Software testen met data uit je productieomgeving? Als deze data persoonsgegevens bevat, moet je hier specifiek toestemming voor hebben van de gebruikers [1]. Nu is er een juridische uitspraak gedaan die tegenhangers van dit argument meer ruimte geeft [2]. Maar verandert deze uitspraak iets? Wat ons betreft niet. Testen met persoonsgegevens is namelijk nooit verstandig.
Alle scenario’s testen
Om software te testen wil je scenario’s gebruiken die zo veel mogelijk overeenkomen met de realiteit. Een set ‘dummydata’ schiet snel tekort omdat het lastig is hier alle randscenario’s in op te nemen. Het gebruik van productiedata levert de meest relevante resultaten op, maar dit brengt ook veel haken en ogen met zich mee. Eén hiervan is dat gebruikers vaak alleen toestemming geven om hun persoonsgegevens te gebruiken voor de hoofddoelen van de applicatie. Deze uitspraak geeft aan dat het testen met productiedata wel eens verenigbaar kan zijn met het oorspronkelijke verzameldoel van de gegevens.
De risico’s van testen met productiedata
Al zou het gebruik van productiedata toegestaan zijn zonder specifieke toestemming van de gebruikers, kleven er veel nadelen aan:
- Het kopiëren van productiedata naar de testomgeving vergroot de kans op het hacken, misplaatsen of stelen van persoonsgegevens.
- Het gebruik van productiedata kan leiden tot onbedoelde acties, zoals een testmail die bij gebruikers terecht komt.
- Gebruikers die erachter komen dat hun data wordt gebruikt voor testdoeleinden kan leiden tot gezichtsverlies.
Daarnaast gelden voor het gebruik van persoonsgegevens nog steeds dezelfde eisen. De testomgeving zal dus aan dezelfde beheersmaatregelen moeten voldoen als de productieomgeving.
Productiedata anonimiseren
De beste oplossing om applicaties goed te testen is door de productiedata te anonimiseren. Tijdens het testen is de betekenis van de individuele gegevens niet van belang, alleen de relatie tussen de gegevens is nodig om te testen. Door de data te anonimiseren blijft deze relatie bestaan, maar de betekenis van de data zelf wordt onbruikbaar gemaakt. Zo is het bijvoorbeeld niet mogelijk om per ongeluk mails te versturen naar echte gebruikers en zijn de gegevens nagenoeg nutteloos mochten ze in handen vallen van derden.
Nestor datamasker
Om gebruik te maken van gemaskeerde productiedata in uw testomgeving, hebben wij het Nestor Datamasker ontwikkeld. Deze tool zet de data uit uw productieomgeving geanonimiseerd over in uw testomgeving. Kijk voor meer informatie op onze Datamasker pagina of vraag een demo aan.