Hmmm … https://www.security.nl/posting/873744/Centric+meldt+diefstal+van+privacygevoelige+gegevens+klant+op+testserver

Hmmm test systemen met live data. What could go wrong. Now we know.

Onbegrijpelijk.. er is zelf officiële test data gratis beschikbaar waarmee overheden kunnen test.. zie https://www.cip-overheid.nl/producten-en-diensten/Testdorp

haha, testen met echte data.. da's als oefenen met live ammo...

Oefendata (of gepseudonimseerde) data levert helaas niet altijd het gewenste resultaat bij het testen.
Werkelijke klantdata zal altijd onvoorspelbaarder en weerbarstiger zijn dat oefendata. En dus fouten in de software vinden die die oefendata niet zien.

En, is er een mogelijk verband van hun overlijden met de gelekte test?
Dat zou onderzocht kunnen worden, analoog, voor de veiligheid.

Goed anonimiseren in een testomgeving zonder database connecties stuk te maken is inderdaad erg lastig, en als dit niet goed doordacht gebeurt levert het veel fase positives op met test werk. Vooral met veel gekoppelde applicaties .

Maar we zien dat het ondanks de uitdagingen een must is, want plenty it leveranciers zitten hier ook in te wroeten.

Dit was ook direct mijn gedachte toen ik dit las.....

Benieuwd hoe dit zit met AVG en doelbinding?? Is er toestemming gegeven om persoonsgegevens te gebruiken om ICT-systemen te testen... Ik verwacht van niet.

Ik ben geen jurist, maar schadeclaim lijkt me kansrijk

Als je de PDF van Amersfoort bekijkt waar het artikel naar linkt kan je lezen dat de testomgeving voornamelijk fictieve persoonsgegevens bevat maar ook bestaande omdat die nodig zouden zijn voor realistische tests. Er zijn van 24 mensen gegevens gelekt, dus die zullen zijn toegevoegd voor die realistische tests, misschien wel aan de dataset waar jij naar verwijst.

Dus wat maakt dat een test niet realistisch zou zijn als gegevens fictief of geanonimiseerd zijn? Toen ik in het verleden als ontwikkelaar werkte heb ik meerdere keren bij gebruikerstests mensen meegemaakt die erg slecht in staat bleken om voor hun bekende situaties nog te overzien als er met fictieve namen en andere identificerende gegevens werd gewerkt. Die kenden concrete gevallen die problematisch waren in het oude systeem op hun duimpje, wat de reden was om die gevallen in de testdata te verwerken, maar als je de identificerende gegevens veranderde waren ze los. Dan konden ze niet meer goed bij al die kennis erover die ze wel degelijk hadden, en dus niet goed testen en oordelen. De concrete identificerende gegevens waren voor hun kennelijk de ingang tot hun eigen kennis. Ik vermoed dat dat erop neerkomt dat die mensen vergaand concreet en nagenoeg niet abstract denken: alles moet aan echte, voor hun herkenbare situaties gekoppeld zijn. En dat zijn wel degenen die het systeem gaan gebruiken en die moeten beoordelen of het voor hun goed werkt.

Als je ze beperkt vindt overkomen: ja, die beperking hebben ze, en ik zelf zou weer bij lange na niet zo foutloos als zij kunnen werken in hun soort werk, want ik denk juist wel in abstracties en voor mij zijn die concrete gevallen voorbeelden van wat voor kan komen. Ik zou makkelijk gevallen door elkaar gaan halen, op een manier die in het bouwen van software niet erg is omdat al die varianten in de programmacode samenkomen, ze moeten tenslotte worden ondersteund, maar in klantcontacten en de bijbehorende administratie zou ik makkelijk fouten maken. Iedereen heeft talenten en beperkingen, en we mogen blij zijn dat we niet allemaal precies dezelfde hebben maar juist enorme divers zijn, daarom kunnen we als samenleving zoveel.

Ik weet niet of wat ik beschreef is wat hier bedoeld wordt, maar het lijkt me zeker een mogelijkheid. En ik weet er geen oplossing voor; wat ik hierboven beschrijf en het gebruik van fictieve of geanonimiseerde testdata zijn twee volkomen legitieme belangen die recht tegenover elkaar staan en waarvan ik niet inzie hoe ze met elkaar te verenigen zijn.

Echte bsns in een test omgeving...

Te stom voor woorden..mogen de getroffenen nu hun bsn wijzigen? Ooh nee dat kan weer niet