Testen met echte data, vervolgens datalek
De kwestie gaat over een Hongaarse aanbieder van internet en televisie genaamd Digi. Op een gegeven moment trad er een technische storing op in de klantenadministratie. Daarop werd een kopie van 1/3 van de databank gemaakt voor testdoeleinden. Anderhalf jaar later dringt een hacker binnen in die testdatabank. De toezichthouder legt vervolgens een boete op wegens schending van de bewaartermijn.
Tijdslijn samengevat
De tijdlijn in kwestie komt in de kern dan ook neer op het volgende:
- < april 2018: technische treedt storing op
- April 2018: kopie 1/3 klantenbestand in testdatabank
- Sept 2019: hacker dringt in testdatabank binnen
- Mei 2020: boete toezichthouder schending bewaartermijn
Vragen gesteld door lokale rechter aan Hof van Justitie
De door de toezichthouder opgelegde boete wordt aangevochten door Digi. De kwestie belandt daarop bij een lokale Hongaarse rechter. Die rechter stelt prejudiciële vragen aan het Hof van Justitie (HvJ) over de interpretatie van de AVG, meer specifiek over de regels van doelbinding en opslagbeperking.
HvJ: onderscheid gerechtvaardigd verzameldoel en doelbinding
Het Hof benadrukt allereerst dat artikel 5 lid 1 sub b AVG in feite twee verplichtingen omvat die in één artikel zijn beland:
- de eis van een gerechtvaardigd verzameldoel;
- de eis van verenigbare doelen bij de verdere verwerking.
HvJ: strikte eisen verzameldoel
De eis van een gerechtvaardigd verzameldoel impliceert dat het doel al bij verzameling vast moet staan, uitdrukkelijk moet zijn geformuleerd en dat er voor die doelen ook een grondslag is in de zin van artikel 6 AVG. Het Hof verwijst hier terug naar de kwestie over verwerking voor fiscale doeleinden waarover ik eerder blogde.
HvJ: iedere verwerking na eerste verzameling toetsen
De eis dat bij verdere verwerking het verwerkingsdoel verenigbaar moet zijn met het verzameldoel speelt in de kern al heel snel. Het Hof benadrukt namelijk dat iedere verwerking na de aanvankelijke verzameling al een “verdere” verwerking is. Een extra kopie van bestaande gegevens maken valt hier zeker onder. Wel moet er sprake zijn van een daadwerkelijk ander doel, anders valt er geen verenigbaarheidstoets uit te voeren.
HvJ: verenigbaarheidstoets ziet op verwachtingen betrokkene
Wanneer er verschil zit tussen het verzameldoel en het verwerkingsdoel, moet een verenigingbaarheidstoets worden uitgevoerd. Daarvoor moet worden gekeken naar de criteria genoemd in artikel 6 lid 4 en overweging 50 van de AVG.
Het Hof benadrukt – in feite in lijn met ERHM-rechtspraak – dat het er hierbij in de kern omgaat dat er nog een voldoende verband bestaat tussen de oorspronkelijke en latere verwerking en dat de latere verwerking past bij de redelijke verwachting van betrokkene.
Het Hof geeft tegelijkertijd mee dat in deze open normen ook enige flexibiliteit voor de verwerkingsverantwoordelijke ligt besloten. Deze kan immers, mits het hoog beschermingsniveau wordt gewaarborgd, binnen de criteria van de verenigbaarheidstoets zelf invulling geven aan het gebruik van persoonsgegevens.
HvJEU: nationale rechter moet toetsen
Het Hof geeft zodoende een duidelijke opdracht mee aan de nationale rechter: stel het verzameldoel vast, stel het doel van de latere verwerking vast en voor – bij een verschil tussen die doelen – een verenigbaarheidstoets uit. Ook later in het arrest hamert het Hof erop dat het niet aan het HvJ, maar aan de lokale rechter, is om het inhoudelijke oordeel te geven.
HvJ: aanwijzing aan nationale rechter voor testdoeleinden
Wel geeft het Hof een aanwijzing mee aan de nationale rechter. Wat het Hof betreft houdt het uitvoeren van tests op data en herstellen van fouten in beginsel voldoende verband met het uitvoeren van de abonnementsovereenkomsten. De klant kan immers hinder ondervinden ten aanzien van de overeengekomen dienst indien er fouten in de data zitten. Wel geeft het Hof aan de nationale rechter mee dat deze nog uitdrukkelijk moet toetsen of de gegevens in de testdatabank gevoelig van aard waren, of de abonnees schadelijke gevolgen hebben gehad van het testen als zodanig en of er wel voldoende passende waarborgen waren bij het gebruik voor testdoeleinden.
HvJ: er moet altijd aan alle beginselen worden voldaan
Zoals eerder in de blog aangegeven had de lokale Hongaarse rechter zowel een vraag over doelbinding als over opslagbeperking gesteld. De vraag over opslagbeperking was echter voorwaardelijk geformuleerd; de lokale rechter wilde hier alleen antwoord op indien het HvJ zou oordelen dat het beginsel van doelbinding zou zijn geschonden.
Het Hof gaat niet mee in die voorwaardelijke vraagstelling. Het Hof wijst er op dat bij iedere verwerking van persoonsgegevens altijd aan alle beginselen van artikel 5 AVG moet worden voldaan. Verder wijst het Hof erop dat de AVG uniform moet worden uitgelegd en een hoog beschermingsniveau moet dienen. Gelet daarop is het Hof vrij de vraag te herformuleren en alsnog te beantwoorden. De Hongaarse rechter krijgt zodoende ook antwoord op de (niet gestelde) vraag over hoe om te gaan met de regels van opslagbeperking.
HvJ: niet langer bewaren dan nodig voor verwerkingsdoel
Vervolgens legt het Hof uit dat de regel van opslagbeperking impliceert dat persoonsgegevens niet langer worden bewaard dan voor het verwerkingsdoel noodzakelijk. Gelet op de verantwoordingsplicht moet de verwerkingsverantwoordelijke dit ook kunnen aantonen.
Het is dus ook best denkbaar, zo vervolgt het Hof, dat een verwerking in eerste instantie wel rechtmatig is, maar dat na verloop van tijd het nog langer bewaren van gegevens niet meer te rechtvaardigen is omdat er geen geldig verwerkingsdoel meer is. In dat geval moeten de gegevens worden gewist. Het Hof verwijst hierbij overigens naar een eerdere kwestie over het verwijderen van zoekresultaten op Google.
HvJ: ook op andere gronden niet meer gegevens verwerken dan noodzakelijk
Het Hof wijst erop dat ook volgens andere regels uit de AVG er niet meer persoonsgegevens mogen worden verwerkt dan noodzakelijk.
Zo brengt het Hof in herinnering dat voor iedere verwerking van persoonsgegevens een grondslag moet zijn (artikel 6 AVG). Voor alle grondslagen – behoudens toestemming – geldt dat daarin de eis van noodzakelijkheid is opgenomen. Er mogen dus ook op die grond niet meer persoonsgegevens worden verwerkt dan noodzakelijk voor de betreffende grondslag.
Verder wijst het Hof ook nog op het beginsel van minimale gegevensverwerking van artikel 5 lid 1 onder c AVG. Ook daarin ligt de eis besloten dat de verwerking beperkt moet blijven tot het noodzakelijke.
Ook via andere “aanvliegroutes” geldt dus dat er niet meer persoonsgegevens mogen worden verwerkt dan noodzakelijk.
HvJ: irrelevant dat gegevens wegens onoplettendheid niet zijn gewist
Provider Digi had aangevoerd dat de in de testdatabank opgeslagen gegevens niet waren gewist vanwege onoplettendheid. Het Hof stelt dat dit argument “irrelevant” is. De overweging is niet heel leesbaar geformuleerd, maar het lijkt erop dat het Hof erop wil wijzen dat het niet gaat om de intenties van partijen, maar om de (wat simpeler) vraag of gegevens nu te lang zijn bewaard voor testdoeleinden of niet.
Slotopmerkingen
In sommige commentaren wordt het arrest toegejuicht, in die zin dat het Hof ruimte laat voor het gebruik van echte data voor testdoeleinden. Ik zou wat terughoudender zijn om die conclusie aan dit arrest te verbinden.
Laten we allereerst niet vergeten wat de aanleiding voor het arrest is: een boete van de toezichthouder vanwege een datalek in testdata. Dat datalek had nooit plaats kunnen vinden indien er niet met echt data was getest. Bovendien laat de casus zien dat zodra er een kopie van data wordt gemaakt, de kans op ongelukken ook groter is. In dit geval waren de data immers door onoplettendheid niet gewist.
Bovendien is het weliswaar zo dat het Hof meegeeft dat het gebruik van testdata in beginsel in voldoende nauw verband tot de uitvoering van de abonneeovereenkomst staat, maar tegelijkertijd wordt wel aan de nationale rechter meegegeven dat getoetst moet worden of (i) de data wellicht gevoelig was, (ii) of er schadelijke gevolgen van het testen waren en (iii) of er wel voldoende passende waarborgen waren. Punt (i) zie ik als duidelijke aanwijzing dat testen met gevoelige data waarschijnlijk veel minder snel door de beugel kan. Punt (ii) lijkt in de basis wat theoretisch (het Hof heeft het over schadelijke gevolgen van het testen ‘als zodanig’). De vereiste passende waarborgen van punt (iii) zouden echter weer volop kunnen spelen zodra de kwestie terugkomt bij de Hongaarse rechter. Het feit dat het datalek op de testdata heeft plaatsgevonden roept immers de vraag op hoe goed die testdata beveiligd waren.
Het is bovendien de vraag of de overweging van het Hof over het voldoende nauwe verband tussen uitvoering abonneeovereenkomst en het gebruik voor testdoeleinden altijd op gaat. Het Hof geeft die overweging immers onder de aanname dat het foutherstel in de data de abonnees ten goede komt. Er zijn echter ook best (technische) testen denkbaar waarbij dat voordeel voor de abonnee minder evident is. Het is de vraag of het Hof daar anders over zou oordelen.
Het oordeel over de bewaartermijn is echter nog wel het meest evident. Persoonsgegevens mogen eenvoudigweg niet langer worden bewaard dan noodzakelijk voor het betreffende verwerkingsdoel. In het geval van de testdatabank betekent dit dus dat de gegevens gewist hadden moeten zijn nadat de tests waren voltooid. Aangezien Digi kennelijk al toegeeft dat de gegevens niet gewist zijn wegens onoplettendheid, was de termijn voor het testen kennelijk al lang verstreken. Zie ook de tijdlijn aan het begin van het blog: het lijkt vrij onwaarschijnlijk dat je anderhalf jaar lang moet testen op een foutje in de database. Het lijkt dan ook voor de hand te liggen dat provider Digi op dit punt dus ‘nat’ gaat.
Resumerend. Even kort en snel - met inachtneming van beveiliging en dergelijke - tests uitvoeren aan de hand van echte data zal vermoedelijk wel door de beugel kunnen. Er is dus in zoverre niets mis met bijv. bugfixing aan de hand van concrete meldingen. Zodra het testen verder gaat dan die afgebakende/geïsoleerde situatie, loop je al snel tegen de principes van de AVG aan als geschetst in dit arrest. Testen met echte data blijft zodoende risicovol.