Testdata - brug af personoplysninger ved udvikling og test af it-systemer

Testdata - brug af personoplysninger ved udvikling og test af it-systemer

Det kan efter omstændighederne være velbegrundet og nødvendigt at bruge personoplysninger ved udvikling og test af it-systemer.

Det vil f.eks. være i orden at bruge personoplysninger i forbindelse med afsluttende tests af integrationer til andre (eksterne) it-systemer. Det vil også være i orden at bruge personoplysninger i tilfælde, hvor det er forbundet med betydelige vanskeligheder at skabe retvisende (anonymiserede) testdata, navnlig fordi det kan være vanskeligt at afspejle alle de fejl og uregelmæssigheder, der kan forekomme i et produktionsmiljø. Det kan herudover være velbegrundet at anvende et begrænset antal personoplysninger i forbindelse med fejlsøgning og fejlretning.

Brug af personoplysninger i testøjemed kan derfor ske i begrænset omfang. Jo tættere du (som virksomhed eller som myndighed) kommer på produktionsfasen, jo mere velbegrundet kan det være, at du anvender (flere) produktionsdata – herunder personoplysninger. Nogen gange vil det endda være et udtryk for manglende sikkerhed at sætte et system i produktion uden at have testet med produktionsdata – herunder personoplysninger – først.

Når du vil behandle personoplysninger i testøjemed, kræver det, at du har foretaget en korrekt vurdering af risikoen for de registrerede (f.eks. medarbejderne, kunderne og borgerne), og at du i overensstemmelse med risikovurderingen har etableret passende sikkerhedsforanstaltninger. Ønsker du at bruge produktionsdata – herunder personoplysninger – til test og udvikling af it-systemer, skal du derfor som udgangspunkt have etableret de samme sikkerhedsforanstaltninger i testmiljøet, som der er vurderet passende i produktionsmiljøet. Dog vil det f.eks. gøre en forskel, hvilket netværk, testmiljøet kan tilgås fra, og om det eventuelt kan tilgås fra internettet eller ej.

Ved udvikling og drift af it-systemer anvendes der typisk to former for data:

  • Testdata, der anvendes i forbindelse med udvikling og test, når IT-systemer udvikles, videreudvikles eller vedligeholdes.
  • Produktionsdata, som typisk er de data, der stammer fra et system, der allerede er i drift. Det kan f.eks. være kundeoplysningerne i et kundesystem eller regnskabsoplysningerne i et økonomistyringssystem.

Testdata er typisk fiktiv eller anonymiseret data. Af og til kan det imidlertid også være nødvendigt at bruge produktionsdata – der kan indeholde rigtige, uanonymiserede personoplysninger – i forbindelse med udvikling og test af it-systemer. I disse tilfælde bliver produktionsdata – og hermed personoplysninger – praktisk talt til testdata.

Det er vigtigt at huske, at selvom personoplysninger fra produktionsmiljøet anvendes i testøjemed – og derfor praktisk talt får karakter af testdata – er der stadig tale om en behandling af personoplysninger. Det betyder, at behandlingen skal ske i overensstemmelse med de databeskyttelsesretlige regler. Der er med andre ord ikke et lavere beskyttelseshensyn til personoplysninger, der bliver brugt i testøjemed, blot fordi de får karakter af testdata.

Hvis du (som virksomhed eller som myndighed) bruger produktionsdata – herunder personoplysninger – til test og udvikling af IT-løsninger, er det især vigtigt, at du har fire ting for øje:

  1. At du har det fornødne behandlingsgrundlag i databeskyttelsesforordningen og databeskyttelsesloven til behandling af personoplysninger i testøjemed.
  2. At der ikke behandles flere oplysninger i forbindelse med test og udvikling end nødvendigt (princippet om dataminimering).
  3. At du sikrer den fornødne sletning af personoplysninger efter endt test (princippet om opbevaringsbegrænsning).
  4. At du har etableret passende tekniske og organisatoriske sikkerhedsforanstaltninger i forbindelse med brugen af personoplysninger i testøjemed.

Før du (som virksomhed eller som myndighed) begynder at behandle personoplysninger i forbindelse med udvikling og test af it-systemer, skal du sikre dig, at du har den fornødne behandlingshjemmel til at behandle de pågældende oplysninger i testøjemed. Behandlingshjemmel finder du primært i artikel 6.

Hvis test og udvikling af it-systemet er nødvendig for, at behandlingen af personoplysninger til det oprindelige formål kan finde sted (f.eks, at du kan behandle ordrer i et kunde/ordre-system eller en borgers sag i et sagsbehandlingssystem), vil behandlingsgrundlaget typisk være det samme, når du bruger personoplysningerne til test og udvikling af it-systemet (f.eks. til opfyldelse af en kontrakt eller i forbindelse med myndighedsudøvelse).

Hvis test og udvikling af it-systemerne ikke er nødvendig for, at behandlingen af personoplysninger til det oprindelige formål kan finde sted, vil behandlingen af oplysningerne til test og udvikling oftest være uforenlig med det oprindelige formål. Det betyder, at du i sådanne tilfælde ikke kan bruge de indsamlede personoplysninger til test og udvikling af it-systemer.

Læs mere om behandlingsgrundlag her.

Personoplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles.

Det betyder bl.a., at selv hvor det er velbegrundet og nødvendigt at bruge personoplysninger i forbindelse med test af it-systemer, så må du ikke bruge flere personoplysninger i testøjemed, end hvad der er nødvendigt for at opnå testformålet.

Det er også vigtigt, at du ikke anvender personoplysninger til at udføre tests, hvis samme tests kunne udføres uden brug af (rigtige) personoplysninger.

Personoplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede (f.eks. medarbejderne, kunderne og borgerne) i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles.

Hvis du (som virksomhed eller som myndighed) bruger personoplysninger i testøjemed, er det derfor vigtigt, at du har taget stilling til, hvornår og hvordan personoplysningerne skal slettes eller anonymiseres efter, at du har testet i it-systemet. Herudover skal du sikre dig, at sletningen rent faktisk finder sted. Datatilsynet har følgende råd om sletning:

  • Tag stilling til slettefrister for de forskellige typer personoplysninger der behandles i testøjemed.
  • Dokumenter de fastsatte slettefrister.
  • Vær opmærksom på eventuelle lovmæssige krav, der kan påvirke slettefristerne.
  • Fastlæg og dokumenter en procedure for sletning.
  • Fastlæg og dokumenter en procedure for opfølgning på, at sletning forløber som forventet.
  • Tænk sletning ind i behandlingen, så behandlingen indrettes således, at eventuelle forskellige slettefrister kan opfyldes på en hensigtsmæssig måde i forhold til systemet, der testes.

Læs mere om sletning her.

Når du (som virksomhed eller som myndighed) behandler personoplysninger, skal du sikre dig, at du har gennemført passende tekniske og organisatoriske sikkerhedsforanstaltninger, som afspejler de risici, der er ved behandlingen for de registrerede (f.eks. medarbejderne, kunderne og borgerne).

Ved vurderingen af, hvilket sikkerhedsniveau der er passende, skal du tage hensyn til de risici, som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

Som eksempel på relevante foranstaltninger kan bl.a. nævnes pseudonymisering og evne til at sikre vedvarende fortrolighed og procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.

Du kan læse mere om behandlingssikkerhed i databeskyttelsesforordningens artikel 32.

Det betyder, at hvis du bruger personoplysninger i testøjemed, skal du også etablere passende sikkerhedsforanstaltninger ud fra en konkret risikobaseret og dokumenteret afvejning af risici ved behandlingen.

I sådanne tilfælde er det Datatilsynets opfattelse, at der som udgangspunkt skal være etableret de samme sikkerhedsforanstaltninger i testmiljøet, som er passende i det senere produktionsmiljø. Dette vil især være gældende for adgangsstyring, logning, sikker overførsel af data mellem it-miljøer samt sikkerhedsopdateringer af software, servere mv. (patching).

Dog vil det – som skrevet ovenfor – f.eks. gøre en forskel for, hvilke sikkerhedsforanstaltninger der er passende, hvilket netværk testmiljøet kan tilgås fra, og om det eventuelt kan tilgås fra internettet eller ej.

Pseudonymisering af personoplysninger er også særligt relevant i netop udviklings- og testmiljøer. Her vil viden om konkrete personer nemlig ofte ikke være afgørende for gennemførelsen af testen.

I de tilfælde, hvor testmiljøet (pre-produktionstestmiljøet) senere bliver til produktionsmiljøet, skal du herudover være særlig opmærksom på, at du – inden testmiljøet bliver til produktionsmiljøet – har slettet alle personoplysninger, som alene er brugt til testformålet.

Endelig skal du være opmærksom på, at der i tilfælde, hvor risikoen for den registrerede vurderes høj, skal foretages en konsekvensanalyse. Du kan læse mere om konsekvensanalyser i vejledningen om konsekvensanalyse.