Een lezer vroeg me:
Bij een interne training (ik ben software engineer) kregen we de opdracht een web-based CMS te ontwerpen inclusief klantendatabase. Prima, maar ik ontdekte dat de database échte gegevens bevatte. Er stond zelfs een familielid van me in! Mag dat zo maar, klantgegevens gebruiken voor trainingsdoeleinden?
Antwoord: Het gebruiken van klantgegevens mag eigenlijk altijd alleen als de Wet bescherming persoonsgegevens (Wbp) daar ruimte voor biedt. Er is geen letterlijk verbod op testen met productiegegevens. De eis is dat je de gegevens mag gebruiken voor het doel waarvoor je ze krijgt, en voor doelen die in duidelijk direct verband daarmee staan (art. 8 en 9 Wbp).
Het testen van de omgeving waarbinnen je persoonsgegevens wilt gaan gebruiken, lijkt mij zonder meer voldoende verband te hebben met het daadwerkelijk (productie) gebruik van die omgeving. Maar veel verstandiger is fictieve gegevens inzetten, en een ander artikel uit de wet (art. 11) eist dat je gegevens alleen gebruikt als dat “toereikend, ter zake dienend en niet bovenmatig is”. En daar is dan niet aan voldaan.
Bij dit doel gaat het nóg een stapje verder dan testen van een productieomgeving, namelijk een training van medewerkers met een fictieve omgeving. Dan is er geen enkele manier waarop het gegevensgebruik “toereikend, ter zake dienend en niet bovenmatig” zou kunnen zijn.
Soms vraag ik me af welke gedachtenprocessen er ten grondslag liggen aan “geef even een kopietje van alle klantgegevens want we gaan een training doen met IT”.
Arnoud