Dat het testen met persoonsgegevens uit productie “niet mag” of “alleen in bijzondere gevallen mag” is niet nieuw. Op 1 juli 1989 is de Wet persoonsregistratie (WPR) in werking getreden. Hierin was vastgelegd dat de klant of cliënt van het bedrijf of instelling toestemming moest geven indien de gegevens ook voor andere zaken gebruikt zouden worden.

Sinds 1995 is er de Europese richtlijn voor dataprotectie (95/46/EG) die in 2000 is uitgewerkt in de Nederlandse Wet Bescherming Persoonsgegevens (WPB). De WPB is een vervanging van de Wet persoonsregistratie (WPR) uit 1989.

Ondanks de bestaande regelgeving zien we in de praktijk dat er binnen organisaties nog steeds met regelmaat getest wordt met persoonsgegevens uit productie. Of daarbij altijd goed de afweging wordt gemaakt dat het echt niet anders kan, valt te betwijfelen.

De Europese richtlijn dataprotectie uit 1995 is in mei 2016 vervangen door de General Data Protection Regulation (GDPR). De GDPR is geen richtlijn meer, maar een verordening. In mei 2018 moet iedereen binnen de EU voldoen aan deze nieuwe verordening. Vanaf dat moment vervangt deze verordening alle nationale wetten en dus ook de WBP. In Nederland wordt de GDPR ook wel aangeduid met Algemene Verordening Gegevensbescherming (AVG).

Samenvatting van de GDPR

Met de invoering van de GDPR worden de regels op het gebied van privacy een stuk strenger. Van organisaties wordt verwacht dat zij zichtbaar maken dat zij zorgvuldig omgaan met persoonsgegevens.
Zo moeten organisaties laten zien dat:

1. zij slechts de absoluut minimale set aan persoonsgegevens vastleggen;
2. er een duidelijk doel ten grondslag ligt aan de verwerkte persoonsgegevens;
3. consumenten te allen tijde inzicht hebben in de van hen vastgelegde gegevens;
4. er ondubbelzinnige toestemming is van de betrokken consument om de gegevens te verwerken;
5. deze toestemming op elk moment ingetrokken kan worden;
6. er bij voorkeur getest wordt met gepseudonimiseerde data;
7. de omvang van de gebruikte testset aansluit bij het beoogde doel.

Het niet naleven van de GDPR kan worden bestraft met een sanctie van 4% van de wereldwijde omzet of 20 miljoen euro (de hoogste sanctie geldt).

De mogelijkheid is aanwezig dat organisaties verplicht worden een privacy-impactassessment uit te voeren.

De gestelde regels in de GDPR gelden ook voor persoonsgegevens die buiten de Europese unie zijn opgeslagen of worden verwerkt.

Be Aware

Voor veel organisaties zal de GDPR aanleiding zijn nog eens kritisch te kijken naar hoe zij nu omgaan met persoonsgegevens. Hoe wordt software bijvoorbeeld ontworpen en getest? Worden persoonsgegevens bijvoorbeeld gemaskeerd en wordt er een aparte subset van testdata gebruikt per testsoort? Deze vragen worden steeds relevanter naarmate mei 2018 dichterbij komt.

Gepseudonimiseerde data

In de GDPR wordt het concept “gepseudonimiseerde data” geïntroduceerd als voorkeursoplossing voor het gebruik van persoonsgegevens buiten de productieomgeving.

Let op! Gepseudonimiseerde data is niet hetzelfde als geanonimiseerde data.

In een aantal andere artikelen gaan we kort in op de verschillende genoemde punten uit de GDPR en de impact daarvan op het testen.