Sikre testdata for NAV som ivaretar personvern

Gjør test til en fest med syntetiske data som ivaretar sikkerheten til kontaktene.

Behovet 

NAV har et stort behov for å teste datasystemene sine, og det med så reelle data som mulig. NAV har laget testdata en stund, men dette har blitt gjort manuelt og det skalerer ganske dårlig, da dette er en svært tidkrevende jobb. Samtidig gjorde det at løsningen var personavhengig, da det var to personer som lagde disse dataene.

Ved å lage syntetiske testdata kunne NAV bli mindre sårbare. Sammen med sitt interne behov for å effektivisere testdata-prosessen, kom GDPR inn i bildet. NAV så da muligheten til å få flere ressurser til å utvikle en effektiv løsning for å generere syntetiske testdata. 

NAV ønsket å se om det var mulig å populere sitt tjenestebaserte personsystem (TPS) med full-syntetiske data. TPS er NAV sin versjon av folkeregisteret. De hadde behov for å lage data som var statistisk like de originale dataene, men samtidig umulig å spore tilbake til enkeltpersoner. Dette gjør de originale dataene sikrere og testdataene mer virkelighetsnære.

Grunnlaget for dette ønsket var at det er raskere og mer effektivt å bruke syntetiske testdata, enn å bruke kopi av produksjonsdata. I stedet for å bestille testdata fra noen som sitter og lager disse til et formål de ikke er så godt kjent med, kan man nå selv lage disse testdataene eller finne de i Mini-Norge.

Løsningen for å dekke dette behovet var å opprette tre basisløsninger for syntetiske testdata i NAV:

Påvirkning

NAV brukt svært mye tid og ressurser på å opprette testdata tidligere. Nå er denne prosessen blitt drastisk mye raskere, ved at du kan generere opp til 10.000 syntetiske personer på noen få minutter.

I tillegg til denne besparelsen i tid og ressurser er dataene helt sikre og umulig å spore tilbake til enkeltpersoner. På den måten sørges det for at man bevarer personvernet til enkeltpersoner og man kan trygt teste på disse dataene. 

Syntetiske testdata brukes ikke bare i form av systemutvikling og testing, men også for opplæring av saksbehandlere i NAV. Slik kan opplæring skje uten at det må gjennomføres tungvinte sikkerhetstiltak, eller at ekte brukere får brev i posten basert på hva som har skjedd i et treningscenario.