Al in mijn begintijd als tester, bijna tien jaar geleden ondertussen, werd ons al verteld dat je in de testomgeving en je testuitvoer geen gebruik moet maken van productiedata. Nu, vele opdrachtgever en jaren later, kom ik tot de conclusie dat productiedata nog altijd vrijwel overal voor testdoeleinden wordt gebruikt. Er wordt een tweetal belangrijken redenen genoemd waarom je het gebruik van productiedata moet vermijden.

De eerste reden is dat door het gebruik van productiedata je testgevallen ongewild bij externe partijen, bijvoorbeeld klanten, terecht komen. Zo kan bijvoorbeeld de scheiding tussen test- en productieomgeving minder strikt zijn dan verwacht. In zo’n geval kan een testgeval resulteren in een opdracht aan de print straat in de productie omgeving. Wat tegenwoordig ook veel voorkomt is dat bepaalde acties in het te testen systeem resulteren in het versturen van een email. Als hiervoor productiedata wordt gebruikt, dan loop je het risico dat de email naar buiten verdwijnt.

De tweede reden is het feit dat het gebruik van bepaalde data wettelijk verboden zou zijn. Ik zeg hier zou zijn omdat het voor mij nog altijd niet duidelijk is wat de wetgeving hier nou precies over zegt. Wat mag er wel en niet, onder welke voorwaarden mag het wel en vooral ook: wat zijn de straffen als je het wel doet. Ik ben nog nooit een nieuwsbericht tegengekomen waarin melding werd gemaakt van een rechtszaak over dit ‘mis’bruik van data. Al zal men dit natuurlijk niet graag wereldkundig willen maken.

Wat me wel duidelijk is geworden, is dat het gaat over privacy gevoelige gegevens. Dat zijn gegevens die kunnen leiden tot de identificatie van een natuurlijk persoon. Het gaat hierbij niet alleen om particulieren, maar ook om contactpersonen bij bedrijven. Ook wordt er onderscheid gemaakt tussen de gevoeligheid van de persoonsgegeven. Data die aangeeft wat ras, religie of sexuele geaardheid van een persoon is zijn gevoeliger dan andere data.

Het is voor mij ook nog steeds niet duidelijk of de testdatabase en het gebruik ervan moet worden gemeld aan het CPB en de personen waarvan de gegevens zijn opgenomen. Het lijkt hier te gaan om gebruik van gegevens voor andere doeleinden dan waarvoor het in eerste instantie is verstrekt. Of zou men in de huidige tijd moeten verwachten dat hun gegevens ook binnen ICT ontwikkelprocessen worden gebruikt.