De TestNet thema-avond van 10 september was goed bezocht en dat is goed nieuws. Nog beter nieuws is dat de leden graag over deze avonden willen schrijven. Hierbij dan ook twee artikelen in deze blog. Of je bij de avond was of niet, Fred Steenbergen en Ellen van Tilborg hebben vanuit hun persoonlijke perspectief geschreven over deze avond waardoor het een extra dimensie krijgt.
Fred en Ellen, bedankt voor jullie stukjes.
Mocht je zelf een stuk willen schrijven over een thema-avond, schroom niet om het ons te melden!
Rob van Steenbergen – redacteur TestNetNieuws
Een verhaal met een moraal
Auteur: Fred Steenbergen ● suzefred@gmail.com ● https://www.facebook.com/fred.steenbergen
Als tester loop je er gegarandeerd tegenaan: je moet iets testen en daarvoor heb je testdata nodig. Grote kans dat je een testomgeving hebt of toegewezen krijgt waar al data in zit en die kun je gebruiken voor je testgevallen. Maar hoe zit het met die testdata? Waar komt die eigenlijk vandaan? Mag je die wel zomaar gebruiken? Vaak is de testdata in een testomgeving een extract van de productieomgeving, al dan niet aangevuld met specifieke testdata. En daar wordt het dan spannend. Want het testen met productiedata is op grond van de wet niet toegestaan als deze data privé-gevoelige gegevens bevat.
Dat roept een aantal vragen op die van belang zijn
- Niet toegestaan. Dat maakt het dus illegaal als ik het wel doe?
- Wat is ‘privé-gevoelig’?
- Wat moet je doen als gevraagd wordt te testen met productiedata? Weigeren of niet te moeilijk doen?
Belangrijke vragen waar elke tester toch een keer over na zou moeten denken.
‘Voordat je je bedrijf, en misschien wel jouw naam, plotseling terugziet op PUB-leaks.’
Twee of drie jaar geleden was ik bij een TestNet-avond en ook die ging over testdata. Ook toen was het een interessante avond over een interessant onderwerp en daarom gaf ik me nu snel op. Edwin van Vliet zou ook dit keer de spreker zijn, maar hij kon door persoonlijke redenen helaas niet. Gelukkig had hij een vervanger.
Bart Knaack: De do’s en don‘ts van testdata
Testen met productiedata is op grond van de Wet Bescherming Persoonsgegevens niet meer toegestaan als deze data privé-gevoelige gegevens bevat. Bart vertelt wat dat voor ons testers betekent en hoe we moeten omgaan met testdata. Je kunt als insteek nemen dat je wilt of moet testen met productiedata, maar je kunt het ook vanaf de andere kant bekijken: Waarom zou je willen testen met testdata (en dus niet met productiedata).
Er zijn goede redenen te noemen:
- Compliancy: omdat je aan de regels moet voldoen. Productiedata mag alleen maar gebruikt en verwerkt worden door een bepaalde groepen mensen. Testers vallen hier echter niet onder.
- Security: je hebt te maken met systemen waarop ingebroken kan worden. Stel dat iemand onbedoeld in de testomgeving kan komen (die over het algemeen veel minder zijn beveiligd dan de productiesystemen), dan wil je niet dat daar de productiedata te vinden is.
- Efficiëntie: productiedata is over het algemeen veel groter dan de data die je nodig hebt om mee te testen. Zou je productiedata in een testomgeving plaatsen, dan neemt dat onnodig veel ruimte in. Bovendien duurt het draaien van testruns met productiedata veel tijd. En als er dan al fouten uit komen, dan is het analyseren daarvan door de omvang vermoedelijk veel tijdrovender dan met een beperkte set aan testdata.
- Noodzaak: het is denkbaar dat het een systeem betreft waarvoor nog geen productiedata beschikbaar is.
Maar stel dat je toch werkt met productiedata, wanneer is het dan data die niet zou mogen?
Hier wordt het verhaal technisch en wordt er verwezen naar het ‘richtsnoer bescherming persoonsgegevens’ en naar artikel 16. En aangezien we allemaal geacht worden de wet te kennen, zal ik die hier niet plaatsen.
Een paar steekwoorden misschien?
- Gegevens die te maken hebben met levensovertuiging.
- Financiële gegevens.
- Mensen uit kwetsbare groepen.
- Gegevens die gebruikt kunnen worden voor identiteitsfraude.
- Gegevens over lidmaatschappen van vakverenigingen.
- Gegevens over onrechtmatig/hinderlijk gedrag.
Dat zijn er nogal wat. Maar om er maar eens één uit te pakken: wij, deelnemers van TestNet, zijn lid van een vakvereniging. Onze gegevens zijn daardoor dus gevoelig en mogen ook niet zomaar gebruikt worden.
Drie jaar geleden werd aan de zaal gevraagd wie er gebruik maakte van productiedata. Volgens mij was dat toen iets van 97%. Dit keer werd het weer gevraagd. Ik gok dat ongeveer de helft de hand in de lucht had. Dat is nog steeds veel, maar het geeft wel aan dat er een verschuiving gaande is. Er is meer aandacht voor dit onderwerp en er wordt inmiddels meer gebruik gemaakt van alternatieven. Het komt ‘tussen de oren’.
We gaan steeds meer werken met echte testdata. En dan wordt het van belang om na te denken waaraan testdata moet voldoen. Het moet lijken op productie, maar het mag geen productie zijn. Het moet herkenbaar zijn als zijnde testdata. Zo kun je bijvoorbeeld alle namen wijzigen en vervangen door TESTnaam1 en TESTnaam2. Maar kan elk systeem wel tegen een naam met zoveel hoofdletters? De testdata moet functioneel dekkend zijn. Je hebt geen 10 miljoen records uit productie nodig want veel hierin zal ‘identiek’ zijn, maar je wilt wel een dwarsdoorsnede hebben van wat mogelijk is. De variatie die in productie voorkomt, wil je ook in de test.
Het maken van een goede dataset is een vak apart. Het opbouwen is lastig, het onderhouden ook. Laat je het bouwen over aan een externe partij, dan komt er nog eens een flink aantal uitdagingen bij, zeker wanneer het gedaan wordt door een partij buiten de EU. Al met al is TestData een vakgebied waar nog veel over te vertellen (en te leren) valt.
Peter Wanders neemt de tweede presentatie voor zijn rekening
Peter werkt dertien jaar bij de KLM waarvan de eerste zeven jaar als programmeur en de laatste jaren in het testvak. Een mooie combinatie want Peter laat na een klein stukje theorie over hoe een systeem te vullen met testdata, vol overtuiging zien dat de mix van kunnen programmeren en testen een waardevolle is. Zoals hij zelf zegt: ‘Doe je vaak hetzelfde, dan moet het geautomatiseerd kunnen worden.’
Wat mij vooral erg aanspreekt in zijn presentatie is dat hij niet meteen begint over de grote testautomatiseringstools. Uit ervaring weet ik dat die te duur zijn, licenties te weinig, te ingewikkeld, te … nou ja, noem het maar op. Tussen het moment dat je ze nodig hebt en het moment dat je ze krijgt, zit veel tijd. Tijd die je meestal niet hebt.
Wat hebben we wel? Excel. Op vrijwel elke werkplek is Excel aanwezig. En juist hiermee kan je al zo veel. In een 
notendop laat Peter zien wat hij gebouwd heeft met Excel en hoeveel werk dat de tester bespaart. De tool plaatst hij op een plek waar iedereen erbij kan en de link er naartoe distribueert hij naar iedereen. ‘Tuurlijk, ook dit is programmeren, en ook dit moet getest en onderhouden worden, maar het weegt op tegen al het handwerk wat anders gedaan zou moeten worden. Excel, de ideale testautomatiseringstool. Zet hem in om testdata te maken, of in te lezen. Daardoor houd je tijd over om de kerntaken te doen: testgevallen maken, uitvoeren, bevindingen opvoeren en hertesten.
Moraal wellicht van dit verhaal: Wordt een goeie tester, leer programmeren…?
De avond van Ellen, over testdata, eyeopeners en een borrel
Auteur: Ellen van Tilborg
Ik ben gevraagd om een stukje te schrijven over de thema-avond testdata. Ik heb er een aantal highlights uitgehaald; zaken die mijn blikveld hebben verruimd.
Eerste presentatie: Wet Bescherming Persoonsgegevens
De eerste presentatie ging over het voldoen van de testdata aan de Wet Bescherming Persoonsgegevens. Hierbij gaat het niet zozeer over dat jij niets met persoonlijke gegevens in testdata doet. Eerder dat andere mensen niets met persoonlijke data van anderen doen. Als een hacker het testsysteem binnenkomt en daar staat een kopie van de productiedata, ligt die data op straat. Met alle gevolgen van dien. Ik hield de reikwijdte van gevaar altijd bij mijzelf, maar dat ligt dus duidelijk veel breder.
En niet alleen klantgegevens maar ook bedrijfsgegevens moeten zorgvuldig afgeschermd worden. Voor inbrekers van buitenaf, maar ook voor ‘inbrekers’ van binnen in de organisatie. Markeer testdata ook als zodanig, zodat voor iedereen die er (ongeoorloofd?) toegang tot heeft, dit ook snel kan zien.
Doet zich een situatie voor waarin alleen met productiedata getest kan worden, laat dit dan gebruikers doen die uit hoofde van hun functie hier al toegang tot hebben. Klinkt eigenlijk vanzelfsprekend, maar is het niet.
Tweede presentatie: het opzetten van testdata
Als handelingen erg herhalend worden, is het zaak om te kijken hoe ze geautomatiseerd kunnen worden. De tools die bij de presentatie getoond werden om testdata op te zetten, waren door de spreker zelf gemaakt en hadden hun weg in de organisatie goed gevonden.
Op deze manier komt de focus meer te liggen op het echte testwerk en nemen de voorbereidende testwerkzaamheden, waaronder het aanmaken van testdata, minder tijd in beslag. Daardoor komt er weer meer ruimte voor andere zaken, zoals bijvoorbeeld het maken van tools om testdata op te zetten. Er vindt zo een verschuiving van werkzaamheden plaats, het testwerk wordt anders.
De derde spreker heb ik ontmoet tijdens de borrel erna
Dat ging over een heel ander onderwerp, namelijk over ‘niet helemaal geslaagde’ projecten. Het lijkt erop dat projecten soms bedoeld zijn om te mislukken, omdat een geslaagd project wellicht niet helemaal strookt met het eigen belang. Ik zie dat als een gemiste kans voor ons allemaal; men lijkt voorbij te gaan aan het economisch of collectief belang, waardoor andere belanghebbers het nakijken hebben. Er is meer in het leven dan alleen de dollartekens. Als je samen wilt leven, zul je ook samen moet werken aan een maatschappij waar een ieder tot zijn recht komt.
Het was een enerverende avond, met voor mij toch wel een aantal eyeopeners. Ik hoop dat ik iemand enthousiast heb gemaakt om van mij het (schrijf) stokje over te nemen voor de volgende TestNet thema bijeenkomst. Ook dat geeft een andere dimensie aan een TestNet avond.
Tot ziens bij TestNet!