I en kronikk 4. oktober skriver Johannes Brodwall i Sopra Steria at IT-leverandører ikke kan benytte produksjonsdata fra sine kunder for å teste nye versjoner av systemet på grunn av reglene i den nye personvernforordningen, også kalt GDPR. Dette stemmer ikke. Selskaper vil fortsatt kunne bruke kundedata til testformål på visse vilkår, og slik testing vil ikke alltid kreve samtykke fra kunden.
Man må skille mellom testing for ulike formål og man må huske at GDPR har flere hjemmelsgrunnlag man kan bruke for å behandle personopplysninger. Samtykke er bare ett av disse. Andre hjemmelsgrunnlag man må vurdere for å ta stilling til om man kan bruke produksjonsdata til test er grunnlagene «berettiget interesse» og en kompatibilitetsvurdering.
I visse saksbehandlingssystemer eksisterer det en myriade av grensetilfeller som må testes grundig. Det kan da bli svært utfordrende og tidkrevende å generere syntetiske testdata som dekker alle disse grensetilfellene med riktig distribusjon av forekomster.
Poenget er at det lar seg hevde at test som er nødvendig for at en tjeneste skal kunne fungere, ligger innenfor det formål som opplysningene opprinnelig er brukt til. I tillegg vil grunnlagene «berettiget interesse» og en kompatibilitetsvurdering kunne brukes, men man må alltid gjøre en konkret vurdering av situasjonen der man ønsker å bruke testdata.
La oss ta et praktisk eksempel. Om man for eksempel er medlem av et kundelojalitetsprogram er det naturlig at ens opplysninger kan bli brukt i feilsøking og vedlikehold av programvaren som er grunnlaget for tjenesten. Men det er også naturlig at opplysningene kan bli brukt til test på utvikling av programvaren som leverer tjenesten. Om testen gjøres på en fornuftig måte, vil det kunne være hjemmel for slik bruk. Her må det tilføyes at test kan gjøres på mange måter og det skal alltid skje på den måten som gir størst beskyttelse av personvernet.
I gjennomføring av test skal man så langt som mulig redusere mengden personopplysninger som behandles.
I gjennomføring av test skal man så langt som mulig redusere mengden personopplysninger som behandles. Man må blant annet vurdere om det er nødvendig å teste på hele kundedatabasen eller om man kan begrense antall personer om omfattes. Man må også ta stilling til om dataene kan avidentifiseres på noen måte før test og man må vurdere hvordan selve testingen gjennomføres. Vi har hørt om tilfeller der hele kundebaser eksporteres til tredjeland så utviklere kan bruke dataene uten begrensninger og det er neppe lurt fremover. Sikkerheten må ivaretas. Det må settes klare rammer på hvordan test skal gjennomføres. Og om man benytter produksjonsdata, må informasjonsflyten inn i oversikten (”protokollen”) over hvordan informasjon flyter i bedriften, hvem som har tilgang, med hvilken hjemmel, etc. På den måten blir testdataene en førsteklasses innbygger i bedriftens GDPR-dokumentasjon.
For å fortsette eksempelet. Det er ikke naturlig at ens kundedata brukes til å utvikle andre produkter knyttet til kundelojalitetsprogrammet enn hva det enkelte medlem har avtale om. Grensene for hva som ligger innenfor den opprinnelige tjenesten og hva som ligger utenfor må vurderes konkret i hvert enkelt tilfelle. Er ny og tilgrensende funksjonalitet «innenfor»? Kanskje – men ikke sikkert. Om lojalitetsprogrammet får ny funksjonalitet og utvikles til å omfatte tjenester fra et søsterselskap er man ganske sikkert utenfor hva man kan bruke produksjonsdataene til.
Generelt gjelder det at deling av kundedata på tvers i konsern kan være vanskelig fordi det fort anses som en utlevering av data. Dette får også betydning for bruk av testdata i konsern.
Også etter mai 2018 vil man ofte kunne konkludere med at det er lovlig å bruke kundedata til test. Men man må samtidig huske at GDPR inneholder en omfattende forpliktelse til å informere brukerne om hva dataene brukes til. Også hvis de brukes til test. Fremover vil vi alle få mye mer informasjon om hvordan våre data brukes til test enn hva vi gjør i dag. Det kan faktisk bli ganske interessant å vite hvordan våre data brukes og i hvilke land de brukes. Det er bra personvern.
