Wanneer software of een applicatie wordt ontwikkeld, dan voert een organisatie logischerwijs allerlei tests uit. Voor grote applicaties kan het testen gemiddeld wel 50 procent van de volledige ontwikkeltijd in beslag nemen. Op een gegeven moment wordt het systeem gevuld met data. En dan bedoelen we geen dummy data, maar daadwerkelijke klantgegevens. Persoonsgegevens dus. Denk aan naam, adres- en contactgegevens, wellicht een geboortedatum of bestelhistorie. Maar kan dat zomaar?
Tekst: Ruben van der Geest en Sanne van Esterik
Inzet van persoonsgegevens in de testfase
Het gebruik van persoonsgegevens bij het testen van software of applicaties is een ingewikkeld, maar interessant vraagstuk. De Autoriteit Persoonsgegevens (AP) raadt het testen met persoonsgegevens bij de ontwikkeling van een systeem of applicatie niet aan. Het brengt namelijk risico’s met zich mee, zoals de mogelijkheid van een datalek. In oktober 2022 heeft het Europese Hof van Justitie (het Hof) bepaald dat het in sommige gevallen en onder bepaalde voorwaarden wél is toegestaan software te testen met persoonsgegevens uit een al bestaande database. Volgens het Hof zijn twee beginselen uit de Algemene verordening gegevensbescherming (AVG) hierbij van belang. Dit zijn de beginselen van doelbinding en opslagbeperking.
Het doel van het testen met persoonsgegevens
Bij het testen met persoonsgegevens worden die gegevens verwerkt in een testomgeving. Vaak worden ze opgeslagen in een aparte testdatabank. Daardoor is er sprake van een zogenoemde verdere verwerking. Op basis van het doelbindingsbeginsel moet beoordeeld worden of het doel van het testen met persoonsgegevens verenigbaar is met het doel van de oorspronkelijke verzameling van de persoonsgegevens. Het doel van het testen met persoonsgegevens is (meestal) niet hetzelfde als het doel van de oorspronkelijke verzameling van de persoonsgegevens. Denk bijvoorbeeld aan het versturen van een nieuwsbrief, waarvoor het e-mailadres is verkregen. Of het verkrijgen van de naam, adresgegevens en financiële gegevens om een bestelling af te handelen. Het testen dient het systeem te verbeteren of repareren en heeft dus een ander doel.
Volgens het Hof kunnen de twee doelen concreet verband houden, en dus verenigbaar zijn, wanneer fouten in de software negatieve gevolgen kunnen hebben ten aanzien van de online verkoop van een product of dienst waarvoor de gegevens in eerste instantie zijn verzameld. Het is van belang dat daarbij wel wordt nagegaan of (een deel van) de gegevens bijzondere persoonsgegevens zijn. Ook moet worden bekeken in hoeverre de verdere verwerking schadelijke gevolgen voor de betrokkene zou kunnen hebben. Tot slot is het van belang dat er passende waarborgen zijn en dat de persoonsgegevens veilig gebruikt en opgeslagen worden bij het testen.
Het Hof geeft ons met zijn uitspraak een goed voorbeeld waarin de doelen concreet verband met elkaar houden. De situatie die volgt uit de uitspraak is als volgt: persoonsgegevens van klanten zijn oorspronkelijk verzameld om een aankoop te doen en de bestelling vervolgens te kunnen leveren. Als deze persoonsgegevens daarna worden opgeslagen in een testdatabank om tests te kunnen uitvoeren en fouten te kunnen herstellen ter verbetering van die dienst, is dit een verdere verwerking met een ander doel. Er is in dit voorbeeld echter voldaan aan het beginsel van doelbinding, aangezien het testen en herstellen van fouten in de software bijdragen aan het optimaal uitvoeren van de dienst.
Testen met persoonsgegevens en opslagbeperking
Naast doelbinding is ook het beginsel van opslagbeperking van belang bij het vraagstuk. De persoonsgegevens in een testdatabank mogen niet langer bewaard worden dan noodzakelijk is om die tests uit te voeren en fouten te herstellen. De gegevens moeten worden verwijderd wanneer de doeleinden van de tests zijn bereikt. Stel dat, na de uitvoering van de tests en het herstellen van de fouten, de in de testdatabank opgeslagen persoonsgegevens niet zijn verwijderd als gevolg van onoplettendheid, dan is er niet voldaan aan het beginsel van opslagbeperking en is het testen met persoonsgegevens niet (meer) in lijn met de AVG.
Conclusie
Het testen met persoonsgegevens mag als aan het beginsel van doelbinding en opslagbeperking wordt voldaan. Daarnaast mag je de andere beginselen uit de AVG niet vergeten. Denk bijvoorbeeld aan dataminimalisatie. Is het wel nodig om alle gegevens in de originele vorm te verwerken? Pas bijvoorbeeld een naam en adresgegevens aan, en maak daar pseudonieme gegevens van.
Wanneer het gaat om het testen met persoonsgegevens ten behoeve van verbetering van de dienst waarvoor die gegevens zijn verkregen, kan het weliswaar toegestaan zijn om te testen met persoonsgegevens, maar dat neemt niet weg dat er bepaalde waarborgen nodig zijn en een verwerkingsverantwoordelijke. Daarbij is goede beveiliging van belang en dus ook het beginsel van integriteit en vertrouwelijkheid.
Ruben van der Geest is juridisch adviseur en Sanne van Esterik is legal assistant bij ICTRecht.
Helder verwoord. Graag zou ik er nog aan toevoegen dat het testen qua dataset ook opgebouwd kan worden; klein beginnen en stapsgewijs uitbouwen (i.r.t. dataminimdlisatie en ook datakwaliteit (kuisheid)).
Kuisheid = Juistheid!