Datatilsynet har publicerat en vägledning på sin webbplats om användningen av personuppgifter för att utveckla och testa IT-system. Enligt Datatilsynet kan det vara nödvändigt att använda personuppgifter för att testa IT-system, särskilt i samband med sluttester av integrationer med andra externa IT-system, där det kan vara svårt att skapa korrekta anonymiserade testdata, och i samband med felsökning och felrättning.
Användning av personuppgifter för teständamål kan enligt Datatilsynet därför begränsas. Ju närmare man (som företag eller myndighet) kommer produktionsfasen, desto mer välgrundat kan det enligt Datatilsynet vara att man använder (mer) produktionsdata, inklusive personuppgifter. Ibland blir det till och med ett uttryck för otrygghet att sätta ett system i produktion utan att ha testat med produktionsdata – inklusive personuppgifter – först.
När ett företag eller en offentlig verksamhet vill behandla personuppgifter för teständamål krävs enligt Datatilsynet att man har gjort en korrekt bedömning av risken för de registrerade (t.ex. anställda, kunder och medborgare) och att man har upprättat lämpliga säkerhetsåtgärder i enlighet med riskbedömningen. Om produktionsdata, inklusive personuppgifter, ska användas för testning och utveckling av IT-system måste företag eller en offentlig verksamheter därför som utgångspunkt enligt myndigheten ha fastställt samma säkerhetsåtgärder i testmiljön som har bedömts vara lämpliga i produktionsmiljön.