Helse- og personopplysninger fra produksjonsmiljøet er opplysninger som kan identifisere fysiske personer. Behandling av slike data må derfor følge krav til behandling av helse- og personopplysninger i personvernforordningen og særlovgivningen for helse- og omsorgssektoren.
Bruk av helse- og personopplysninger til testformål medfører en risiko knyttet til informasjonssikkerhet og personvern. Slik bruk kan blant annet medføre at personell som driver med systemutvikling og systemvedlikehold får tilgang til helse- og personopplysninger som de i utgangspunktet ikke skal ha tilgang til, for eksempel at en utvikler av et journalsystem får tilgang til pasientopplysinger. Videre er test- og utviklingsmiljøer ofte ikke like godt sikret som produksjonsmiljøer, derfor må testmiljøer med reelle data sikres på samme måte som produksjon med tilsyn til tilgangskontroll, logging og overvåking. Det må sikres at pasienten kan få innsyn i loggene i henhold til gjeldende lovverk. Reelle helse- og personopplysninger benyttes kun unntaksvis og ved godkjente scenario til testformål.