Kan man egentlig bruke personopplysninger til utvikling og testing av IT-system?

Svært mange av de IT-systemene som utvikles i Norge vil på en eller annen måte behandle personopplysninger. Dette har ført til en diskusjon om bruk av personopplysninger til utvikling og testing av IT-systemer.

Finansdepartementet sendte inn et forslag på høring som belyser denne problemstillingen. I denne artikkelen har vi oppsummert diskusjonen og de tilbakemeldingene som kom til høringen.

La oss først se på hva personopplysninger er:

Personopplysninger

Går vi til den nye personvernforordningen kapittel 4 henter vi ut følgende definisjon: Personopplysninger er «enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet»

I praksis ser vi at dette begrepet dekker et veldig bredt spekter, og ting som fingeravtrykk, hodeform (faceID) eller dynamiske IP-adresser kan bli tolket som personopplysninger. I praksis vil veldig mange IT-systemer som utvikles i Norge behandle personopplysninger og påvirkes derfor av denne loven.

Les også: Hvordan lykkes med smidig testing i dagens IT-prosjekter?

Bakgrunn: GDPR og personopplysninger

Om formålet for innhenting av personopplysninger har vært å bruke disse opplysningene i et produksjonssystem er det ikke nødvendigvis slik at dette er forenlig med å bruke de samme opplysningene til utvikling og test av samme IT-system.

Finansdepartementet la i vår fram et høringsforslag om at Skatteetaten og Tolletaten skal ha anledning til nettopp dette, altså å bruke personopplysninger til utvikling og test av IT-system.

Du kan lese høringsnotatet ved å klikke deg inn her.

Basert på høringsnotatet leser vi at dette forslaget gjelder kun nødvendige personopplysninger som kun skal brukes “dersom det er umulig eller uforholdsmessig vanskelig å oppnå formålet ved å bruke anonyme eller fiktive opplysninger”. Videre henvises det til en lignende formulering i Husbanklovens § 12 tredje ledd første punkt. Denne formuleringen er nesten identisk, men det er lagt på “uforholdsmessig vanskelig” i tillegg.

Høringsvar

I tabellen under har vi forsøkt å oppsummere alle høringssvarene som har hatt merknader.

Høringssvar bruk av personopplysninger i testing og utvikling av IT-system

Det er dessverre litt vanskelig å koke ned til tider komplekse svar til et kryss i Ja/Nei-kolonnen. Vi anbefaler at alle som er interessert, leser alle høringssvarene, da de belyser problemstillingen på en fornuftig måte.

Vi ser at det naturlig nok er litt spredning på svarene her. Skatteetatens Landsforbund, Tolldirektoratet og Skattedirektoratet er naturligvis for, mens Arbeids – og velferdsdirektoratet, Datatilsynet og Den norske Revisorforening er mot. En annen ting som går igjen i mange av svarene er at man ønsker en avklaring av gjeldende regelverk. Mange mener at et lovtillegg som presiserer dette er ønskelig.

Vi kan konkludere med at det hersker stor tvil om man faktisk kan bruke personopplysninger til test og utvikling av it-systemer. Velger man å gjøre dette bør man kunne vise til relevant lovtekst.

Les mer: Kvalitet uten testautomatisering

Vi kan hjelpe deg med testdata

Vi har bygd opp stor kompetanse på syntetiske testdata – enten fullsyntetiske testdata uten rot i virkeligheten, eller maskinlærte testdata, som representerer de samme statistiske egenskapene som dataene man har i produksjon. Ta kontakt for en uforpliktende prat.

Les mer om våre løsninger her!