Een rechtmatig 'kopietje productie'

In de ontwikkeling en het beheer van software worden operationele gegevens (‘uit productie’) regelmatig gebruikt om te testen. Dat mag alleen met fictieve/geanonimiseerde gegevens of van persoonsgegevens die weinig risico met zich mee brengen, aldus de Autoriteit Persoonsgegevens (AP). Maar wat als de persoonsgegevens juist gevoeliger van aard zijn en dummy of geanonimiseerde gegevens niet haalbaar zijn of niet volstaan? Is het testen van de integriteit van data en het snel wegnemen van productieverstoringen niet juist dan in het privacybelang van betrokkenen? Deze paradox besprak ik uitvoerig met de AP om te komen tot kaders waarbinnen het nevengebruik van operationele data is toegestaan.

Doelbinding

Autoriteit Persoonsgegevens: Organisaties mogen persoonsgegegevens niet gebruiken om een informatiesysteem te testen

[Bron: website Autoriteit Persoonsgegevens]

Het verwerken van persoonsgegevens moet verenigbaar zijn en blijven met de doeleinden waarvoor ze oorspronkelijk zijn verzameld. Dit beginsel van doelbinding (art. 5 sub b AVG) is waar het standpunt van de AP uit voort komt. En omdat de gegevens in de praktijk vaak niet zijn verstrekt voor testendoeleinden is het gebruik ervan niet toegestaan. Dat is een ander doel, is de lezing. Niet onjuist maar wel wat ongenuanceerd. Zonder afbreuk te doen aan doelbinding zijn er immers ook andere beginselen waaraan voldaan moet worden.

Integriteit en veerkracht

Zo moeten er in het kader van juistheid ook maatregelen getroffen worden om ervoor te zorgen persoonsgegevens juist zijn en zo nodig worden geactualiseerd (art. 1, sub d AVG). Bovendien moet een passende manier van beveiligen zijn gevonden (art. 1, sub f AVG). Het vermogen om bij incidenten de toegang tot de persoonsgegevens tijdig te herstellen (art 32, lid 1, sub c AVG) maakt hier onderdeel vanuit.

Volgens de AP gaan deze bepalingen met doelbinding zij aan zij in de belangrijkste bepalingen van de AVG. Niet gek ook, want incorrecte persoonsgegevens of ontoegankelijkheid omdat systemen onbeschikbaar zijn, kunnen leiden tot (ernstige) nadelige gevolgen voor betrokkenen. Voorbeelden hiervan zien we de revue maar al te vaak passeren. Voorkomen moet worden dat het standpunt van de AP te rigide wordt toegepast. Betrokkenen melden dat een datalek (waaraan voor hen privacyrisico’s zijn verbonden) niet weggenomen kan worden omdat hun persoonsgegevens omwille van de privacy daarvoor niet gebruikt mogen worden, zou ridicuul zijn.

Het standpunt van de AP staat ver af van de dagelijkse praktijk en nodigt niet uit naar werkbare alternatieven te kijken. De uitdaging die ik aanging was om te kijken welke legitieme ruimte in de AVG te vinden is die organisaties meer tegemoet komt en hen uitnodigt daarbinnen te blijven. Het is namelijk evident dat op een rechtmatige manier afgeweken moet kunnen worden van het standpunt van de AP. Zo hanteert het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) ook eenzelfde standpunt als de AP maar voegt eraan toe dat wanneer het niet mogelijk is om te testen met dummy-gegevens, er specifieke procedures voor de bescherming van persoonsgegevens moeten zijn die bij het testen worden gebruikt. Maar hoe zit dat dan met de rechtmatigheid?

Verenigbaar gebruik

Een verwerking van persoonsgegevens is alleen rechtmatig als deze gebaseerd is op een van de zes grondslagen (art. 6 lid 1 AVG). Hiernaast is er de mogelijkheid om van eerder rechtmatig verkregen persoonsgegevens gebruik te maken voor andere doeleinden als deze verenigbaar zijn met het oorspronkelijke doel waarvoor ze zijn verzameld (art. 6 lid 4 AVG). Een constructie waarin het andere doel geen afzonderlijke grondslag nodig heeft maar als het ware mag ‘meeliften’ op de oorspronkelijke grondslag.

“Als kan worden vastgesteld dat er sprake is van een verenigbaar doel, is voor de verdere verwerking geen andere afzonderlijke rechtsgrond vereist dan die op grond waarvan de verzameling van de persoonsgegevens werd toegestaan.” (Par. 4.2.3 sub 1 Memorie van Toelichting AVG)

Bij de vaststelling van verenigbaarheid gaat het er dus niet zozeer om dat het een ander doel is maar om zijn verenigbaarheid met het oorspronkelijke doel. Hierbij moet onder andere rekening gehouden worden met de aard van de persoonsgegevens maar het legt hierin geen beperking op (tot bijvoorbeeld persoonsgegevens die weinig risico met zich mee brengen).

De AVG schaart archiveren in het algemeen belang, wetenschappelijk/historisch onderzoek of statistische doeleinden standaard onder verenigbaar gebruik. Weliswaar niet van toepassing in deze context van systeemontwikkeling/-beheer maar mijn pleidooi om het testen met operationele persoonsgegevens ook onder verenigbaar gebruik te scharen, vond gehoor.

“Wanneer gegevens worden verwerkt in een informatiesysteem voor een bepaald doel, dan zijn het waarborgen van de juistheid van deze gegevens of het oplossen van technische storingen in dit informatiesysteem in het algemeen wel doelen die verenigbaar zijn met het hoofddoel.”, aldus de AP.

Opgemerkt dat de constructie van verenigbaar gebruik weliswaar niet nieuw is, introduceert de AVG hierin wel een beperking. De constructie is namelijk niet geoorloofd als de oorspronkelijke persoonsgegevens verzameld zijn op basis van toestemming (art. 6 lid 1 sub a AVG). Het lijkt erop dat de wetgever zegt dat je dan ook maar toestemming moet vragen voor dat nevengebruik. De constructie van het verenigbaar gebruik is beperkt tot persoonsgegevens die verzameld zijn op een van de andere vijf grondslagen (art. 6 lid 1 sub b t/m f AVG).

Voorwaardelijk nevengebruik voor testdoeleinden

Ervan uitgaande dat persoonsgegevens rechtmatig zijn verkregen (zij het niet op basis van toestemming) is nevengebruik van deze gegevens toegestaan als deze worden gebruikt om de juistheid ervan te waarborgen of om er technische storingen in het informatiesysteem mee op te lossen. Operationele persoonsgegevens mogen voor deze verenigbare doeleinden gebruikt worden. Een aparte grondslag (zoals het vragen om toestemming) is hiervoor niet nodig.

Dit zegt iets over de rechtmatigheid maar daarmee is de kous nog niet af. Met de gevolgen van het nevengebruik voor de betrokkenen moet rekening gehouden worden en er moeten passende waarborgen getroffen worden. Een blog kan daarbij onmogelijk in elke denkbare situatie voorzien en dus blijven kennis en gezond verstand nodig. Het toepassen van privacy by design (art. 25 AVG) op het nevengebruik van persoonsgegevens kan hierin een goede bijdrage leveren. In bepaalde gevallen kan een privacy impact assessment (art. 35 AVG) vereist zijn. In samenwerking met de AP zijn wel onderstaande waarborgen in kaart gebracht die met name bij ‘kopietjes productie’ spelen en in ieder geval onderdeel zouden moeten zijn van het beleid.

Bovenmatige verwerking

Voorkomen moet worden dat de dataset bovenmatig veel persoonsgegevens verwerkt. Hiervan is snel sprake als simpelweg een kopietje van productie getrokken wordt. Meer persoonsgegevens gebruiken dan vereist is om het testdoel te realiseren, is disproportioneel. De hoeveelheid persoonsgegevens en het aantal betrokkenen moet juist teruggebracht zijn tot zijn onvermijdelijke proportie (art. 5 lid 1 sub a AVG). Bijvoorbeeld door subsetting toe te passen.

Gezondheidsgegevens

Is er sprake van gezondheidsgegevens dan is het testen alleen toegestaan als dit gelegen is in het ‘beheer’ van de instelling (art. 30.3 UAVG). In dit licht zijn functionele testen in een systeemontwikkelomgeving met een kopie van gezondheidsgegevens uit productie niet toegestaan. Het reproduceren/oplossen van een datalek waarbij gezondheidsgegevens betrokken zijn daarentegen wel.

Wettelijk voorgeschreven identificerende nummers

Waakzaamheid is geboden voor het verbod om wettelijk voorgeschreven persoonsidentificerende nummers, zoals het Burgerservicenummer (NL) of het onderwijsnummer, te verwerken voor nevendoelen (art. 46 UAVG). Dergelijke nummers mogen alleen ter uitvoering van, of ten behoeve van, de doeleinden van die voorschrijvende wetgeving gebruikt worden.

Subsidiariteit

In die gevallen waarin het mogelijk is om het testdoel op een andere wijze te realiseren die minder privacygevoelig is, zal dit alternatief gebruikt moet worden. Kijkend naar het testen om de juistheid van gegevens te waarborgen, zal beoordeeld moeten worden of de test met inbegrip van de persoonsgegevens werkelijk nodig is. Dit vereist allereerst dat alternatieven onderzocht zijn. En in veel gevallen is de representativiteit van de dataset niet echt nodig.

Voorkomen moet worden dat gemak en/of kosten van de voorradige data bepalend zijn en er als het ware andere argumenten bij gezocht worden om het gebruik te legitimeren. Privacy is een grondrecht dat beschermd moet worden en de wetgever is zich ervan bewust dat dit inspanning en geld kost. Gaat het niet over gezondheidsgegevens dan kunnen bedrijfseconomische overwegingen een rol spelen maar enkel als het onevenredige kosten betreffen. Bij uitstek in de ICT zijn legio middelen beschikbaar die weliswaar (hoge) kosten met zich meenemen maar vrijwel nooit als onevenredig worden beschouwd.

“Noodzaak van de gekozen werkwijze moet te allen tijde goed worden onderbouwd.”, aldus de AP

Alternatieven die hier op de loer liggen zijn het anonimiseren van data of het aanschaffen/generen van dummy testdata. Een combinatie van beide is ook mogelijk. Vanzelfsprekend kan bij incidentele spoedgevallen een andere afweging gemaakt worden omdat er dan mogelijk geen tijd is om bijvoorbeeld tot anonimiseren over te gaan of omdat in dat specifieke geval de exacte data simpelweg vereist is.

Passend veiligheidsniveau

Het verwerken van persoonsgegevens die niet fictief, geanonimiseerd of openbaar zijn neemt grotere risico’s met zich mee. Zowel het verwerken van persoonsgegevens in de productieomgeving als in elke andere omgeving moet een passend veiligheidsniveau kennen. De impact van een datalek is niet afhankelijk van uit welke omgeving het lekt. Ook t.a.v. de test geldt dat een passende set technische en organisatorische maatregelen in stelling gebracht moeten zijn. Dit is een keiharde randvoorwaarde waarbinnen de persoonsgegevens verwerkt mogen worden t.b.v. de test.

Hierbij zal eveneens gewaakt moeten worden dat het veiligheidsniveau dat is vastgesteld bij de originele verwerking (productie) niet mag worden aangetast. Als daar bijvoorbeeld afspraken zijn gemaakt over wie toegang mag hebben tot de persoonsgegevens dan mag dit niet terzijde geschoven worden voor het testen van de data. Scherpte is hier vooral geboden indien er sprake is van een medisch beroepsgeheim of andersoortige geheimhoudingsplichten. Uitgangspunt moet zijn dat hetzelfde veiligheidsniveau als in productie van toepassing is.

Houd de bewaartermijnen in de gaten van de dataset die t.b.v. de testdoeleinden verwerkt worden. Zijn deze doeleinden komen te vervallen of zijn deze reeds gerealiseerd dan mag de data niet langer verwerkt worden. In de meeste gevallen kan hier volstaan worden met opschoning, maar zorg er wel voor dat deze op zijn beurt ook veilig plaatsvindt.


Media koppen ten onrechte dat het kopietje productie met de komst van de Algemene verordening gegevensbescherming (AVG) tot het verleden is gaan behoren. De paradox speelde hiervoor echter ook al in zijn voorganger: de Wet bescherming persoonsgegevens (Wbp). Sterker nog, mijn gesprekken met onze nationale toezichthouder speelden zich af in 2016 met de AVG in het kielzog. Op dit gebied is er dus geen nieuws onder de zon. Daar waar vandaag de dag het kopietje productie niet mag, mocht dat in het Wbp-tijdperk ook al niet. Bepalingen zijn nu enkel op andere plekken in de AVG terug te vinden en zijn in deze blog geactualiseerd.