Testen met persoongegevens, mag dat nog?

Als iets de gemoederen bezighoudt dit jaar op security-gebied, dan is het wel de meldplicht datalekken. Sinds januari van dit jaar zijn bedrijven en overheden verplicht om ernstige datalekken te melden aan de Autoriteit Persoonsgegevens.
Hoewel de beleidsregels uitvoerig zijn omschreven, is het in de praktijk nog niet altijd even duidelijk hoe deze meldplicht werkt, wie verantwoordelijk is voor meldingen en aan welke voorwaarden moet worden voldaan. Een deel van de complexiteit zit hem simpelweg in de aard van het beestje dat ‘data’ heet; er zijn nu eenmaal nogal wat interne en externe partijen betrokken bij het verzamelen en verwerken van persoonsgegevens.

Dat geldt ook voor applicatieontwikkelaars; zij zijn niet de eigenaren van de data en in die hoedanigheid niet verantwoordelijk als er sprake is van een datalek. Dit betekent allerminst dat wij als ontwikkelaars deze wet- en regelgeving naast ons neer kunnen leggen. Als verwerker van persoonsgegevens mogen zowel onze klanten als hun klanten hoge eisen aan ons stellen als het gaat om het beschermen van de privacy.

Het risico op datalekken is er vanzelfsprekend op het moment dat een applicatie in productie is en persoonsgegevens worden verwerkt. Echter, ook in de ontwikkelfase van applicaties kan de meldplicht datalekken van toepassing zijn. Hoewel er in deze fase vaak gebruik zal worden gemaakt van dummy data of geanonimiseerde gegevens om een applicatie te testen, ontkom je er als ontwikkelaar niet altijd aan om te testen met een kopie van productiedata. Als het met deze data misgaat, hebben we eveneens een datalek te pakken.

lees hier verder.