Column


IT-jurist Peter van Schelven over...

Applicatie-ontwikkeling en privacy

Het is een open deur als ik zeg dat veel software pas operationeel in gebruik wordt genomen nadat het product tot tevredenheid een acceptatietest heeft doorstaan. Wie netjes de boekjes over applicatieontwikkeling volgt, zal een applicatie niet eerder in een productieomgeving plaatsen dan nadat uit een goede test is gebleken dat de aan de software verbonden risico’s voor de gebruiker aanvaardbaar zijn. In lijn daarmee wordt in softwarecontracten tussen leverancier en afnemer dikwijls uitgebreid aandacht gegeven aan de test- en acceptatiefase.

Er is inmiddels veel geschreven over het belang van een goede test- en acceptatiefase in een IT-project of bij de aanschaf van een standaardpakket. Veel IT-geschillen dienen zich juist in deze fasen aan. Softwarecontracten wijden er vaak hele lappen tekst aan. De insteek van die contractuele regelingen verschilt uiteraard al naar gelang het contract door de leverancier dan wel door de afnemer is opgesteld. Ondanks die uitgebreide bepalingen zijn de testafspraken in talloze softwarecontracten in ten minste één opzicht gebrekkig. Ze regelen niets of slechts bar weinig over de testdata die bij de uitvoering van de softwaretest gebruikt worden.

Dummy data?
Aan de selectie en het gebruik van testdata zitten de nodige juridische haken en ogen. Zo is de kwaliteit van de softwaretest niet zelden mede afhankelijk van de kwaliteit van de testdata. Veel contracten zwijgen daar echter over en dat levert juridische onzekerheden op. Niet minder belangrijk is de vraag of de test moet worden uitgevoerd met data uit productiebestanden of met fictieve testdata (dummy data). Wat die vraag betreft is het goed om voor ogen te houden dat het softwaretesters in de regel niet vrij staat om klakkeloos te kiezen voor reallifedata afkomstig uit productiebestanden. Met name de bestaande wettelijke restricties rondom het gebruik van persoonsgegevens nopen er vaak toe slechts dummy data in te zetten.

Stel dat u een hotel-restaurant bezoekt. Bij het inchecken bij de balie verstrekt u uw dieetbeperkingen, bijvoorbeeld om medische redenen of vanuit geloofsoverwegingen. Dat zijn bijzondere persoonsgegevens, aan het gebruik waarvan de wet vergaande beperkingen oplegt. Of u bent een bekende Nederlander en dan is uw privéadres dat u aan de baliemedewerker geeft ook van gevoelige aard. Het spreekt voor zich dat u in redelijkheid mag verwachten dat uw persoonlijke gegevens later niet zonder uw toestemming gebruikt worden in een test voor een nieuwe hotelapplicatie. Een dergelijk gebruik zou onverenigbaar zijn met het doel waarvoor u uw gegevens hebt verstrekt. Persoonsgegevens uit productiebestanden zijn in de regel niet voor latere softwaretests bestemd. Met het gebruik ervan zou het doelbindingprincipe, een van de pijlers van het privacyrecht, met voeten worden getreden. Het hotel-restaurant dat juridisch correct wenst te handelen, moet ten behoeve van testdoeleinden dus bestanden met fictieve data ontwikkelen of aankopen.

Wettelijke beveiligingsplicht
Het College Bescherming Persoonsgegevens, de voorloper van de huidige privacywaakhond in ons land, heeft zich ten aanzien van IT-systemen voor verzuimbegeleiding eerder ook al in die zin uitgesproken. Er mag bij het ontwikkelen en testen van software alleen gebruik worden gemaakt van geanonimiseerde of dummy data. Wie dat niet doet, schendt, aldus de toezichthouder, de wettelijke verplichtingen inzake beveiliging van persoonsgegevens. De beveiligingsplicht is dus nog een tweede juridisch anker waarvoor de toezichthouder kan gaan liggen. Onder de Algemene Verordening Gegevensbescherming, de nieuwe Europese privacywetgeving, is dat niet anders.

Blinde vlek
Uit contacten met softwareontwikkelaars heb ik de indruk dat de wettelijke spelregels over persoonsgegevens voor sommigen uit deze beroepsgroep een blinde vlek is. Dat is begrijpelijk. Het is namelijk wel zo makkelijk, goedkoop en efficiënt wanneer je als IT’er gebruikmaakt van een subset van reeds beschikbare persoonsgegevens uit productiebestanden. Bovendien representeren operationele gegevens een datacomplexiteit die met dummy data zelden nagebootst kan worden. Het is daarom nog maar de vraag of de bestaande onrechtmatige praktijken op het gebied van applicatieontwikkeling zich eenvoudig laten veranderen. Ik vrees dat de theorie van het recht nog heel vaak het onderspit blijft delven.


Lees meer over