Mag je testen met persoonsgegevens?
Digi is een internet- en televisieprovider in Hongarije. Digi maakt in haar testdatabank gebruik van persoonsgegevens, gekopieerd van haar particuliere klanten. Een ethische hacker wist zich toegang te verschaffen tot deze gegevens, waarop de Hongaarse privacytoezichthouder een onderzoek instelde.
Om zekerheid te krijgen, stelde deze privacytoezichthouder hierover vragen aan het Europese Hof. Het Hof oordeelde dat het testen met persoonsgegevens is toegestaan, zolang de persoonsgegevens na gebruik worden verwijderd uit de testdatabank.
Welke gevolgen heeft deze uitspraak voor het wel of niet testen met persoonsgegevens? We zullen jullie vragen beantwoorden in deze FAQ.
Wat houdt testen in, en waarom zou je willen testen met persoonsgegevens?
Systemen, apps en software moeten regelmatig getest worden, bijvoorbeeld als er een nieuwe functionaliteit in gebruik genomen wordt. Dit kan met fictieve of geanonimiseerde gegevens, maar het kost tijd om die te maken. Vaak wordt er daarom gebruikgemaakt van een databank met ‘echte’ persoonsgegevens.
Wat zegt de Autoriteit Persoonsgegevens (AP) over het testen met persoonsgegevens?
Volgens de AP is het testen met persoonsgegevens niet aan te raden: “Testen is een complex proces, waarvoor zorgvuldigheid en meerdere gescheiden omgevingen nodig zijn. Het testen met persoonsgegevens brengt namelijk risico’s met zich mee. De mensen van wie u persoonsgegevens verwerkt, verwachten niet dat u hun gegevens ook voor testdoeleinden gaat gebruiken. Dat betekent onder meer dat u voor het testen een aparte grondslag moet hebben. Verder is het vaak niet noodzakelijk om te testen met persoonsgegevens, omdat er meestal alternatieven mogelijk zijn. Dat is een van de redenen dat testen met persoonsgegevens moeilijk in overeenstemming te brengen is met de AVG.”
Wat zegt het Europese Hof in de zaak Digi over het testen met persoonsgegevens?
Het Europese Hof geeft aan dat wanneer het testen verenigbaar is met het doeleinde waarvoor de persoonsgegevens zijn verzameld, het testen niet in strijd is met de AVG.
Wanneer is testen dan verenigbaar met dit doeleinde? Dat hangt af van de omstandigheden van het geval. Wordt er bijvoorbeeld getest om de dienst waarvoor de gegevens zijn verzameld, te verbeteren? Dan is dit volgens het Hof verenigbaar met het doeleinde. Want dit zou passen binnen de legitieme verwachtingen van de gebruikers van de dienst.
Welke risico’s zijn er wanneer je test met persoonsgegevens?
Wanneer je werkt met persoonsgegevens moet je bij elke verwerking rekening houden met de AVG. Het is mogelijk dat persoonsgegevens onrechtmatig worden verwerkt en de kans op datalekken neemt toe. Met testdata wordt soms ook onzorgvuldiger omgegaan dan met productiedata.
Welke aandachtspunten zijn er bij het testen met persoonsgegevens?
Het is aan te raden om vooraf een privacy assessment te doen en eventueel zelfs een DPIA (Data Protection Impact Assessment). Dit is een onderzoek dat eventuele privacyrisico’s blootlegt wanneer persoonsgegevens verwerkt worden. Wij kunnen je daarbij helpen.
Persoonsgegevens mogen volgens de AVG alleen verwerkt worden wanneer:
- vooraf is vastgelegd met welk doel de gegevens worden verwerkt en de verdere verwerking (lees: het testen) verenigbaar is met dat doel;
- de verwerking voldoet aan een wettelijke grondslag;
- niet meer persoonsgegevens worden verwerkt worden dan strikt nodig en de persoonsgegevens ook kloppen;
- verantwoording wordt afgelegd tegenover de betrokkenen en de Autoriteit Persoonsgegevens;
- goede beveiligingsmaatregelen zijn getroffen zodat de persoonsgegevens voldoende beveiligd en beschermd zijn.
Daarnaast moet er worden voldaan aan het principe van dataminimalisatie en datakwaliteit. De bewaartermijnen moeten ook worden gehandhaafd.
Wil jij testen met persoonsgegevens?
Wil je het nog eens rustig nalezen? Download dan onze Infographic: Testen met persoonsgegevens
Heb je vragen over het testen met persoonsgegevens? Neem contact met ons op via het contactformulier of stuur een mail naar info@privacycoaches.nl. We denken graag met je mee!