Neem contact op

Persoonsgegevens gebruiken als testdata

05-07-2023

Is het dan toch mogelijk?

Testdata, bijna elke organisatie die software ontwikkeld of dergelijke systemen onderhoudt en gebruikt maakt er gebruik van. In het ideale geval wordt hiervoor gebruik gemaakt van fictieve (dummy) data. Maar is dat nog wel nodig of kunnen we die creatieve data vergeten en gebruik gaan maken van échte persoonsgegevens? Hier zijn prejudiciële vragen over gesteld aan het HvJ-EU (Hof van Justitie van de Europese Unie).

Dummy data zijn niet bestaande, willekeurige gegevens. De reden dat veel organisaties de voorkeur geven aan het testen met echte data is omdat het gebruik van dummy data vaak niet de gewenste uitkomst geeft. Bepaalde uitzonderlijke situaties in de echte data (bijvoorbeeld bijzondere namen) kunnen van belang zijn om mee te nemen in het testen van een systeem voor het oplossen van fouten (bugs). Het gebruik van echte persoonsgegevens bij het testen brengt risico’s met zich mee, zo vergroot dit de kans op een datalek en worden de gegevens voor een ander doel gebruikt dan waarvoor ze aanvankelijk verzameld zijn.

Beveiligingsincident bij Digi

Het HvJ-EU heeft prejudiciële vragen beantwoord over het gebruik van persoonsgegevens als testdata. Deze kwestie kwam aan bod door een beveiligingsincident in een testdatabank bij de grootste internet en televisieprovider van Hongarije, Digi. Deze databank was opgezet voor probleemoplossingsdoeleinden omdat er eerder een technische storing had plaatsgevonden. Een ethische hacker verschafte zich toegang tot deze databank. Na melding hiervan heeft de Hongaarse toezichthouder een onderzoek ingesteld.

Door de persoonsgegevens van klanten in een andere databank te verwerken, verwerkte Digi de gegevens voor een ander doeleinde dan waarvoor deze gegevens aanvankelijk verzameld waren. Van belang is daarbij of de gegevens voor ‘verenigbare doeleinden’ verwerkt worden, oftewel of de persoonsgegevens verder mogen worden verwerkt dan waarvoor deze gegevens eigenlijk zijn verzameld. De vraag die de Hongaarse toezichthouder daarop stelde aan het HvJ-EU was: ‘Is het gebruik van gegevens in een parallelle testdatabank verenigbaar met het eigenlijke doel waarvoor deze gegevens zijn verzameld?’

Wat zegt het HvJ-EU?

Het HvJ-EU bekrachtigd dat persoonsgegevens in het beginsel niet verder verwerkt mogen worden dan het eigenlijke doel waarmee ze verzameld zijn en dat er inderdaad sprake is van een verdere verwerking wanneer de persoonsgegevens in een nieuw opgezette databank worden opgeslagen.

Hierbij geeft het HvJ-EU aan dat er naar de volgende punten gekeken dient te worden:

  1. De verhouding met de betrokkenen (degene van wie de persoonsgegevens zijn), dus kunnen de betrokkenen deze verwerking redelijkerwijs verwachten.
  2. Het soort persoonsgegevens, gaat het bijvoorbeeld om gevoelige of bijzondere gegevens?
  3. De mogelijke gevolgen voor betrokkenen, dus wat zijn de risico’s als het fout gaat.
  4. Het bestaan van eventuele passende waarborgen (maatregelen die ervoor zorgen dat deze verwerking veilig plaatsvindt).

In het geval van Digi maakte bovenstaande punten dat ze mochten testen met echte data. Het was in de zaak Digi het geval dat het herstellen van bestaande fouten concreet verband hield met het uitvoeren van de abonnementsovereenkomsten die de betrokkenen met Digi hadden.

Door het testen konden fouten worden opgelost, waardoor negatieve gevolgen voor de overeenkomen abonnementen werden beperkt. Van belang hierbij is dus wel om op te merken dat Digi testte met de persoonsgegevens van een deel van haar eigen klanten, om ervoor te zorgen dat aan de verplichtingen uit de abonnementsovereenkomsten voldaan kon worden.

Wat zegt de Autoriteit Persoonsgegevens over het gebruik van testdata?

De Nederlandse toezichthouder raadt het gebruik van testdata af vanwege de risico’s. Volgens de Autoriteit Persoonsgegevens (AP) moet het gebruik van echte persoonsgegevens uitvoerig worden onderbouwd, als organisaties willen testen met deze gegevens.

Hieruit blijkt dus ook dat het beginsel van doelbinding zich niet per se verzet tegen het uitvoeren van tests en het herstellen van fouten in een reeds bestaande databank, er dient echter wel, zoals het HvJ-EU al aangaf, sprake te zijn van een concreet verband tussen het uitvoeren van tests en de verhouding die jouw organisatie heeft met degene van wie de persoonsgegevens zijn.

Conclusie

Alvorens je besluit gebruik te maken van echte persoonsgegevens voor testdoeleinden, dien je per geval vast te stellen of dit verenigbaar is met het doel waarvoor deze gegevens in eerste instantie zijn verzameld. Hierbij dient rekening gehouden te worden met de verwachtingen van betrokkenen en de risico’s voor hen. Als organisatie dien je duidelijk vast te leggen waarom het gebruik van dummy data (neppe data) niet toereikend zal zijn.

Ook dient het feit dat je gegevens van betrokkenen gebruikt voor testen kenbaar gemaakt te worden aan betrokkenen in het kader van de transparantieverplichtingen die je hebt. Je dient betrokkenen bij voorkeur in een privacyverklaring te laten weten dat je hun gegevens voor testdoeleinden gaat gebruiken.

Wanneer beargumenteerd kan worden dat de verwerking noodzakelijk is en redelijkerwijs door de betrokkenen verwacht kan worden, neemt dit andere verplichtingen zoals het mogelijk uitvoeren van een DPIA (Data Protection Impact Assessment) niet weg.

Voor het oplossen van bijvoorbeeld een technische storing zal wel een verenigbaar doeleinde te formuleren zijn. Wil je testen met persoonsgegevens voor bijvoorbeeld een nieuwe feature? Dan is de kans groot dat dit niet verenigbaar gaat zijn. Daarnaast dient er door middel van passende waarborgen een hoog beschermingsniveau gewaarborgd te blijven. Tot slot, zo geeft het Hof aan, mogen deze gegevens in het kader van opslagbeperking niet langer bewaard worden dan noodzakelijk.

Hulp nodig?

Heeft jouw organisatie ondersteuning nodig op het gebied van privacy? De professionals van Cuccibu helpen je graag verder! Neem vrijblijvend contact met ons op en vertellen je graag meer over de mogelijkheden.

Reduce Risk, Create Value!

Contact

 

Bronnen: Algemene Verordening Gegevensbescherming, HvJ-Eu nr. C-263/21, Dirkzwager, Europacentraal, Universiteit Twente.

Deel deze pagina! Kies je platform