Doelbinding bij tests en het herstellen van fouten

09 dec 2022

De Algemene Verordening Gegevensbescherming (hierna: AVG) heeft een aantal kernprincipes waaraan alle verwerking van persoonsgegevens moet voldoen (Artikel 5 lid 1 AVG). Het Hof van Justitie (hierna: Hof) heeft twee van die principes verduidelijkt in een recente uitspraak. Het eerste principe, doelbinding, houdt in dat persoonsgegevens alleen mogen worden gebruikt voor het doel waarvoor ze verzameld zijn. Het tweede principe, opslagbeperking, houdt in dat persoonsgegevens niet langer mogen worden bewaard dan nodig voor het doel waarvoor ze verzameld zijn.

De feiten van de zaak

De namen van de partijen zijn vertaald naar het Nederlands en versimpeld.

Deze zaak begon in Hongarije. Digi, een groot Hongaars telecombedrijf, heeft na een storing in een server in april 2018 een testdatabase opgezet met daarin de persoonsgegevens van een deel van haar klanten. Deze heeft ze gebruikt om de server na de storing te testen en eventuele fouten te herstellen.

Een ethisch hacker heeft in september 2019 een kwetsbaarheid bij Digi gevonden en heeft daarmee toegang gekregen tot de testdatabase. Digi verhelpt de kwetsbaarheid en meldt het datalek bij de Hongaarse Autoriteit persoonsgegevens (hierna: Autoriteit). Ook wordt de testdatabase gewist.

De Autoriteit legt Digi in mei 2020 een boete op van 250 000 euro wegens het schenden van het principe van doelbinding en opslagbeperking doordat de testdatabase niet direct was gewist nadat de problemen waren opgelost.

Digi vecht het besluit aan bij de Hongaarse rechter. De rechter stelt vervolgens twee vragen aan het Hof:

  1. Mag een parallelle database worden gemaakt en gebruikt voor het uitvoeren van tests en het oplossen van problemen binnen het begrip van doelbinding?
  2. Mag een parallelle database dan worden gemaakt en bewaard binnen het begrip van opslagbeperking?

Vraag 1: doelbinding

Het Hof stelt vast dat Digi de persoonsgegevens heeft verzameld voor een duidelijk doel, namelijk om abonnementen af te sluiten en uit te voeren. De testdatabase was een verdere verwerking, waardoor de vraag is of dit verenigbaar was met het oorspronkelijke doel van de verwerking. Dit is natuurlijk belangrijk als het doel van de verdere verwerking anders is dan het oorspronkelijke doel. Om te kijken of de verwerking verenigbaar is, moet met het volgende rekening worden gehouden:

  1. De verbanden tussen het oorspronkelijk doel en het doel van de verwerking;
  2. De omstandigheden waar de persoonsgegevens verzameld zijn en de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke;
  3. De aard van de persoonsgegevens;
  4. De mogelijke gevolgen van de verdere verwerking voor de betrokkenen;
  5. Het bestaan van passende waarborgen.

Deze punten zijn gebaseerd op Artikel 6 lid 4 AVG en overweging 50 AVG. Samen zorgen ze ervoor dat gekeken kan worden of het doel van de verwerking niet afwijkt van de legitieme verwachtingen van de betrokkenen.

Specifiek voor dit geval gebruikt Digi een testdatabase bedoeld om een systeem te testen en fouten te herstellen. Hierdoor kan Digi de diensten blijven leveren waar haar klanten een abonnement voor hebben. Daarmee worden negatieve gevolgen van eventuele fouten voor de klanten van Digi voorkomen. De klanten van Digi verwachten ook dat hun gegevens toegankelijk zijn en veilig worden bewaard. De testdatabase van Digi is dus niet in strijd met het doelbindingsprincipe.

Vraag 2: opslagbeperking

Omdat de verwerking van persoonsgegevens aan alle principes van de AVG moet voldoen, is het principe van opslagbeperking hier ook nog van belang. Persoonsgegevens mogen namelijk alleen bewaard worden zolang ze nodig zijn voor het doel waarvoor ze verzameld zijn. Hierdoor kan een verwerking die ooit rechtmatig was, onrechtmatig worden als het doel waarvoor de gegevens nodig waren verdwijnt.

In dit geval heeft Digi de testdatabase niet gewist nadat het doel van die database, namelijk het uitvoeren van tests en het herstellen van fouten, was vervuld. Naar eigen zeggen is dit gebeurd door onoplettendheid en na de melding van de hacker heeft Digi de database direct verwijderd. Dit is wel in strijd met het principe van opslagbeperking, want persoonsgegevens mogen niet bewaard worden als ze niet meer nodig zijn.

Conclusie

In deze zaak bevestigt het Hof dat persoonsgegevens inderdaad niet alleen maar voor hun oorspronkelijke doel gebruikt mogen worden. Een testdatabase zoals die van Digi is prima als dit past binnen de legitieme verwachtingen van de betrokkenen. Zorgen dat het systeem wat over abonnementen gaat goed werkt en geen fouten bevat past binnen die verwachtingen. Echter, dit betekent niet dat die database daarna ook bewaard mag worden. Als een database geen doel meer dient, dan moet die verwijderd worden.

Mocht je vragen hebben, dan kun je uiteraard contact opnemen met één van onze specialisten.

Jos van der Wijst