen. Let bijvoorbeeld op het gebruik van dezelfde attributen voor hetzelfde doeleinde.
Voer (security) audits uit en laat dit eventueel valideren door een externe partij. Op deze manier krijg je inzicht in de veiligheid van je applicatie én zorg je voor de beveiliging van je data.
Mendix en Data Governance
Gartner voorspelt dat in 2024 ruim 65% van de applicaties wereldwijd zal draaien op een low-code platform. In low-code platform Mendix kun je gemakkelijk een data governance structuur realiseren waarbij er verschillende niveaus van toegang zijn gedefinieerd. Dit kan worden gebruikt om data verspreiding flink te beperken. Naast het transparanter en veiliger maken van data kun je ook denken aan het voldoen aan wet- en regelgeving. Een voorbeeld hiervan zijn de regels omtrent de bewaartermijn van persoonsgegevens. Een juiste implementatie van Data Governance zorgt ervoor dat dataretentie, ofwel het bewaren en archiveren van gegevens per systeem inzichtelijk is.
Bij Webflight werken wij met Mendix waar data governance goed kan worden gewaarborgd. Het gebruik van Mendix kent een aantal voordelen op het gebied van data governance:
In Mendix worden automatisch consistency checks uitgevoerd. Deze check zorgt ervoor dat regels code in de applicatie geen conflicten bevatten. Er wordt bij een dergelijke check bijvoorbeeld gekeken of componenten in de logica van de applicatie wel overeenkomen met het domein model. Dit verkleint onder andere het risico op vervuilde of incorrecte data.
Mendix zorgt ervoor dat bijvoorbeeld aanpassingen in de security, maar ook het downloaden van een database van de applicatie geregistreerd worden. Acties binnen de developer portal zijn dus altijd terug te traceren naar de gebruiker. Er wordt namelijk een uitgebreid logbestand bijgehouden van wijzigingen die zijn gedaan binnen deze developer portal.
Verder worden maandelijks PEN-testen op het Mendix platform uitgevoerd. Hierbij wordt onder andere gekeken naar de Open Web Application Security Project (OWASP) top 10. Dit verkleint het risico op een inbraak in de applicatie.
Met Mendix Data Hub kan data governance nog beter worden gewaarborgd. Data hub zorgt voor het centraliseren van meta-data van verschillende applicaties. Het biedt meer controle door een gestandaardiseerde repository waardoor databronnen beter kunnen worden beschreven, ownership kan worden toegekend, data getagd kan worden voor betere vindbaarheid en het makkelijker wordt zwakke plekken in je datalandschap te ontdekken.
Naast een sterke data governance doet Webflight nog meer om klantdata goed te waarborgen. Zo houden wij tijdens het development proces altijd rekening met richtlijnen betreft software security en hebben we zojuist onze ISO certificering met een jaar verlengd. Zo bouwen wij snel veilige applicaties voor onze klanten, zoals Bloomon, Milieu Service Nederland en EGIS.
Overtuigd van de voordelen van low-code applicaties en gelijk aan de slag met Data Governance? Wij vertellen je graag meer. Bel ons op +31 (0)20 308 0319 of mail naar info@webflight.nl