Gebruik van echte persoonsgegevens in OTAP-teststraten: biedt het Hof wel voldoende ruimte voor de praktijk?

2 december 2022, laatst geüpdatet 11 september 2024
Het gebruik van echte persoonsgegevens voor testdoeleinden kan risicovol en soms zelfs verboden zijn, zo schreef ik onlangs al. Tegelijkertijd is de praktijk dat veel bedrijven bij de ontwikkeling en onderhoud van IT werken met verschillende omgevingen (OTAP) en dat daarbinnen regelmatig toch met echte data wordt gewerkt. Zijn de strenge regels met de praktijk te verenigen? In deze blog verken ik dit nader.
Mark Jansen 
Mark Jansen 
Advocaat - Associate Partner
In dit artikel

Recente beslissing Hof van Justitie

Onlangs wees het Hof van Justitie een arrest over gebruik van echte persoonsgegevens voor testdoeleinden. Het komt er op neer dat gebruik van persoonsgegevens voor andere doeleinden dan het verzameldoel aan een verenigbaarheidstoets moet onderwerpen en dat persoonsgegevens die voor testen worden gebruikt niet langer mogen worden bewaard dan noodzakelijk voor dat testen. Voor verdere details verwijs ik graag naar de eerdere blog.

De praktijk

In de praktijk wordt in de IT veel gewerkt met de OTAP-werkwijze (of in het Engels: DTAP). Hierbij wordt gewerkt met een afzonderlijke omgeving voor de ontwikkeling, het testen, de acceptatie en de productie. Voordat de software (of een specifieke inrichting daarvan) in de productieomgeving wordt geplaatst, heeft deze dus eerst in die vorm in de ontwikkelomgeving, testomgeving en acceptatieomgeving gestaan.

Aangezien software in de kern altijd wel een bepaalde vorm van dataverwerking met zich brengt, veronderstelt dit ook bijna altijd dat in al die omgevingen ook data staan. En aangezien testen het meest realistisch werkt met echte persoonsgegevens, is de praktijk – zo laat ik me althans vertellen – dat er ook vaak echte persoonsgegevens worden gebruikt.

Gebruik maken van de ruimte die open normen uit privacyrecht biedt

Staat het recente arrest van het Hof van Justitie hier nu aan in de weg? Op het eerste gezicht wellicht wel, maar in tweede instantie valt het wellicht mee.

Het privacyrecht bestaat in de kern uit veel open normen, die dus – binnen kaders, als proportionaliteit en subsidiariteit – zelf kunnen worden ingevuld. Daar zit in feite de oplossing voor deze vraag.

De oplossing: eerder de doeleinden bepalen en kenbaar maken

In de recente kwestie voor het Hof was o.m. de vraag of het verwerkingsdoel wel verenigbaar is met het verzameldoel. Die vraag van verenigbaarheid komt echter helemaal niet op wanneer het verzameldoel wordt verruimd. Anders gezegd: stel op voorhand al vast dat één van de verzameldoelen het testen met persoonsgegevens is en het vereiste van doelbinding is in ieder geval geen beletsel meer.

Eisen aan verzameldoel

Het verzameldoel kan zelf door de organisatie worden bepaald. Het Hof wijst er in het arrest – onder verwijzing naar een eerdere fiscale kwestie – naar dat het verzameldoel aan drie eisen moet voldoen:

  1. de doeleinden moeten uiterlijk bij de verzameling vaststaan;
  2. de doeleinden moeten duidelijk zijn geformuleerd;
  3. de doeleinden van die verwerking waarborgen dat deze gegevens rechtmatig worden verwerkt in de zin van artikel lid 1 AVG (er moet een grondslag zijn).

Het vereiste van duidelijkheid impliceert dat de beschrijving zo helder en volledig is dat ook toetsbaar is of de verwerking rechtmatig is, zo valt af te leiden uit het arrest over die eerdere fiscale kwestie. Die duidelijke informatie zal ook moeten kenbaar worden gemaakt aan de betrokkene (zie ook verderop in de blog).

Grondslag vereist; grondslag en verzameldoel grijpen in elkaar

Het vereiste dat de verwerkingsdoeleinden waarborgen dat de verwerking rechtmatig is in de zin van artikel 6 lid 1 AVG, laat zien dat het vereiste van een rechtmatig verzameldoel en het vereiste van een grondslag enigszins in elkaar gijpen. Er moet immers voor iedere verwerking van persoonsgegevens hoe dan ook een geldige grondslag zijn (evenals een rechtmatig verzameldoel).

Grondslag gerechtvaardigd belang

De enig denkbare grondslag bij het verwerken van persoonsgegevens voor testdoeleinden is de grondslag van het gerechtvaardigd belang. Het is vaste rechtspraak van het Hof van Justitie dat het gerechtvaardigd belang een open norm is die een afweging op basis van de concrete omstandigheden vergt aan de hand van drie stappen (HvJEU Asnef (2011); HvJEU Breyer (2016); HvJEU Rigas (2017); HvJEU FashionID (2019)):

  1. een gerechtvaardigd belang;
  2. noodzakelijkheid;
  3. de voorwaarde dat de fundamentele rechten en vrijheden van betrokkenen niet prevaleren.

Ad. 1. Gerechtvaardigd belang

Op dit moment is door de hoogste bestuursrechter al (impliciet) aangenomen dat voor de vraag of een belang gerechtvaardigd is een negatieve toets is vereist (vrij vertaald: is het belang niet verboden?). De Rechtbank Amsterdam heeft daarna echter aan het Hof o.m. de vraag gesteld of ieder belang gerechtvaardigd kan zijn. Er zit dus nog enige ruis op de lijn hoe we stap 1 moeten interpreteren.

Dat gezegd hebbende zou ik menen dat vrij veilig kan worden aangenomen dat het gebruik van persoonsgegevens voor testdoeleinden in ieder geval aan stap 1 in de driestappentoets voldoet. Zelfs in de hevig bekritiseerde normuitleg van de Autoriteit Persoonsgegevens wordt immers gesteld dat het belang om “computersystemen goed te beveiligen en beschermen” en om “zorgplichten na te komen voor werknemers en/of klanten” in beginsel gerechtvaardigd is. Dat zijn precies de belangen die spelen bij het testen van software.

Ad. 2. Noodzakelijkheid

Bij stap 2 wordt het al iets spannender. Hierbij wordt – aldus letterlijk de ABRvS inzake VoetbalTv – getoetst aan proportionaliteit en subsidiariteit: is de inbreuk voor de betrokkenen in verhouding tot het met de verwerking te dienen doel en kan het doel op een minder voor de betrokkenen nadelige wijze worden bereikt?

Dit betekent in feite dat een organisatie die echte persoonsgegevens wil gebruiken voor testdoeleinden zal moeten onderbouwen wat de noodzaak daarvan is. Dit roept vragen op als:

  • waarom kan er niet met nepdata worden getest?
  • waarom kan er niet met gepseudonimiseerde data worden getest?
  • waarom kan er niet met een beperkte set data worden getest?
  • etc.

Ad. 3. Belangenafweging

In de laatste stap vindt een belangenafweging plaats tussen het belang van de organisatie en dat van de betrokkene. Hoe beter is nagedacht over de noodzakelijkheid, proportionaliteit en subsidiariteit, hoe groter de kans dat de belangenafweging in het voordeel van de organisatie uitvalt.

Hierbij telt ook mee dat het HvJEU in die eerdere kwestie over testdata ook al heeft geoordeeld dat abonnees tot op zekere hoogte ook wel kunnen/mogen verwachten dat er tests plaatsvinden op IT-systemen en dat daarbij hun gegevens worden gebruikt.

Er van uitgaande dat de vragen in stap 2 goed beantwoord kunnen worden, zal het vereiste van een grondslag dus waarschijnlijk wel gehaald worden.

Transparantie over gebruik data voor testdoeleinden

Uit andere regels van de AVG volgt bovendien dat de doeleinden aan betrokkene kenbaar moeten worden gemaakt (vooraf indien de gegevens van betrokkene zijn verkregen of binnen een maand of bij eerste contact indien de gegevens elders zijn verkregen).

De betrokkene moet dus in principe vooraf weten wat er met zijn persoonsgegevens gebeurt. Zo kan betrokkene ook eventueel op voorhand al besluiten zijn gegevens niet af te geven, of gelijktijdig met of vlak na afgifte zijn rechten uit te oefenen (zoals het recht van bezwaar).

In datzelfde artikel staat bovendien dat bij het inroepen van gerechtvaardigde belangen als hiervoor beschreven, die gerechtvaardigde belangen moeten worden vermeld. Met andere woorden: er zal aan betrokkene niet alleen moeten worden uitgelegd dat persoonsgegevens voor testdoeleinden worden gebruikt, maar ook waarom dat gerechtvaardigd is.

Veelal worden privacystatements gebruikt om deze informatie te geven. Die statements moeten dus worden bijgewerkt (inclusief de daarbij horende communicatiecampagne) wanneer uw organisatie ruimte wil creeren voor het gebruik van echte data voor testdoeleinden.

Niet langer bewaren dan noodzakelijk

Nog steeds blijft de eis overeind dat persoonsgegevens niet langer worden bewaard dan noodzakelijk voor de doeleinden waarvoor de gegevens worden verwerkt.

OTAP-straten worden veelal in een continu doorontwikkelproces gebruikt. Dat wil echter niet automatisch zeggen dat het dan (dus) gerechtvaardigd is om de testdata maar steeds eindeloos te blijven hergebruiken en te bewaren. Dit vergt een nadere onderbouwing (die zal deels samenvallen met de toets naar noodzakelijkheid als hiervoor beschreven).

Ter illustratie. Stel dat een fout optreedt in de software bij gebruik van een bepaalde dataset en het vermoeden bestaat dat de inhoud van die dataset wel eens de ‘trigger’ voor de fout in de software kan zijn (bijv. vanwege namen met hele specifieke diakritische tekens of andere exotische inhoud). Dan ligt het m.i. volstrekt voor de hand om die ‘verdachte’ dataset te blijven gebruiken in de OTAP-straat tot het probleem is verholpen.

De vraag is wel of het na het verhelpen van die bug noodzakelijk blijft om die specifieke dataset te blijven bewaren en gebruiken. Wellicht wel, dat sluit ik zeker niet uit. In feite grijpt dit ook weer terug op de vragen omtrent noodzakelijkheid: afhankelijk van de omstandigheden van het geval is al dan niet denkbaar dat gebruik van echte data te rechtvaardigen is. In die afweging zal ook moeten worden nagedacht over de bewaartermijn die daarbij noodzakelijk is.

Verantwoordingsplicht

Naast de transparantie richting betrokkene geldt bovendien de algemene verantwoordingsplicht (artikel 5 lid 2 AVG). Organisaties die persoonsgegevens verwerken moeten dus kunnen verantwoorden dat zij dit rechtmatig doen. Onderdeel van die algehele verantwoording is de verantwoording omtrent het gebruik van testdata.

Kan het simpeler?

Wellicht denkt u na het lezen van het voorgaande wel: “wat een gedoe, kan het simpeler?”.

De veiligste route is wellicht nog wel het inkopen van nepdata.

Ook is het anonimiseren van de echte persoonsgegevens wellicht een optie. Daarvoor gelden weliswaar in feite dezelfde criteria als hiervoor genoemd, alleen valt de belangenafweging e.d. veel ‘lichter’ uit nu slechts de anonimiseringshandeling als zodanig getoetst hoeft te worden en niet het verdere gebruik voor testdoeleinden (want die testdata zijn dan anoniem). Randvoorwaarde is dan wel dat de anonimisering zo goed dat de data echt anoniem zijn. De keerzijde daarvan kan weer zijn dat de data onvoldoende representatief zijn geworden om echt mee te testen.

Pseudonimiseren is niet echt een variant op het voorgaande; pseudonomiseren is veeleer een beveiligingsmaatregel die in overweging kan worden genomen bij o.m. de noodzakelijkheidstoets als hiervoor beschreven. De AVG blijft echter van toepassing op gepseudonimiseerde data.

Ten slotte

Indien goed doordacht uitgevoerd is er dus wel degelijk ruimte om echte persoonsgegevens voor testdoeleinden te gebruiken. Onderschat dat goed doordacht uitvoeren echter niet.

Bovendien kan ik niet genoeg waarschuwen: de kanttekening dat hoe meer kopieën van persoonsgegevens circuleren, hoe groter de kans dat er iets mis gaat blijft natuurlijk evengoed overeind staan.

Bij vragen of opmerkingen verneem ik graag.