Ongeteste software is waardeloos – dat is een waarheid als een koe. Vooral in het geval van verdere ontwikkelingen of bugfixes in productieve omgevingen is niet alleen testen onmisbaar, maar moet er vooral met echte gegevens worden gewerkt.
De klassieker is een verder ontwikkeld klantondersteuningssysteem waarnaar moet worden overgeschakeld. In de regel worden de eerste testruns uitgevoerd met bestaande klantgegevensrecords (in uittreksels). Maar is dit toegestaan volgens de wet op de gegevensbescherming? Deze vraag was tot nu toe controversieel, maar is nu door het Hof van Justitie van de EU – tamelijk bevredigend – in grote lijnen beantwoord.
Doelbeperking vormt geen belemmering voor het testen van echte gegevens
Het kernprobleem kan worden teruggebracht tot de zogenaamde doelbinding waarin Art. 5 para. 1 lit. b GDPR voorziet. Deze doelbinding, die algemeen is voorzien in de wetgeving inzake gegevensbescherming, bevat twee vereisten, één met betrekking tot de doeleinden van de oorspronkelijke verzameling van de persoonsgegevens en één met betrekking tot de verdere verwerking van deze gegevens:
- Op het moment dat de persoonsgegevens voor het eerst worden verzameld, moet ervoor worden gezorgd dat ze voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. Met de jurisprudentie van het Hof van Justitie moet dit zo worden begrepen dat de doeleinden van de verwerking uiterlijk op het moment van het verzamelen van de persoonsgegevens moeten worden bepaald, dat de doeleinden van deze verwerking duidelijk moeten worden aangegeven en dat de doeleinden van deze verwerking in het bijzonder de rechtmatigheid van de verwerking van de betrokken gegevens in de zin van Art. 6 para. 1 van Verordening 2016/679 moeten waarborgen;
- In het geval van verdere verwerking wordt ervoor gezorgd dat de persoonsgegevens niet verder worden verwerkt op een manier die onverenigbaar is met de doeleinden van de oorspronkelijke verwerking.
Het EHJ stelt eerst dat er sprake is van “verdere verwerking” van persoonsgegevens als de voor de verwerking verantwoordelijke persoonsgegevens die in een andere database waren opgeslagen, verzamelt en opslaat in een nieuw opgezette database. Dit is niet verwonderlijk gezien de ruime interpretatie van “verdere verwerking” – maar: Art. 5 para. 1 lit. b GDPR specificeert niet onder welke voorwaarden verdere verwerking van persoonsgegevens moet worden beschouwd als verenigbaar met de doeleinden van de oorspronkelijke verzameling van de gegevens. Dit is waar het EHJ om de hoek komt kijken.
Het Hof van Justitie van de EU geeft geen algemeen, gestandaardiseerd antwoord, maar specificeert criteria die rechtbanken moeten onderzoeken, zodat het van het individuele geval afhangt, maar er is geen fundamentele niet-ontvankelijkheid. De cumulatieve criteria die in individuele gevallen moeten worden onderzocht, zijn:
- Of er een verband bestaat tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld en de doeleinden van de beoogde verdere verwerking;
- De context waarin de persoonsgegevens zijn verzameld, in het bijzonder de relatie tussen de betrokkenen en de voor de verwerking verantwoordelijke;
- Om wat voor soort persoonlijke gegevens gaat het?
- Wat de gevolgen van de beoogde verdere verwerking zijn voor de betrokkenen;
- Of er passende waarborgen bestaan voor zowel de oorspronkelijke als de beoogde verdere verwerking.
Daarbij benadrukt het Hof uitdrukkelijk dat het uitvoeren van tests en het herstellen van fouten in een databank met klantgegevens concreet verband houden met de uitvoering van met klanten gesloten overeenkomsten, aangezien dergelijke fouten nadelige gevolgen kunnen hebben voor de levering van de contractueel overeengekomen dienst waarvoor de gegevens oorspronkelijk waren verzameld. En besluit dan met het antwoord dat
het … beginsel van “doelbinding” staat er niet aan in de weg dat de voor de verwerking verantwoordelijke persoonsgegevens die eerder zijn verzameld en opgeslagen in een andere databank, verzamelt en opslaat in een databank die is opgezet voor test- en foutcorrectiedoeleinden, indien die verdere verwerking verenigbaar is met de specifieke doeleinden waarvoor de persoonsgegevens oorspronkelijk zijn verzameld, hetgeen moet worden beoordeeld aan de hand van de in artikel 6, lid 4, van die verordening genoemde criteria en alle omstandigheden van het geval.het … beginsel van “doelbinding” staat er niet aan in de weg dat de voor de verwerking verantwoordelijke persoonsgegevens die eerder zijn verzameld en opgeslagen in een andere databank, verzamelt en opslaat in een databank die is opgezet voor test- en foutcorrectiedoeleinden, indien die verdere verwerking verenigbaar is met de specifieke doeleinden waarvoor de persoonsgegevens oorspronkelijk zijn verzameld, hetgeen moet worden beoordeeld aan de hand van de in artikel 6, lid 4, van die verordening genoemde criteria en alle omstandigheden van het geval.
Geen onbeperkt gebruik
Tegelijkertijd benadrukt het HvJ echter dat het beginsel van “beperking van de opslag” zich ertegen verzet dat de voor de verwerking verantwoordelijke persoonsgegevens die eerder voor andere doeleinden zijn verzameld, langer dan noodzakelijk is voor het uitvoeren van die tests en het corrigeren van die fouten, opslaat in een databank die is opgezet voor test- en foutcorrectiedoeleinden ( Art. 5 para. 1 lit. e GDPR).
Conclusie: Testdoeleinden ja, maar controleer en implementeer netjes in individuele gevallen
Om het positief uit te drukken: Het gebruik van echte gegevens binnen hetzelfde bedrijf voor de verdere ontwikkeling of het oplossen van problemen van systemen die rechtstreeks verband houden met deze gegevens zal niet langer aan fundamentele bezwaren kunnen voldoen.
Maar: in individuele gevallen zal men nog steeds moeten controleren, in het bijzonder een gegevensbeschermingseffectbeoordeling uitvoeren – en zowel de opslagperiode als de opslagomvang in de gaten houden. Dit is al voor zelfbescherming, omdat testsystemen al een bepaald fragmentarisch karakter hebben – zoals in dit geval ook is gebleken:Maar: in individuele gevallen zal men nog steeds moeten controleren, in het bijzonder een gegevensbeschermingseffectbeoordeling uitvoeren – en zowel de opslagperiode als de opslagomvang in de gaten houden. Dit is al voor zelfbescherming, omdat testsystemen al een bepaald fragmentarisch karakter hebben – zoals in dit geval ook is gebleken:
Op 23 september 2019 vernam D. dat een “ethische hacker” zich toegang had verschaft tot door haar opgeslagen persoonsgegevens van ongeveer 322.000 personen. Deze “ethische hacker” stelde haar hier zelf van op de hoogte en stuurde haar een entry uit de testdatabase als bewijs. D. repareerde de bug die deze toegang mogelijk had gemaakt en sloot een geheimhoudingsovereenkomst met de hacker en kende hem een beloning toe. Nadat ze de testdatabase had verwijderd, meldde D. de inbreuk op de persoonsgegevens op 25 september 2019 bij de autoriteit, die vervolgens een onderzoek instelde.
Juist zo’n incident onderstreept uitstekend waarom je niet per se een probleem hebt met het gebruik van echte gegevens voor testdoeleinden – maar de opslagperiode en -omvang zijn van eminent belang.
Daarom: Testen ja, maar de testomgeving is ook onderworpen aan spelregels en (tot verwijdering) continue controle.Daarom: Testen ja, maar de testomgeving is ook onderworpen aan spelregels en (tot verwijdering) continue controle.
- Mededingingsrecht en Terugnameplicht voor Oude Elektronische Apparaten in Duitsland - oktober 19, 2024
- Contract voor de latere installatie van een geleverde batterijopslagsysteem doorgaans wordt geclassificeerd als een koopovereenkomst met installatieverplichting - oktober 19, 2024
- Waarschuwingsbrieven mogelijk in Duitsland: schending gegevensbescherming kan worden vervolgd door concurrenten - oktober 13, 2024