Origineel is van 10 oktober 2019

Vrijwel alle gegevens worden tegenwoordig geautomatiseerd verwerkt. Talloze ondersteunende ICT-processen zorgen ervoor dat de levering van producten en diensten kan worden gegarandeerd.

Mogen organisaties in verband met de AVG wel testen met echte klantgegevens?

Voor de goede werking en de veiligheid van al deze processen, systemen, software en andere applicaties wordt in de praktijk vaak getest met behulp van gegevens die tijdens deze processen zijn verzameld. Afhankelijk van het soort app of systeem, kan het zijn dat hiervoor klantgegevens worden gebruikt. Hierdoor wordt het testen ineens een juridisch vraagstuk. Klantgegevens zijn namelijk persoonsgegevens, waardoor de AVG van toepassing is op het gebruik van deze gegevens. Mag je dus zomaar testen met je klantgegevens volgens de AVG?

Verwerking van persoonsgegevens

In de AVG staan een aantal beginselen, waaraan iedere verwerking van persoonsgegevens moet voldoen. Zo moet de verwerking beperkt zijn tot wat noodzakelijk is, een geldige grondslag hebben en – misschien wel het meest relevant in dit geval – mogen persoonsgegevens niet verder gebruikt worden voor een doel dat niet verenigbaar is met het oorspronkelijke doel.

Wat zegt de AVG over testen met persoonsgegevens?

Wanneer je test met persoonsgegevens, moet je zelf een afweging maken of dat verenigbaar is met het oorspronkelijke doel. De AVG geeft daarvoor een aantal aanknopingspunten. Er moet o.a. rekening gehouden worden met:

a. ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;

b. het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke is;

c. de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt;

d. de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;

e. het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.

Testen met persoonsgegevens: niet verenigbaar met het oorspronkelijke doel

Wanneer het testen geen of weinig verband houdt met het doel van de oorspronkelijke verwerking, zal het testen daar niet verenigbaar mee zijn. Dat is bijvoorbeeld het geval wanneer gegevens uit een klantenbestand wordt gebruikt om een algoritme te testen dat een profiel maakt van de voorkeuren van klanten.  Dit is een compleet andere verwerking met een totaal ander doel dan het bijhouden van een klantenbestand.

Wanneer de verwerking niet verenigbaar is met de oorspronkelijke doeleinden, is dat volgens de AVG alleen toegestaan met toestemming van de betrokkene of op basis van een wettelijke plicht. Let wel op dat de toestemming duidelijk moet zien op het testen met de klantgegevens, de toestemming voor de oorspronkelijke verwerking is niet voldoende.

Testen met persoonsgegevens: wel verenigbaar met het oorspronkelijke doel

Testen met productiedata is toegestaan wanneer de verdere verwerking voor het testen wel verenigbaar is met het doel van de oorspronkelijke verwerking. Als dat het geval is, heb je geen nieuwe grondslag nodig voor de verdere verwerking. Je kunt je dan beroepen op de grondslag van de eerdere verwerking. Als de oorspronkelijke verwerking berust op toestemming is dit echter nooit mogelijk: er moet altijd aparte toestemming worden gevraagd voor de verdere verwerking. De vraag is alleen: hoe toon je aan dat het doel van verdere verwerking wel verenigbaar is met het oorspronkelijke doel?

Testdatabank toegestaan op grond van de AVG?

In een arrest van het Hof van Justitie van de Europese Unie van 20 oktober 2022 is (enigszins) verduidelijkt wanneer het verder gebruiken van persoonsgegevens in het kader van testen is toegestaan. In die zaak waren vragen gesteld over of het aanhouden van een testdatabank is toegestaan op grond van de AVG. De Europese rechter stelt dat je naast de voornoemde criteria uit de AVG rekening moet houden met de redelijke verwachting van de betrokkenen dat hun persoonsgegevens verder worden gebruikt. Hij oordeelt dat het uitvoeren van tests en het herstellen van fouten in het klantenbestand verband houdt met de oorspronkelijke verwerking, namelijk de uitvoering van de abonnementsovereenkomsten met de klanten.

De testdatabank helpt immers met het voorkomen van fouten die negatieve gevolgen hebben voor de dienst van de klanten. De klanten mogen ook redelijkerwijs verwachten dat hun persoonsgegevens hiervoor kunnen worden gebruikt. Hierbij moet echter nog wel rekening worden gehouden met of het gaat om gevoelige persoonsgegevens, of er schadelijke gevolgen kunnen zijn en of er passende waarborgen, zoals pseudonimisering, aanwezig zijn (bovenstaande punten onder c, d en e).

Conclusie

Het testen met klantgegevens kan dus wel verenigbaar zijn met het oorspronkelijke doel (en dus toegestaan zijn), als het ziet op het voorkomen van fouten en het verbeteren van je dienst. Een kanttekening hierbij is wel dat persoonsgegevens volgens de AVG “moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is.” De persoonsgegevens dienen volgens het Hof dus te worden gewist of geanonimiseerd wanneer ze niet meer nodig zijn voor het testen.

Contact met De IT-Jurist

Wil je weten hoe je organisatie kan voldoen aan de wetgeving inzake privacy? Neem gerust contact met ons op. De IT-Jurist beantwoordt graag je vragen en ondersteunt je bij het opstellen van overeenkomsten en andere documenten met betrekking tot privacy en IT-recht.