Doelbinding bij tests en het herstellen van fouten

09 dec 2022

De Algemene Verordening Gegevensbescherming (hierna: AVG) heeft een aantal kernprincipes waaraan alle verwerking van persoonsgegevens moet voldoen (Artikel 5 lid 1 AVG). Het Hof van Justitie (hierna: Hof) heeft twee van die principes verduidelijkt in een recente uitspraak. Het eerste principe, doelbinding, houdt in dat persoonsgegevens alleen mogen worden gebruikt voor het doel waarvoor ze verzameld zijn. Het tweede principe, opslagbeperking, houdt in dat persoonsgegevens niet langer mogen worden bewaard dan nodig voor het doel waarvoor ze verzameld zijn.

De feiten van de zaak

De namen van de partijen zijn vertaald naar het Nederlands en versimpeld.

Deze zaak begon in Hongarije. Digi, een groot Hongaars telecombedrijf, heeft na een storing in een server in april 2018 een testdatabase opgezet met daarin de persoonsgegevens van een deel van haar klanten. Deze heeft ze gebruikt om de server na de storing te testen en eventuele fouten te herstellen.

Een ethisch hacker heeft in september 2019 een kwetsbaarheid bij Digi gevonden en heeft daarmee toegang gekregen tot de testdatabase. Digi verhelpt de kwetsbaarheid en meldt het datalek bij de Hongaarse Autoriteit persoonsgegevens (hierna: Autoriteit). Ook wordt de testdatabase gewist.

De Autoriteit legt Digi in mei 2020 een boete op van 250 000 euro wegens het schenden van het principe van doelbinding en opslagbeperking doordat de testdatabase niet direct was gewist nadat de problemen waren opgelost.

Digi vecht het besluit aan bij de Hongaarse rechter. De rechter stelt vervolgens twee vragen aan het Hof:

  1. Mag een parallelle database worden gemaakt en gebruikt voor het uitvoeren van tests en het oplossen van problemen binnen het begrip van doelbinding?
  2. Mag een parallelle database dan worden gemaakt en bewaard binnen het begrip van opslagbeperking?

Vraag 1: doelbinding

Het Hof stelt vast dat Digi de persoonsgegevens heeft verzameld voor een duidelijk doel, namelijk om abonnementen af te sluiten en uit te voeren. De testdatabase was een verdere verwerking, waardoor de vraag is of dit verenigbaar was met het oorspronkelijke doel van de verwerking. Dit is natuurlijk belangrijk als het doel van de verdere verwerking anders is dan het oorspronkelijke doel. Om te kijken of de verwerking verenigbaar is, moet met het volgende rekening worden gehouden:

  1. De verbanden tussen het oorspronkelijk doel en het doel van de verwerking;
  2. De omstandigheden waar de persoonsgegevens verzameld zijn en de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke;
  3. De aard van de persoonsgegevens;
  4. De mogelijke gevolgen van de verdere verwerking voor de betrokkenen;
  5. Het bestaan van passende waarborgen.

Deze punten zijn gebaseerd op Artikel 6 lid 4 AVG en overweging 50 AVG. Samen zorgen ze ervoor dat gekeken kan worden of het doel van de verwerking niet afwijkt van de legitieme verwachtingen van de betrokkenen.

Specifiek voor dit geval gebruikt Digi een testdatabase bedoeld om een systeem te testen en fouten te herstellen. Hierdoor kan Digi de diensten blijven leveren waar haar klanten een abonnement voor hebben. Daarmee worden negatieve gevolgen van eventuele fouten voor de klanten van Digi voorkomen. De klanten van Digi verwachten ook dat hun gegevens toegankelijk zijn en veilig worden bewaard. De testdatabase van Digi is dus niet in strijd met het doelbindingsprincipe.

Vraag 2: opslagbeperking

Omdat de verwerking van persoonsgegevens aan alle principes van de AVG moet voldoen, is het principe van opslagbeperking hier ook nog van belang. Persoonsgegevens mogen namelijk alleen bewaard worden zolang ze nodig zijn voor het doel waarvoor ze verzameld zijn. Hierdoor kan een verwerking die ooit rechtmatig was, onrechtmatig worden als het doel waarvoor de gegevens nodig waren verdwijnt.

In dit geval heeft Digi de testdatabase niet gewist nadat het doel van die database, namelijk het uitvoeren van tests en het herstellen van fouten, was vervuld. Naar eigen zeggen is dit gebeurd door onoplettendheid en na de melding van de hacker heeft Digi de database direct verwijderd. Dit is wel in strijd met het principe van opslagbeperking, want persoonsgegevens mogen niet bewaard worden als ze niet meer nodig zijn.

Conclusie

In deze zaak bevestigt het Hof dat persoonsgegevens inderdaad niet alleen maar voor hun oorspronkelijke doel gebruikt mogen worden. Een testdatabase zoals die van Digi is prima als dit past binnen de legitieme verwachtingen van de betrokkenen. Zorgen dat het systeem wat over abonnementen gaat goed werkt en geen fouten bevat past binnen die verwachtingen. Echter, dit betekent niet dat die database daarna ook bewaard mag worden. Als een database geen doel meer dient, dan moet die verwijderd worden.

Mocht je vragen hebben, dan kun je uiteraard contact opnemen met één van onze specialisten.

Robin Verhoef nieuw 1

    AI, kunst en auteursrecht
    Lees meer
    Een geluidsfragment als merk registreren: kan dat?
    Lees meer
    De auteursrechtelijke implicaties van ChatGPT
    Lees meer
    Kortingsactie merk- en modelregistratie 2023
    Lees meer
    Inschrijfformulier datalek DELTA Mobiel en Caiway
    Lees meer
    Tegenslag voor Rolex
    Lees meer
    Privacy in de zorg
    Lees meer
    Auteursrecht vergoeding verschuldigd voor afspelen muziek in zorglocatie
    Lees meer
    Een kwestie over schoenen: namaak Louboutin advertenties op Amazon
    Lees meer
    Een portret als merk
    Lees meer
    De Nederlandse rechter onbevoegd in geschil over reisdagboek
    Lees meer
    Nieuwe compromistekst van AI-verordening maakt IAMA verplicht voor high-risk toepassingen
    Lees meer
    De komst van de hernieuwde Nederlandse Corporate Governance Code
    Lees meer
    Auteursrechtinbreuk, schadevergoeding en proceskosten
    Lees meer
    Algoritmeregister van de Nederlandse overheid
    Lees meer
    AI compliance check
    Lees meer
    Onderzoek naar gebruik algoritmes door overheden
    Lees meer
    Werknemer die datasets heeft gedownload kon op staande voet worden ontslagen
    Lees meer
    Moet Mollie informatie over algoritme verstrekken?
    Lees meer
    Een nieuwe ontwikkeling op het gebied van AI: ChatGPT
    Lees meer
    Nietigverklaring van een merk
    Lees meer
    Wanneer mag je software decompileren?
    Lees meer
    Raad van de Europese Unie stemt in met tekst van AI-verordening
    Lees meer
    Startdatum van Unified Patent Court (UPC) verzet
    Lees meer
    De intocht van sinterklaas en het auteursrecht
    Lees meer
    SaaS-Overeenkomst
    Lees meer
    Nederland stemt in met tekst voorstel AI verordening
    Lees meer
    Het Europees Hof schrapt het openbare UBO-register
    Lees meer
    Franchisegever beroept zich met succes op concurrentiebeding
    Lees meer
    De uitwerking van een concept kan worden beschermd
    Lees meer
    Gebruik van overeenstemmende domeinnaam
    Lees meer
    De bescherming van kleurmerken en het relevante publiek
    Lees meer
    Inbreuk op IE-recht? Let op bestuurdersaansprakelijkheid
    Lees meer
    President Biden ondertekent executive order over gegevensuitwisseling tussen de EU en VS
    Lees meer
    Denkt u na over internationaal ondernemen?
    Lees meer
    Product design als merk, eerder uitzondering dan regel
    Lees meer
    AI Aansprakelijkheid richtlijn
    Lees meer
    Schending AVG: ex-patiënte ontvangt schadevergoeding van ziekenhuis
    Lees meer
    ACM: Misleidende duurzaamheidsclaims van Decathlon & H&M
    Lees meer
    Recht op inzage in een medisch advies van een beoordelend arts na een aansprakelijkheidsclaim?
    Lees meer
    Doorverkoop van Formule 1-tickets wordt niet verboden
    Lees meer
    Concurrentie op Bol.com: EAN-nummers en merkinbreuken
    Lees meer
    Gebruik van TM, ® en © tekens
    Lees meer
    De overwinningspose als merk
    Lees meer
    Vijf tips voor het sluiten van SaaS-Overeenkomsten
    Lees meer
    Aangepast voorstel AI Verordening
    Lees meer
    Zakelijke e-mail en privacy: wanneer mag je de mailbox van een werknemer controleren?
    Lees meer
    Alles over detachering en uitlenen van zelfstandigen (zzp’ers) en opdrachtnemers
    Lees meer
    Wat is trademark squatting?
    Lees meer
    Alles over detachering en uitlenen van werknemers
    Lees meer
    Handelsnaamgeschillen: Kunnen we het nog volgen?
    Lees meer
    Digitale nieuwsbrieven en privacy: wat kan wel en niet?
    Lees meer
    ABRvS stelt AP in het ongelijk: boete VoetbalTV van tafel
    Lees meer
    Oorsprongsbenamingen op producten voor derde landen ook verboden
    Lees meer
    Merkhouder aansprakelijk voor schade ook wanneer hij niet betrokken is bij productie van het product
    Lees meer
    Gemeenschappelijk auteursrecht op software, wie heeft aanspraak op welk deel?
    Lees meer
    Maakt de handelsnaam Mr. Jobs inbreuk op de handelsnaam Mister Jobs?
    Lees meer
    DUO lanceert synthetische dataset
    Lees meer
    Nietigverklaring modelaanvraag, wat nu?
    Lees meer
    Het belang van merkbewaking
    Lees meer
    Het belang van een merkonderzoek
    Lees meer
    Impact Assessment Mensenrechten en Algoritmes (IAMA)
    Lees meer
    AI Risk Assessment
    Lees meer
    Impact Assessment Mensenrechten en Algoritmes
    Lees meer
    Ingrijpende wijziging regels voor distributieovereenkomsten per 1 juni 2022
    Lees meer
    Geen auteursrechtelijke bescherming op ontwerp
    Lees meer
    Zorg om inzet AI in de zorg
    Lees meer
    Zijn beschrijvende handelsnamen beschermd?
    Lees meer
    Handelsnaam niet beschermd
    Lees meer
    De AI Act en medische apparaten: een moeilijke relatie
    Lees meer
    Wat is het verschil tussen een merk en een handelsnaam?
    Lees meer
    Is mijn gekozen bedrijfsnaam beschikbaar?
    Lees meer
    Merkbewaking
    Lees meer
    Uitgebreid Merkonderzoek
    Lees meer
    Modelregistratie
    Lees meer
    Merkregistratie
    Lees meer
    Moet ik mijn bedrijfsnaam vastleggen?
    Lees meer
    Afwijkende prijzen in Google Shopping: is dat misleidende reclame?
    Lees meer
    Boete voor Italiaanse Deliveroo vanwege slechte gegevensbescherming
    Lees meer
    BG.legal Marketing Brainstormsessies
    Lees meer
    BG.legal Marketinghulplijn
    Lees meer
    Cybersecurity as a Service (CaaS)
    Lees meer
    Cybersecurity checks
    Lees meer
    AVG-compliance check
    Lees meer
    Belang van een modelregistratie
    Lees meer
    AVG-startpakket
    Lees meer
    Strengere regels voor invloedrijke influencers
    Lees meer
    De strijd om de beschrijvende handelsnamen: Trainingskampen.nl en Trainingskamp.nl
    Lees meer
    Rechter roept dance-programmering van Q-music halt toe: hoe zit het?
    Lees meer
    Modelrecht op friet
    Lees meer
    Nederlandse woningcorporaties getroffen door datalek
    Lees meer
    Inschrijfformulier datalekken
    Lees meer
    Advocaat Jos van der Wijst over Mensgerichte AI
    Lees meer
    Bescherming merken in de virtuele wereld
    Lees meer
    EU en VS bereiken principeakkoord over het uitwisselen van data
    Lees meer
    Foto's van gezichten verzamelen
    Lees meer
    Wanneer is een ICT-leverancier verantwoordelijk voor adequate back-ups?
    Lees meer
    Student stagiaire Cybersecurity, Privacy en IT-recht
    Lees meer
    AI regulatory sandboxes en data
    Lees meer
    Is de vormgeving van een website auteursrechtelijk beschermd?
    Lees meer
    Juridische aspecten van Artificial Intelligence
    Lees meer
    Europese Commissie komt met voorstel nieuwe dataregels
    Lees meer
    Korting advocaatkosten voor MKB-ondernemers bij juridisch advies in 2022
    Lees meer
    Gebruik Google Analytics mogelijk in strijd met de AVG
    Lees meer
    European Data Protection Day: wat te doen bij een datalek?
    Lees meer
    Wie heeft auteursrecht op software/vormgeving app/website?
    Lees meer
    Champagne en het intellectueel eigendomsrecht
    Lees meer
    AI: Toezicht en Toolbox
    Lees meer
    Wie is aansprakelijk voor de schade na een ransomware-aanval?
    Lees meer
    Cybersecurity en datalekken
    Lees meer
    Silhouet sinterklaas: auteursrechtinbreuk met inpakpapier
    Lees meer
    Financiële tegemoetkoming voor Juridisch advies
    Lees meer
    (Senior) Medewerker IE/IT/Privacy
    Lees meer
    Keuzes bij cloud services
    Lees meer
    Er zijn al regels voor AI toepassingen
    Lees meer
    Restvoorraad bij einde distributieovereenkomst
    Lees meer
    Model moet nieuw zijn bij aanvraag modelregistratie
    Lees meer
    Inbreuk beschrijvende handelsnaam tóch mogelijk
    Lees meer
    Fake factuur na een merk- of modelregistratie, pas op!
    Lees meer
    Legal AIR
    Lees meer
    Het decoderen van producten kan onrechtmatig zijn
    Lees meer
    Wanneer een schadevergoeding na een datalek?
    Lees meer
    De Autoriteit Persoonsgegevens krijgt in 2022 geen extra budget
    Lees meer
    Uber-chauffeurs nu ook werknemers
    Lees meer
    Merken op verzenddozen: mag dat wel?
    Lees meer
    Kortingsperiode op merk- en modelregistraties verlengd
    Lees meer
    Nieuwsbrief voor datascience ondernemingen
    Lees meer
    Kun je een auteursrecht krijgen op een algoritme?
    Lees meer
    Financiële mogelijkheden voor groei van een onderneming
    Lees meer
    Wie is aansprakelijk bij een ransomaanval?
    Lees meer
    Paralympier aangereden door zelfrijdende bus
    Lees meer
    Wapenen tegen copycats? Registreer je merk!
    Lees meer
    Recept en foto’s gekopieerd door Sonja Bakker: plagiaat of auteursrechtinbreuk?
    Lees meer
    Inwerkingtreding van EU Open Data richtlijn
    Lees meer
    Risico check voor AI toepassingen
    Lees meer
    AI-systeem als uitvinder?
    Lees meer
    Een AI-systeem als baas?
    Lees meer
    IE in de holding
    Lees meer
    Ook het verwerken van voertuigdata is begrensd
    Lees meer
    Leveranciersklem zorginformatiesystemen onder de loep van de ACM
    Lees meer
    Online oplichting en zakelijke identiteitsfraude: wat te doen?
    Lees meer
    Succesvol webinar Fashion & Law deel 2
    Lees meer
    Gebruik van cookies in jouw webshop: Aan welke regels moet ik mij houden?
    Lees meer
    EK-gekte losgebarsten: KNVB vs. Jumbo
    Lees meer
    Belangrijke wijzigingen auteursrecht: makers en exploitanten
    Lees meer
    Jouw eigen gezicht als merkregistratie: kan dat?
    Lees meer
    De Juridische Afdeling: Legal as-a-Service
    Lees meer
    Misleidende duurzaamheidsclaims in de modebranche: Waar moet ik op letten?
    Lees meer
    Nieuwe gezondheidsclaim: wetenschappelijk bewijs vereist
    Lees meer
    Er is ruimte voor onderhandeling bij Arbitvoorwaarden
    Lees meer
    Succesvol webinar legal voor AI startups/scale-ups
    Lees meer
    Schadevergoeding na hack persoonsgegevens?
    Lees meer
    Software as a Service: grip op data
    Lees meer
    Succesvol webinar Praktijkvoorbeelden van AI, E-Health en contractering in de zorg
    Lees meer
    Nieuwe Europese regels voor artificial intelligence
    Lees meer
    Successful webinar NDA, secrecy and cooperation
    Lees meer
    Het delen van data en vertrouwelijkheid
    Lees meer
    Nooit geschoten is altijd mis: Tommy Hilfiger vs. Facebook uiteengezet
    Lees meer
    Intellectueel eigendom en Tech: waar moet je op letten?
    Lees meer
    Reclame maken voor corona zelftesten
    Lees meer
    Wilt u weten of uw merk nog vrij is?
    Lees meer
    Het gebruik van (framed) hyperlinks vs. het auteursrecht
    Lees meer
    Nieuwsgierig en creatief meedenken, Jos van der Wijst
    Lees meer
    Succesvol webinar beschermingsmogelijkheden van AI
    Lees meer
    Exclusiviteitsafspraak in een samenwerkingsovereenkomst
    Lees meer
    Succesvol webinar Fashion & Law deel 1
    Lees meer
    Een geschil/discussie kan ook snel en voor redelijke kosten worden opgelost
    Lees meer
    SyRI wetgeving in strijd met EVRM
    Lees meer
    Google verwijdert (onterechte?) negatieve recensie niet
    Lees meer
    Succesvol webinar AI in de Zorg
    Lees meer
    Hoezo kan ik geen eigenaar zijn van (zorg)data?
    Lees meer
    Cybersecurity in de zorg: dreigingen in beeld!
    Lees meer
    Functie van cosmetische producten verplicht op verpakking
    Lees meer
    Modelrecht en auteursrecht op inwerpzuil
    Lees meer
    Merkonderzoek: Hoe voorkom je merkinbreuk?
    Lees meer
    Doorhaling van een merkregistratie
    Lees meer
    Een webshop: mag alles zomaar of gelden er regels?
    Lees meer
    Een merk moet ook daadwerkelijk gebruikt worden
    Lees meer
    Mag je foto's van werknemers gebruiken?
    Lees meer
    Sinterklaas is toch gewoon sinterklaas?
    Lees meer
    Rechtbank geeft Autoriteit Persoonsgegevens rode kaart
    Lees meer
    Aanbevelingen aansprakelijkheid bij AI
    Lees meer
    Het nieuwe algoritmeregister van de gemeente Amsterdam
    Lees meer
    Algoritme via Detachering
    Lees meer
    Algoritme als Software
    Lees meer
    Mensgerichte Artificiële Intelligentie sessie van NL AI coalitie
    Lees meer
    Schizofrene patiënt maakt betalingen over aan ‘vriendinnen’ in het buitenland.
    Lees meer
    Auteursrechten & Artificial Intelligence
    Lees meer
    Is nieuwe wet- of regelgeving nodig voor AI?
    Lees meer
    Positiemerk: kan je dat beschermen?
    Lees meer
    Algoritme als een Dienst
    Lees meer
    Van wie is het model?
    Lees meer
    Who owns an algorithm? How do you share data? What are legal aspects of AI?
    Lees meer
    Beperkingen in licentieovereenkomst door mededingingsrecht
    Lees meer
    Is een registratiedossier beschermd door auteursrecht?
    Lees meer
    Wees de copycats voor!
    Lees meer
    AI & Privacy in de zorg, een gelukkig huwelijk?
    Lees meer
    Wie is verantwoordelijk voor de analyse door een algoritme?
    Lees meer
    Hoe om te gaan met de inkoopvoorwaarden AI van gemeenten?
    Lees meer
    Mag ik een zelftest voor corona verkopen?
    Lees meer
    Inspiratie in de fashion industrie: wat zijn de grenzen?
    Lees meer
    Gaia-X biedt Europese landen oplossing voor beheer en gebruik van data
    Lees meer
    Gepubliceerde boetes of berispingen zorgpersoneel zijn openbaar
    Lees meer
    Er komt een nieuwe rechtsvorm: de maatschappelijke BV
    Lees meer
    Hulp bij verwijderen van vervelende YouTube video’s: een stappenplan
    Lees meer
    Agentuur- en bemiddelingsovereenkomst, wat is het verschil?
    Lees meer
    Europees Hof verwijst EU-VS Privacy Shield naar de prullenbak. En nu?
    Lees meer
    Merkgebruik bij import producten en doorverkoop
    Lees meer
    BG.legal ontvangt subsidie voor AI kennisplatform
    Lees meer
    Wetgever wil rol curator als verwerker van persoonsgegevens vastleggen
    Lees meer
    Nieuwe UAVG verduidelijkt omgang met medische gegevens in faillissement
    Lees meer
    Verwerking medische persoonsgegevens verduidelijkt in nieuwe UAVG
    Lees meer
    Software / data overeenkomsten
    Lees meer
    NVM is niet verplicht om VBO-leden toegang tot data te geven
    Lees meer
    Bescherming merkrecht: hoe ver gaat dat?
    Lees meer
    Vernietiging van een ingeschreven merk: hoe dan?
    Lees meer
    Een toelichting op de ‘visie op datadeling tussen bedrijven’
    Lees meer
    Nieuwsbrief Tech - meld je aan
    Lees meer
    NL Digital voorwaarden 2020: verbetering positie IT leverancier
    Lees meer
    Een kritische blik op de Corona-apps van de overheid
    Lees meer
    De roep om het vrijgeven van voertuigdata
    Lees meer
    Domeinnamen
    Lees meer
    Voorbeeld tijdelijke licentie voor productie hulpmiddelen tijdens Corona crisis
    Lees meer
    Nieuwsbrief BG Tech: de uitdagingen voor IP en Technologie & gratis webinar corona
    Lees meer
    Tekort materialen corona bestrijding. Is 3D printing of dwanglicentie oplossing?
    Lees meer
    Europese perspectieven op AI medische hulpmiddelen
    Lees meer
    Databankenrecht
    Lees meer
    Checklist data sharing agreement
    Lees meer
    De verkoop en verpanding van data
    Lees meer
    Data en ethiek
    Lees meer
    Het delen van data
    Lees meer
    De bescherming van data
    Lees meer
    Het eigendom van data
    Lees meer
    Data
    Lees meer
    Wanneer kan een IT overeenkomst worden ontbonden?
    Lees meer
    De octrooigemachtigde en het faillissement (deel 3)
    Lees meer
    Wie heeft recht op de domeinnaam?
    Lees meer
    De octrooigemachtigde en het faillissement (Deel 2)
    Lees meer
    Geslaagde bijeenkomst Blockchain & Food tijdens Den Bosch Data Week
    Lees meer
    Seminar 19 november: Investeren en financieren 2.0
    Lees meer
    De octrooigemachtigde en het faillissement (deel 1)
    Lees meer
    Kartelverbod ook bij (Tech-)licenties en samenwerkingscontracten aanwezig
    Lees meer
    Den Bosch Data Week: Practical experiences Blockchain and Food
    Lees meer
    Productomschrijving op een website. Auteursrecht mogelijk?
    Lees meer
    Nieuw Intellectueel Eigendomsrecht/ IT recht advocatenkantoor in Eindhoven
    Lees meer
    Tips voor het verkrijgen van auteursrechten
    Lees meer
    Auteursrecht op website(teksten)
    Lees meer
    Het beëindigen van de onderneming bij een inbreuk op IE-rechten
    Lees meer
    5 TIPS: Wettelijke bewaartermijnen van persoonsgegevens
    Lees meer
    Is de vormgeving van een industrieel product beschermd?
    Lees meer
    Doordacht samenwerken geeft meer macht
    Lees meer
    Hoever mag je gaan bij het nabootsen van een stijl/concept?
    Lees meer
    Adidas merk onderuit door nieuwe uitspraak
    Lees meer
    Aanvraag Tommy Hilfiger bescherming auteursrechten afgewezen
    Lees meer
    Inbreuk op merken in de beauty branche
    Lees meer
    Domeinnamen en merken: het wil nog wel eens botsen
    Lees meer
    Hoe bescherm ik mijn intellectuele eigendom bij een faillissement?
    Lees meer
    Privacyrecht
    Lees meer
    BG.legal participeert in onderzoek naar gebruik van big data en AI door zorginstellingen
    Lees meer
    BG.tech
    Lees meer
    Vacatures
    Lees meer