Is testen met persoonsgegevens nou verboden of niet? Als je de nuances weglaat, dan is feitelijk het antwoord: “nee, dat is niet verboden”. Dit antwoord is te vinden bij de autoriteit persoonsgegevens. Zij stellen dat testen met persoonsgegevens niet aan te raden is, maar dus niet verboden. Onder welke voorwaarden mag het dan? De AP stelt dat er om te beginnen een aparte grondslag voor moet zijn. En dat verbaast me.
Waarom zou er een aparte grondslag nodig zijn voor het testen? Wellicht als je iets geheel anders wilt gaan doen met de gegevens, ja. Maar in de meeste gevallen wil je eenvoudigweg testen of de primaire verwerking geheel correct verloopt, dat daarbij geen fouten gemaakt worden die de belangen van de betrokkene schaden. Het testen is moeilijk te zien als de gegevens gebruiken voor een ander doel. De behoefte om te testen is juist onlosmakelijk verbonden aan het primaire doel. Dat zit hem in het woord “testen”, je test “iets”. En dat “iets” is de oorspronkelijke verwerking.
Veiligheid van de verwerking
Overweging 49 uit de AVG komt ons hier tegemoet. Daar wordt gesteld dat testen van de veiligheid van de verwerking een gerechtvaardigd belang kan zijn van de verwerkingsverantwoordelijke. De overweging spreekt hier vooral van het testen van de beveiliging van de persoonsgegevens voor inbreuken van buitenaf. Grappig is dat voor het testen van de beveiliging eigenlijk nooit productiegegevens nodig zijn omdat je simpelweg Micky Mouse kan opvoeren als dossier en dan los kunt gaan met het testen van de beveiliging.
De wens om te testen met echte gegevens is gelegen in de borging van een correcte verwerking. Worden uitkeringen bijvoorbeeld correct berekend? Vaak heb je veel productie-like gegevens nodig om de variatie in gevallen die in de echte wereld voorkomt zo goed mogelijk te treffen. Niet altijd is het haalbaar om die testgegevens te creëren.
Overweging 49 geeft ons de hoop dat niet alleen security-tests, maar ook tests op correcte integere verwerking een gerechtvaardigd belang van de verwerkingsverantwoordelijke kan zijn. Nu wil ik niet een gegeven paard in de bek kijken, maar het testen dient eigenlijk niet het gerechtvaardigd belang van de verwerkingsverantwoordelijke, maar nog steeds uitsluitend het doel van de primaire verwerking. Die ben je namelijk aan het testen. Het testen van een verwerking zou onder dezelfde grondslag moeten vallen.
Testen
Het begrip testen in deze discussie verdient ook een verduidelijking. Over welke testen hebben we het? Stel, ik behandel aanvragen van klanten met ingewikkeld cijfermateriaal. Ik krijg van een leverancier een handig tooltje waarmee ik de ingewikkelde berekeningen kan uitvoeren. Ik pak een aantal van mijn dossiers en probeer het tool eens uit en controleer of de uitkomst overeenkomt met mijn handmatige afhandeling. Ik ben dan aan het testen met echte persoonsgegevens en ook nog eens in productie! Iedereen zal echter begrijpen dat hier geen probleem mee is.
Beveiligingsregime
De crux in deze discussie is dus niet het testen. Het gaat er om waar er getest wordt en door wie. We verlaten de sfeer van de grondslag en komen in de sfeer van de dataminimalisatie en afscherming. Ontstaan er grotere risico’s omdat nu ook niet-geautoriseerden, ontwikkelaars bijvoorbeeld, toegang krijgen tot de gegevens? Dat zijn terechte zorgen. Vaak zullen functionele acceptatietesten uitgevoerd worden door acceptatietesters die zelf ook gevalsbehandeling doen; die al toegang hebben tot de gegevens in productie. Als de acceptatieomgeving hetzelfde beveiligingsregime heeft als de productie is heel goed te verdedigen dat testen in acceptatie is toegestaan.
In het onwaarschijnlijke geval dat deze vraag voor een rechter komt, zal makkelijk onderbouwd kunnen worden dat het testen volledig valt onder het primaire doel van de verwerking. Dat er een gerechtvaardigd belang is van de verwerkingsverantwoordelijke maar ook van de betrokkene wiens gegevens verwerkt worden. Onderbouw daarbij tevens dat het te bewerkelijk en duur is om testdata te creëren. Ik zie uit naar de rechtszaak waarin dit bevestigd of ontkracht zal worden. Het zal wel even duren.
