Trendsz

Tijdens onze laatste Bijtanken bij Bartosz sessie hebben we vanuit verschillende invalshoeken gekeken naar productie- en testdata. Het selecteren en gereed maken van data sets met testdata kost heel veel tijd. Vaak meer dan we willen. Testdata moet juist, volledig en productie-like zijn. De simpele oplossing lijkt een kopie te maken van de data die al in productie staat. Maar in de praktijk blijkt dit niet zo handig en makkelijk te zijn. Wat doe je als je nog geen productiedata hebt omdat je aan een nieuw systeem werkt? En als de productiedata wel aanwezig is, mogen we die dan eigenlijk wel gebruiken?

Productie-like testen

Bij onze laatste Bijtank-sessie, een kennis event dat we drie keer per jaar organiseren en waar we ontwikkelingen die we zien in het vakgebied delen met onze klanten en andere testprofessionals, waren ruim 70 aanwezigen. Allen geïnteresseerd in het momenteel zeer actuele onderwerp ‘productie-like testen’. Want met de komst van de Algemene Verordening Gegevensbescherming (AVG), ook bekend als de General Data Protection Regulation (GDPR), krijgen organisaties te maken met hoge boetes als persoonsgegevens onrechtmatig worden verwerkt, of er privacy gevoelige data weglekt. Dit betekent dat er eisen worden gesteld aan productiedata die we als testdata gebruiken. Tijdens de Bijtank-sessie hebben we vanuit verschillende invalshoeken gekeken naar productie- en testdata. André Hanemaaijer (DataDogs) en Tibor van der Wel (Bartosz) vertelden vanuit de praktijk hoe je een datamigratie test. Jacob Hooghiemstra (Aegon) gaf een presentatie over ketentesten bij Aegon, en de uitdagingen die dat met zich meebrengt voor het gebruik van testdata. En Pieter Hagen (CA technologies) liet zien wat er met tooling op het gebied van testdata management mogelijk is. Last, but not least, gaf Teun de Heer (de IT-jurist) uitleg over de Algemene Verordening Gegevensbescherming. Hij ging daarbij ook in op implicaties voor het gebruik van test data.

"Mogen organisaties na de inwerkingtreding van de AVG per 25 mei 2018 nog wel testen met echte klantgegevens?"

Algemene Verordening Gegevensbescherming

Teun de Heer heeft over het momenteel zeer relevante onderwerp van zijn presentatie tijdens onze Bijtank-sessie ook een blog geschreven. Waarin hij zich afvraagt of organisaties na de inwerkingtreding van de AVG per 25 mei 2018 nog wel mogen testen met echte klantgegevens.

“Als binnen een organisatie persoonsgegevens worden verwerkt, moet vooraf worden vastgelegd voor welk doel deze verwerking plaatsvindt en op basis van welke grondslag. Grondslag en doel worden voornamelijk geformuleerd met het oog op de primaire bedrijfsprocessen. Een bank voert betalingen uit en verstrekt leningen. De wet biedt banken een grondslag voor de verwerking (van persoonsgegevens) die nodig is om deze taken te kunnen uitvoeren. Wil dat nu zeggen dat de verwerking ten behoeve van alle ondersteunende processen automatisch ook rechtmatig is?

Dat is niet het geval. Het feit dat een verkooporganisatie persoonsgegevens mag verwerken om facturen te kunnen verzenden, rechtvaardigt nog niet dat deze organisatie dezelfde persoonsgegevens verwerkt bij het testen zijn CRM software. Het is noodzakelijk dat software wordt getest, maar als in het kader daarvan persoonsgegevens worden verwerkt is een zelfstandige grondslag en motivering nodig.

Als we op zoek gaan naar een verwerkingsgrond hebben we tot 25 mei 2018 nog te maken met de Wet Bescherming Persoonsgegevens (WBP). Na deze datum treden de bepalingen van de Algemene Verordening Gegevensbescherming (AVG) in werking. In het kader van testwerkzaamheden wordt de (veronderstelde) rechtmatigheid van de verwerking vaak gebaseerd op de verwantschap tussen het beoogde doel (testen) en het doel waarvoor de gegevens oorspronkelijk zijn verkregen. De formulering van de AVG wijkt op dit punt echter iets af van de huidige WBP. Bij het vaststellen van de grondslag voor de verwerking is het belangrijk om daar aandacht aan te besteden.

Voor alle duidelijkheid: bovenstaande heeft niet als strekking dat er altijd een grond kan worden gevonden voor het testen met klant- en relatiegegevens. De AVG legt de lat behoorlijk hoog. De verwerkingsverantwoordelijke heeft de verplichting om aan te tonen dat de verwerking zoveel mogelijk wordt beperkt (privacy by design, privacy by default). In die gevallen waarin de verantwoordelijke meent geen alternatieven te hebben voor het gebruik van productiedata bij het testen, zal hij moeten kunnen aantonen dat de verwerking is getoetst aan de beginselen van proportionaliteit en subsidiariteit.”

Meer weten? Klik dan hier om de hele blog van IT-jurist Teun de Heer te lezen.

Bijtanken bij Bartosz

What’s next?

De volgende Bijtanken bij Bartosz organiseren we op 28 september en staat in het teken van Visual Thinking. Tijdens deze avond staan we stil bij een belangrijk ingrediënt uit de Bartosz visie rond Quality Infected Teams. Deze visie beschrijft de aanpak die leidt tot het opleveren van software met waarde. Een belangrijk ingrediënt van een Quality Infected Team is de Whole Team Approach. Kwaliteit is niet de verantwoordelijkheid van de tester alleen. Het hele team zorgt dat het leveren van de juiste kwaliteit stevig is verankerd in het hele voortbrengingsproces. Wij zien de tester als change agent voor Quality Infected Teams. De vraag is hoe je het hele team hierin mee krijgt? Er zijn tools die de tester helpen effectief te zijn in deze missie. Tijdens de volgende Bijtank-sessie laten we de deelnemers een voorbeeld laten zien… neem je schetsboek mee! Aanmelden kan door een mail te sturen naar annejan.willems@bartosz.nl

Wil je ons nieuwste Paarsz magazine per post ontvangen? Laat dan je gegevens achter.

Ontwerp zonder titel (19)

Werken bij Bartosz?

Vincent Verhelst

Geïnteresseerd in Bartosz? Dan ga ik graag met jou in gesprek. We kunnen elkaar ontmoeten met een kop koffie bij ons op kantoor. Of tijdens ontbijt, lunch, borrel of diner op een plek die jou het beste uitkomt. Jij mag het zeggen.

Mijn Paarsz