Det skal du være opmærksom på, når du bruger persondata til test af it-løsninger

Udvikling af nye it-løsninger er en ofte lang og kompleks proces. Først skal man fastlægge, hvad den nye it-løsning skal kunne, så begynder udviklingen af løsningen, der til sidst skal testes massivt inden, den kan tages i brug.

Datatilsynet har derfor netop udgivet en ny vejledning, der forklarer retningslinjer og pligter ved brug af persondata, når du tester it-løsninger.

For når man tester nye it-løsninger, så kan det være nødvendigt eller ligefrem afgørende, at man bruger data til test af systemet for tidligt at kunne opfange eventuelle sikkerhedsbrister såvel som fejl i systemet.

Testdata eller produktionsdata?

Indenfor udvikling og drift af it-løsninger taler man om to typer af data. Først testdata, der er anonymiseret data, der bliver brugt til test af systemet enten i forbindelse med udvikling eller vedligehold. Den anden type data er produktionsdata, som er data, der stammer fra et system, der allerede er i drift, hvilket oftest er persondata.

Afhængigt af typen af system kan det til tider være nødvendigt at bruge persondata som testdata. Det kan f.eks. være i situationer, hvor det er meget omkostningstungt at skabe retvisende testdata eller i situationer, hvor systemet skal screenes for fejl.

Det er helt efter skiven at bruge persondata i de situationer, dog er det bare særligt vigtigt, at man er opmærksom på de mange forbehold, der eksisterer ved brug af denne type data i testøjemed.

Hvad skal du gøre inden brug af data til test?

Inden, du begynder at bruge persondata til test, er det helt afgørende, at du har sikret dig, at du har det fornødne lovgrundlag for at gøre det.

Der kan være mange forskellige årsager til, at det giver mening i udvikling af en it-løsning at bruge persondata. Artikel 6 beskriver, hvornår der er lovgrundlag for at bruge data til test.

Loven tilskriver, at du kun må bruge persondata til test, såfremt mindst et af følgende forhold gør sig gældende:

• De personer, hvis data du bruger, har givet samtykke til, at deres data må bruges til specifikke formål
• Brug af persondata er nødvendigt for at opfylde en kontrakt, som personen, hvis persondata benyttes, er registreret part i
• Brug af persondata er nødvendig for at overholde en retslig forpligtelse
• Brug af persondata er nødvendig for at beskytte de registrerede eller en anden fysisk persons vitale interesser
• Brug af persondata er til samfundets interesse
• Brug af persondata er nødvendigt for at forfølge en legitim interesse, dog med forbehold for, at det ikke må bryde med grundlæggende frihedsrettigheder især, hvis der er tale om brug af persondata for børn.

Efter du har undersøgt lovgrundlaget for at bruge persondata til test af it-løsninger, så er det vigtigt, at du har taget nøje stilling til risikoniveauet for de personer, hvis data bliver brugt til test, eksempelvis kunder, medarbejdere osv.

Derefter skal jeres virksomhed tilpasse jeres sikkerhedsforanstaltninger, så de passer med risikovurderingen. Som udgangspunkt, skal der være samme sikkerhedsforanstaltninger, når du tester, som der er i driften eller produktionsmiljøet.

Hvad skal du være opmærksom på efter test?

Efter du er begyndt at bruge persondata til test, så er der flere ting at være opmærksom på.

Først er det vigtigt at være opmærksom på ikke at bruge mere data end, du har brug for. Derfor skal du sikre dig, at det kun er lige præcis den mængde data, det kræver at teste din it-løsning, du bruger.

Dernæst skal du have ordentlige forhold for sletning af data, der sikrer, at når testen af it-løsningen er færdig, så bliver den anvendte data automatisk slettet.

Hvis du er i tvivl, så kontakt os

De nærmere retningslinjer bliver yderligere beskrevet i Datatilsynets nye vejledning omkring brug af personoplysninger ved udvikling og test af it-systemer.

Hvis du stadig sidder inde med spørgsmål, så er du mere velkommen til at kontakte Sven Petersen, erhvervsjuridisk fagchef, for at få en vurdering.