Software testen met persoonsgegevens?
Het EU-Hof van Justitie heeft in een prejudiciële beslissing geoordeeld dat een verwerkingsverantwoordelijke, onder voorwaarden, software mag testen met persoonsgegevens uit zijn productieomgeving. Deze testgegevens mogen alleen niet langer worden bewaard dan nodig is om de tests uit te voeren en fouten te herstellen.
Persoonsgegevens in een testdatabase vastleggen
Een opvallende uitkomst van een uitspraak van het EU-Hof van Justitie in een prejudiciële beslissing, waarin kort gezegd is geoordeeld dat een verwerkingsverantwoordelijke, onder voorwaarden, software mag testen met persoonsgegevens uit zijn productieomgeving. Het beginsel van doelbinding verzet zich er, naar het oordeel van het EU-Hof, niet tegen dat een verwerkingsverantwoordelijke voor het uitvoeren van tests en het herstellen van fouten persoonsgegevens in een testdatabase vastlegt en opslaat die eerder in een andere database zijn verzameld en worden bewaard. Deze “verdere verwerking” van persoonsgegevens moet wel verenigbaar zijn met de specifieke doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld.
Mag ik testen met persoonsgegevens bij de ontwikkeling van een systeem op applicatie? Testen is een complex proces, waarvoor zorgvuldigheid en meerdere gescheiden omgevingen nodig zijn. Het testen met persoonsgegevens brengt namelijk risico’s met zich mee.
Vragen en Antwoorden, Autoriteit Persoonsgegevens
Prejudiciële vragen over doelbinding en opslagbeperking
Het gaat in deze zaak om een geschil tussen Digi, een aanbieder van internet- en televisiediensten in Hongarije, en de Hongaarse autoriteit voor gegevensbescherming. Digi had naar aanleiding van een technische storing een testomgeving opgezet met daarin een groot deel van de gegevens van haar particuliere klanten. Vervolgens heeft een ethische hacker zich toegang weten te verschaffen tot persoonsgegevens in deze testdatabase. Nadat Digi de testdatabase had gewist, heeft zij de inbreuk gemeld aan de Autoriteit.
De Autoriteit heeft vastgesteld dat Digi in strijd met de AVG heeft gehandeld. Dit doordat Digi de testdatabase na de uitvoering van de nodige tests en de oplossing van de problemen niet onmiddellijk had gewist. Hierdoor zijn een groot aantal persoonsgegevens zonder doel bewaard gebleven. Digi heeft de rechtmatigheid van het besluit van de Autoriteit aangevochten bij de verwijzende rechter. Deze rechter heeft het EU-Hof verzocht om uitlegging van de in de AVG neergelegde beginselen van doelbinding en opslagbeperking (art. 5 lid 1 onder b en e van de AVG).
Verdere verwerking van persoonsgegevens
Het beginsel van de “doelverbinding” is vastgelegd in at. 5 lid 1 onder b AVG. Het EU-Hof stelt vast dat op grond van dit artikel persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verzameld, en dat deze gegevens niet verder op een met die doeleinden onverenigbare wijze mogen worden verwerkt.
Het EU-Hof stelt vast dat Digi de persoonsgegevens heeft verzameld om abonnementen af te sluiten en uit te kunnen voeren. Daarbij is het EU-Hof is van oordeel dat er sprake is van een zogenaamde “verdere verwerking van persoonsgegevens” wanneer een verwerkingsverantwoordelijke in een nieuw opgezette database persoonsgegevens vastlegt en opslaat die eerder in een andere database waren opgeslagen. Of deze “verdere verwerking van persoonsgegevens” verenigbaar is met de doeleinden waarvoor deze gegevens oorspronkelijk zijn verzameld, is volgens het EU-Hof alleen aan de orde wanneer de doeleinden van die verdere verwerking niet hetzelfde zijn als die van de aanvankelijke verzameling.
Om te bepalen of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens eerder zijn verzameld, heeft het EU-Hof een aantal criteria gesteld waarmee rekening gehouden dient te worden. Rekening dient te worden gehouden met: (1) ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking, (2) het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft, (3) de aard van de persoonsgegevens, (4) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen, en (5) het bestaan van passende waarborgen, zowel bij de aanvankelijke verwerking als bij de beoogde verdere verwerking.
Uit de verwijzingsbeslissing blijkt dat Digi de testdatabase heeft opgezet om tests te kunnen uitvoeren en fouten te kunnen herstellen, zodat het aan de verwijzende rechter staat om in het licht van die doeleinden te beoordelen of de verdere verwerking verenigbaar is met de doeleinden van de aanvankelijke verzameling, namelijk het afsluiten en uitvoeren van abonnementsovereenkomsten.
Overweging 43 EU-HOF
Het EU-Hof concludeert dat art 5 lid 1 onder b AVG zo moet worden uitgelegd dat het in deze bepaling bedoelde beginsel van doelbinding zich er niet tegen verzet dat de verwerkingsverantwoordelijke in een voor het uitvoeren van tests en herstellen van fouten opgezette database persoonsgegevens vastlegt en opslaat die eerder in een andere database zijn verzameld en bewaard, wanneer die verdere verwerking verenigbaar is met de specifieke doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld, hetgeen moet worden bepaald aan de hand van de in art. 6 lid 4 van de AVG genoemde criteria.
Beginsel van opslagbeperking van persoonsgegevens
Op grond van art. 5 lid 1 onder e AVG dienen persoonsgegevens te worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de verwezenlijking van de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is. Het EU-Hof komt tot het oordeel dat dit beginsel zich ertegen verzet dat de verwerkingsverantwoordelijke in een voor het uitvoeren van tests en herstellen van fouten opgezette database persoonsgegevens die eerder in een andere database zijn verzameld, langer bewaart dan noodzakelijk is om die tests uit te voeren en die fouten te herstellen.
Software testen met persoonsgegevens; is dat wel zo slim?
Je kunt je afvragen of het wel zo slim is om software te testen met persoonsgegevens. Het testen met dit soort data brengt onnodige risico’s met zich mee.
Het is vaak al helemaal niet noodzakelijk om te testen met persoonsgegevens, omdat er meestal alternatieven mogelijk zijn. De AP geeft op haar site aan dat je dit beter doet met synthetische data of met dummy data.
Het lijkt me dan ook een stuk veiliger en zorgvuldiger om voor testdoeleinden met deze synthetische- of dummy data te werken.
Vragen over Privacykwesties?
Heb je nog vragen over het testen van software met persoonsgegevens of over het privacyrecht in het algemeen, neem dan gerust contact op of lees andere artikelen over dit onderwerp.