Testdata, bijna elke organisatie die software ontwikkeld of dergelijke systemen onderhoudt en gebruikt maakt er gebruik van. In het ideale geval wordt hiervoor gebruik gemaakt van fictieve (dummy) data. Maar is dat nog wel nodig of kunnen we die creatieve data vergeten en gebruik gaan maken van échte persoonsgegevens? Hier zijn prejudiciële vragen over gesteld aan het HvJ-EU (Hof van Justitie van de Europese Unie).
Dummy data zijn niet bestaande, willekeurige gegevens. De reden dat veel organisaties de voorkeur geven aan het testen met echte data is omdat het gebruik van dummy data vaak niet de gewenste uitkomst geeft. Bepaalde uitzonderlijke situaties in de echte data (bijvoorbeeld bijzondere namen) kunnen van belang zijn om mee te nemen in het testen van een systeem voor het oplossen van fouten (bugs). Het gebruik van echte persoonsgegevens bij het testen brengt risico’s met zich mee, zo vergroot dit de kans op een datalek en worden de gegevens voor een ander doel gebruikt dan waarvoor ze aanvankelijk verzameld zijn.
Het HvJ-EU heeft prejudiciële vragen beantwoord over het gebruik van persoonsgegevens als testdata. Deze kwestie kwam aan bod door een beveiligingsincident in een testdatabank bij de grootste internet en televisieprovider van Hongarije, Digi. Deze databank was opgezet voor probleemoplossingsdoeleinden omdat er eerder een technische storing had plaatsgevonden. Een ethische hacker verschafte zich toegang tot deze databank. Na melding hiervan heeft de Hongaarse toezichthouder een onderzoek ingesteld.
Door de persoonsgegevens van klanten in een andere databank te verwerken, verwerkte Digi de gegevens voor een ander doeleinde dan waarvoor deze gegevens aanvankelijk verzameld waren. Van belang is daarbij of de gegevens voor ‘verenigbare doeleinden’ verwerkt worden, oftewel of de persoonsgegevens verder mogen worden verwerkt dan waarvoor deze gegevens eigenlijk zijn verzameld. De vraag die de Hongaarse toezichthouder daarop stelde aan het HvJ-EU was: ‘Is het gebruik van gegevens in een parallelle testdatabank verenigbaar met het eigenlijke doel waarvoor deze gegevens zijn verzameld?’
Het HvJ-EU bekrachtigd dat persoonsgegevens in het beginsel niet verder verwerkt mogen worden dan het eigenlijke doel waarmee ze verzameld zijn en dat er inderdaad sprake is van een verdere verwerking wanneer de persoonsgegevens in een nieuw opgezette databank worden opgeslagen.
Hierbij geeft het HvJ-EU aan dat er naar de volgende punten gekeken dient te worden:
In het geval van Digi maakte bovenstaande punten dat ze mochten testen met echte data. Het was in de zaak Digi het geval dat het herstellen van bestaande fouten concreet verband hield met het uitvoeren van de abonnementsovereenkomsten die de betrokkenen met Digi hadden.
Door het testen konden fouten worden opgelost, waardoor negatieve gevolgen voor de overeenkomen abonnementen werden beperkt. Van belang hierbij is dus wel om op te merken dat Digi testte met de persoonsgegevens van een deel van haar eigen klanten, om ervoor te zorgen dat aan de verplichtingen uit de abonnementsovereenkomsten voldaan kon worden.
De Nederlandse toezichthouder raadt het gebruik van testdata af vanwege de risico’s. Volgens de Autoriteit Persoonsgegevens (AP) moet het gebruik van echte persoonsgegevens uitvoerig worden onderbouwd, als organisaties willen testen met deze gegevens.
Hieruit blijkt dus ook dat het beginsel van doelbinding zich niet per se verzet tegen het uitvoeren van tests en het herstellen van fouten in een reeds bestaande databank, er dient echter wel, zoals het HvJ-EU al aangaf, sprake te zijn van een concreet verband tussen het uitvoeren van tests en de verhouding die jouw organisatie heeft met degene van wie de persoonsgegevens zijn.
Alvorens je besluit gebruik te maken van echte persoonsgegevens voor testdoeleinden, dien je per geval vast te stellen of dit verenigbaar is met het doel waarvoor deze gegevens in eerste instantie zijn verzameld. Hierbij dient rekening gehouden te worden met de verwachtingen van betrokkenen en de risico’s voor hen. Als organisatie dien je duidelijk vast te leggen waarom het gebruik van dummy data (neppe data) niet toereikend zal zijn.
Ook dient het feit dat je gegevens van betrokkenen gebruikt voor testen kenbaar gemaakt te worden aan betrokkenen in het kader van de transparantieverplichtingen die je hebt. Je dient betrokkenen bij voorkeur in een privacyverklaring te laten weten dat je hun gegevens voor testdoeleinden gaat gebruiken.
Wanneer beargumenteerd kan worden dat de verwerking noodzakelijk is en redelijkerwijs door de betrokkenen verwacht kan worden, neemt dit andere verplichtingen zoals het mogelijk uitvoeren van een DPIA (Data Protection Impact Assessment) niet weg.
Voor het oplossen van bijvoorbeeld een technische storing zal wel een verenigbaar doeleinde te formuleren zijn. Wil je testen met persoonsgegevens voor bijvoorbeeld een nieuwe feature? Dan is de kans groot dat dit niet verenigbaar gaat zijn. Daarnaast dient er door middel van passende waarborgen een hoog beschermingsniveau gewaarborgd te blijven. Tot slot, zo geeft het Hof aan, mogen deze gegevens in het kader van opslagbeperking niet langer bewaard worden dan noodzakelijk.
Heeft jouw organisatie ondersteuning nodig op het gebied van privacy? De professionals van Cuccibu helpen je graag verder! Neem vrijblijvend contact met ons op en vertellen je graag meer over de mogelijkheden.
Reduce Risk, Create Value!
Bronnen: Algemene Verordening Gegevensbescherming, HvJ-Eu nr. C-263/21, Dirkzwager, Europacentraal, Universiteit Twente.