Testen met persoonsgegevens mag wel!

blank

Digi is een internet en televisieprovider in Hongarije. Digi maakt in haar testdatabank gebruik van persoonsgegevens, gekopieerd van haar particuliere klanten. Een ethische hacker wist zich toegang te verschaffen tot deze gegevens, waarop de Hongaarse privacy toezichthouder een onderzoek instelde. Om zekerheid te krijgen stelde de Hongaarse privacy toezichthouder vragen aan het Europese Hof, dat oordeelde dat het testen met persoonsgegevens is toegestaan, zolang de persoonsgegevens na gebruik worden verwijderd. Welke gevolgen heeft deze uitspraak voor het wel of niet testen met persoonsgegevens? We zullen jullie vragen proberen te beantwoorden in deze FAQ. 

Wat houdt testen in, en waarom zou je willen testen met persoonsgegevens? 

Systemen, apps en software moeten regelmatig getest worden, bijvoorbeeld als er nieuwe functionaliteit in gebruik genomen gaat worden. Dit kan met fictieve of geanonimiseerde gegevens, maar het kost tijd om die te maken. Vaak wordt er daarom ook gebruik gemaakt van een databank met ‘echte’ persoonsgegevens. 

Wat geeft de Autoriteit Persoonsgegevens aan over het testen met persoonsgegevens? 

Volgens de AP is testen met persoonsgegevens niet aan te raden: 

“Testen is een complex proces, waarvoor zorgvuldigheid en meerdere gescheiden omgevingen nodig zijn. Het testen met persoonsgegevens brengt namelijk risico’s met zich mee. De mensen van wie u persoonsgegevens verwerkt, verwachten niet dat u hun gegevens ook voor testdoeleinden gaat gebruiken. Dat betekent onder meer dat u voor het testen een aparte grondslag moet hebben. Verder is het vaak niet noodzakelijk om te testen met persoonsgegevens, omdat er meestal alternatieven mogelijk zijn. Dat is een van de redenen dat testen met persoonsgegevens moeilijk in overeenstemming te brengen is met de AVG.” 

Wat zegt het Europese Hof in de zaak Digi over het testen met persoonsgegevens? 

Het Europese Hof geeft aan dat wanneer het testen verenigbaar is met het doeleinde waarvoor de persoonsgegevens zijn verzameld, het testen niet in strijd is met de AVG. Wanneer testen verenigbaar is met het doeleinde is hangt af van de omstandigheden van het geval. Wanneer er getest wordt om de dienst waarvoor de gegevens zijn verzameld te verbeteren, is dit volgens het Hof verenigbaar met het doeleinde omdat het zou passen binnen de legitieme verwachtingen van de gebruikers van de dienst.  

Welke risico’s zijn er wanneer je test met persoonsgegevens? 

Wanneer gewerkt wordt met persoonsgegevens zul je bij elke verwerking rekening moeten houden met de AVG. Het is mogelijk dat persoonsgegevens onrechtmatig worden verwerkt en de kans op datalekken neemt toe. Met testdata wordt soms ook onzorgvuldiger omgegaan dan met productiedata. 

Welke aandachtspunten zijn er wanneer er wordt getest met persoonsgegevens? 

Het is aan te raden om vooraf een privacy assessment te doen en eventueel zelfs een DPIA. Een DPIA is een onderzoek dat de eventuele privacy risico’s blootlegt wanneer persoonsgegevens verwerkt worden. Persoonsgegevens mogen volgens de AVG alleen verwerkt worden wanneer: 

  1. vooraf is vastgelegd met welk doel de gegevens worden verwerkt en de verdere verwerking (lees: het testen) verenigbaar is met dat doel; 
  2. de verwerking voldoet aan een wettelijke grondslag 
  3. niet meer persoonsgegevens worden verwerkt worden dan strikt nodig en de persoonsgegevens ook kloppen; 
  4. verantwoording wordt afgelegd tegenover de betrokkenen en de Autoriteit Persoonsgegevens;
  5. goede beveiligingsmaatregelen zijn getroffen zodat de persoonsgegevens voldoende beveiligd en beschermd zijn. 

Daarnaast moet er uiteraard ook worden voldaan aan het principe van dataminimalisatie, datakwaliteit en moeten bewaartermijnen worden gehandhaafd. 

Wil je het nog eens rustig nalezen? Download dan onze FAQ: Testen persoonsgegevens

Naar aanleiding van deze FAQ nog vragen of onduidelijkheden? Neem dan contact met ons op via het contactformulier op onze site of via info@privacycoaches.nl 

Benieuwd wat Privacycoaches
voor jou kan doen?

onderlijn-test

Start typing and press Enter to search