‹ Tilbake til artikler
Jeg har lest artikler og fulgt noen foredrag hvor folk har påstått at ny personvernforordning (GDPR) forbyr bruk av personopplysninger i forbindelse med testing. Resonnementet har vært at man samler inn opplysningene til et visst formål (eksempelvis for å levere en tjeneste) og bruk av de samme opplysningene til testing ikke er forenlig med dette formålet. Påstandene er videre at ettersom bruk av ekte personopplysninger til testing er “ulovlig”, så kan man få massevis av millioner euro i bot når ny forordning er innført. Jeg vet ikke hva eller hvem som er kilden for denne kunnskapen eller fortolkningen av loven/GDPR, men jeg synes det høres helt feil ut.
Det er ikke, så vidt jeg kan lese, et eksplisitt forbud mot å bruke personopplysninger til testing i GDPR. Dette gjør at man må vurdere bruken av personopplysninger på helt vanlig måte, dvs
- har vi et behov vi kan formulere (formål) og har vi en hjemmel
- klarer vi å avgrense/definere opplysningene vi trenger for å nå målet.
Hvis ja på 1 og 2 så handler videre prosess om å risikovurdere og sikre, i tillegg til vanlige regler for sletting etter formålet er oppnådd osv.
Et informasjonsbehandlingssystem har et livsløp, dvs fra idè/design, via utvikling og test til drift (og etterhvert avvikling). Dersom systemet benyttes til å prosessere personopplysninger, må man sikre det etter behov, dokumentere automatiserte beslutningsprosesser, samt sørge for riktig input/output dersom det inngår i en behandlingskjede.
For å kunne sikre at systemet understøtter dette, er man avhengig av tilstrekkelig testing. Et godt prinsipp ved testing er å teste med så reelle data som mulig, noe som utløser et ønske om å benytte datasett fra produksjonsmiljø. Det vil si ekte personopplysninger.
God testing krever planlegging, samt at man må forstå datasettet for å kunne vurdere resultatene fra testingen. Videre ønsker man ikke å ha inn mer data enn det man ønsker å teste for. Bruk av personopplysninger som testdata gjøres dermed for å sikre korrekt prosessering (å levere på formålet med innsamling) og omfanget kan avgrenses.
Basert på dette tenker jeg at både punkt 1 og 2 ovenfor er oppfylt. Bruk av personopplysninger er dermed mulig å gjøre innenfor opprinnelig formål med innsamling. Har man for eksempel samlet inn personopplysninger for å tilby et abonnement og man skifter ut/gjør større oppgradering av abonnementsystemet, er det innenfor formålet å bruke abonnementsopplysningene til å teste. Så kan det være andre tilfeller hvor konklusjonen blir annerledes, eksempelvis i forbindelse med helt ny/annerledes funksjonalitet, men det går jeg ikke i dybden på her.
Sikring av opplysninger
Nå har jeg argumentert for at det er OK å bruke personopplysninger som testdata, men det er jo ikke ferdig her. Man må vurdere hvordan de skal sikres, det må baseres på en risikovurdering. Her kan man komme til at det er så krevende å sikre testdata tilstrekkelig (datasettet er så sensitivt og/eller testmiljøet er usikkert) at man finner at det er enklest å avidentifisere opplysningene, dvs slik at de ikke lenger er personopplysninger og dermed faller utenfor lovens virkeområde, eventuelt å lage helt fiktive datasett. Dersom man likevel ønsker å bruke personopplysningene og finner at man klarer å sikre dem godt nok, er det bare å kjøre på.
Jeg mener det er dårlig personvern å ikke teste systemer tilstrekkelig! Jeg synes at påstandene om at GDPR skal stikke kjepper i hjulene for å teste på best mulig datasett, er merkelig.
Jeg understreker at jeg ikke er jurist og er åpen og klar for diskusjon om dette om noen mener jeg tar feil!
Legg igjen en kommentar