Een vraag die veelvuldig aan ons bij ICTRecht gesteld wordt, is de vraag of ook ‘echte’ persoonsgegevens gebruikt mogen worden voor het testen van nieuwe systemen, apps en software. Want waar het algemeen bekend is dat fictieve gegevens de voorkeur verdienen gelet op de eisen die kleven aan het verwerken van persoonsgegevens, ziet niet iedereen deze fictieve gegevens in alle gevallen als toereikend. Wat doe je dan?
Wat zegt Google?
Een korte zoektocht met onze favoriete zoekmachine levert al gauw uiteenlopende antwoorden op in lijn met: ‘vanaf mei 2018 is het gebruik van persoonsgegevens in testomgevingen geen optie meer’ en ‘het gebruik van testdata mag, maar let wel op de AVG’. Eerlijk, heel veel wijzer worden we er niet van
En de Autoriteit Persoonsgegevens?
Zegt de Autoriteit Persoonsgegevens, onze privacy toezichthouder, hier misschien iets over? Het antwoord is ja, dat doen ze zeker. Op hun informatiepagina over de beveiliging van persoonsgegevens behandelen ze verschillende vragen van organisaties over de beveiliging van hun persoonsgegevens. Een daarvan is de vraag of persoonsgegevens gebruikt mogen worden om informatiesystemen te testen, waarop het antwoord eenvoudig genoeg ‘nee’ is. Verder voegen ze hierover nog toe: “Het testen van informatiesystemen mag alleen met fictieve (verzonnen) gegevens of met persoonsgegevens die weinig risico met zich meebrengen. Dat zijn bijvoorbeeld openbare gegevens, zoals van publieke websites.”
Klaar?
Ik zou hier natuurlijk deze blog kunnen eindigen, waar het niet dat nergens in de AVG expliciet vermeld staat dat persoonsgegevens niet voor dit doel verwerkt mogen worden. Iets wat de verwarring over het onderwerp natuurlijk niet kleiner maakt. En dat terwijl de vraag naar het gebruik van echte persoonsgegevens in bepaalde situaties groot lijkt. Denk hierbij bijvoorbeeld aan het gebruiken van persoonsgegevens wanneer fictieve gegevens niet of zeer moeilijk te (re)produceren zijn, of in situaties waarvoor verwacht wordt dat het gebruik van echte gegevens kan bijdragen aan het gereedmaken van een nieuw systeem kort voorafgaand aan de livegang.
Hoewel in de AVG dus niet expliciet geschreven wordt over het gebruik van persoonsgegevens in testsituaties, werpt de wet op zichzelf natuurlijk wel al enkele hordes op. Zo mogen er niet meer gegevens verwerkt worden dan noodzakelijk is voor het doeleinde waarvoor ze worden verwerkt. En wat betreft dit doeleinde is het belangrijk dat verzamelde gegevens niet verwerkt worden buiten dit vastgestelde doel om.
Er lijkt misschien toch wat mogelijk
En dat is waar het interessant wordt. De AVG zegt dus niet op voorhand nee - waarbij mijn oud-docent Nederlands zou zeggen dat de AVG als wettekst sowieso niets kan zeggen, maar dat terzijde – maar omkadert de boel. Wanneer je deze situatie dus beschouwt in het licht van elke andere verwerking én de AVG, dan kom je allereerst uit op de volgende vraag:
Wat is het doel van de verwerking en is het noodzakelijk dat daarbij persoonsgegevens verwerkt worden? Met andere woorden: kun je het doel ook bereiken zonder persoonsgegevens te verwerken? En bij testen is dat vaak wel zo, alleen ligt dat soms wat lastiger en/of is het financieel op voorhand mogelijk wat minder aantrekkelijk.
Er zijn echter situaties te bedenken waar die noodzakelijkheid er wel is. Bijvoorbeeld wanneer een koppeling gemaakt dient te worden met andere systemen die al werkend zijn, en de koppeling niet slaagt wanneer hier geen ‘realistische’ gegevens voor gebruikt worden. Stelregel blijft echter wel dat in 9/10 gevallen deze noodzakelijkheid maar moeilijk beargumenteerd kan worden en al helemaal wanneer de Autoriteit Persoonsgegevens de toehoorder is van deze argumentatie.
Wees je bewust van de aandachtspunten hierbij
Wanneer je dan toch besloten hebt dat het echt noodzakelijk is om persoonsgegevens te gebruiken ten behoeve van het testen van een nieuw systeem, dan zal je je nog eens achter de oren moeten krabben of het ook echt wenselijk is. Immers, het verwerken van geanonimiseerde testgegevens is mogelijk stukken aantrekkelijker, gezien hier geen persoonsgegevens mee verwerkt worden (goh...) en het daarmee ook niet onder de AVG valt. Dat scheelt je in potentie zo’n 99 artikelen om rekening mee te houden tijdens het testen.
Nog niet afgeschrikt? Kijk dan even naar het lijstje met aandachtspunten wanneer je hier toch besluit mee aan de slag te gaan:
- Een DPIA (Data Protection Impact Assessment) is aan te raden. Hiermee kijk je naar de risico’s die er kleven aan het testen en kun je direct ook je nieuwe systeem een check geven. Handig naslagwerk voor als de Autoriteit Persoonsgegevens toch nog even komt informeren.
- Schenk veel aandacht aan passende beveiligingsmaatregelen. Met name in testomgevingen liggen datalekken op de loer. Om dat te voorkomen en onder het vergrootglas te komen te liggen, is het essentieel dat de beveiliging van je systeem op orde is en extra aandacht wordt besteed aan de beveiliging tijdens de testfase.
- Minimaliseer de hoeveelheid gegevens. Blijf je dus altijd afvragen of het testen niet met minder persoonsgegevens kan, als het al moet.
- Informeer! Net zoals bij andere toepassingen van persoonsgegevens dienen betrokkenen op de hoogte te zijn van wat er met hun gegevens gebeurt.
- Kijk goed naar het doel waarvoor je gaat testen. Test de gegevens enkel voor doeleinden die samenhangen met de reden waarvoor je de gegevens in eerste instantie hebt verzameld. Het gebruiken van persoonsgegevens voor tests met ‘systeem Y’, maar welke verzameld zijn voor ‘systeem X’, kan moeilijk zijn. Al helemaal wanneer deze systemen weinig met elkaar te maken hebben en de betrokkenen niet gebaat zijn bij een goed lopend ‘systeem Y’.
- Denk na over het gerechtvaardigd belang dat je hebt bij het verwerken van echte persoonsgegevens. Onderbouw dit belang en documenteer dit.
Zo, genoeg om over na te denken dus. Wij bij ICTRecht denken hier uiteraard graag praktisch met je over mee.
