Doelbinding: wat is het en waarom speelt het zo’n belangrijke rol?

Blog

Ongetwijfeld heb je de woorden “doelbinding” of “doelgebonden” wel eens voorbij zien komen in de context van data privacy bescherming. Dat is op zich niet zo gek want doelbinding is eigenlijk de kern van de Algemene Verordening Gegevensbescherming (AVG). Maar wat wordt er nu precies mee bedoelt en waarom is het dan zo belangrijk?

Doelbinding

Binnen de AVG staat in artikel 5 lid 1 beschreven dat persoonsgegevens alleen verzameld mogen worden voor “welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden”. Een voorbeeld hiervan is bijvoorbeeld het verzamelen van adresgegevens door een webwinkel zodat je een gekocht product kan afleveren op het woonadres van de persoon die deze besteld heeft.

Het gebruiken van persoonsgegevens voor het specifieke doel waarvoor deze verzameld zijn – in het voorbeeld het adres zodat een product geleverd kan worden – noemen we “doelbinding”. Tegelijk met het bepalen van het doel bepaal je ook welke gegevens je nodig hebt om het doel te realiseren. Hierbij ga je er altijd vanuit dat je alleen de gegevens verzamelt die je nodig hebt voor het doel en dat deze alleen voor dat specifiek doel gebruikt mogen worden (deze insteek noemen we ook wel privacy-by-design en privacy-by-default). Als we terug gaan naar het voorbeeld van onze webwinkel, is het doel van het verzamelen van de gegevens dus de mogelijkheid om het gekochte producten aan de klant te leveren.

Daarnaast mogen we de verzamelde persoonsgegevens alleen gebruiken voor het doel waar we deze voor verzameld hebben. Stel dus dat we de adresgegevens gaan gebruiken om naast het product te ook reclame van onze webwinkel naar het adres te versturen zijn we dus in overtreding van de AVG (of we moeten expliciet akkoord vragen op het versturen van reclame en dit terug laten komen in de informatie waarvoor we de adresgegevens willen gebruiken).

Doelbinding is dus enorm belangrijk omdat deze eigenlijk de kaders aangeven waarbinnen we de gegevens mogen verzamelen en wat we er uiteindelijk mee mogen doen.

Grondslag

Nu zou je kunnen denken dat als je het doel waarvoor je de gegevens wilt gebruiken goed beschrijft je ze zonder problemen mag verzamelen. Dat is echter niet zo. Het doel moet namelijk altijd gebaseerd zijn op één van de grondslagen die genoemd worden in de AVG:

  • Toestemming van de betrokkene
    In dit geval heeft de persoon van wie je de persoonsgegevens verwerkt expliciet toestemming gegeven voor het verzamelen van de gegevens. Denk hierbij bijvoorbeeld aan het inschrijven voor een nieuwsbrief op een website. Hierbij wordt expliciet om toestemming gevraag om je gegevens te verwerken met als doel de nieuwsbrief naar je te verzenden.

  • Uitvoeren van een overeenkomst
    De persoonsgegevens zijn nodig voor het uitvoeren van een overeenkomst tussen de persoons en de organisatie die de persoonsgegevens verzamelend. Deze situatie gaat dus op voor onze webwinkel. Om het gekochte product te kunnen verzenden naar de koper heeft de webwinkel de persoonsgegevens nodig zodat deze aan haar overeenkomst kan voldoen door het product te leveren.

  • Wettelijke verplichting
    Bij deze grondslag is het verzamelen van persoonsgegevens berust op wettelijke gronden. Denk bijvoorbeeld aan het verzamelen van de gegevens van medewerkers ten behoeve van de belastingwet.

  • Vitaal belang van de betrokkene
    In deze grondslag is het verzamelen van persoonsgegevens toegestaan in situaties dat de persoonsgegevens nodig zijn voor de gezondheid van de persoon. Stel bijvoorbeeld dat je na een ongeluk bewusteloos binnen komt op een spoedeisende hulp van een ziekenhuis. In dat geval zullen er persoonsgegevens vastgelegd moeten worden die van essentieel belang zijn voor je gezondheid (bijvoorbeeld biometrische gegevens).

  • Uitvoeren van een taak van algemeen belang
    Op deze grondslag kun je je alleen beroepen op het moment dat je als organisatie een publieke taak uitoefent voor het algemeen belang of het openbare gezag. Anders gezegd, de gegevens zijn nodig om taken die in de wet zijn vastgelegd uit te voeren.

  • Gerechtvaardigd belang van de organisatie
    Er is sprake van de laatste grondslag op het moment dat een organisatie de afweging maakt om bepaalde persoonsgegevens te verwerken die nodig zijn voor de bedrijfsactiviteiten. De organisatie zal wel een belangenafweging moeten maken om vast te stellen of de privacybelangen van de betreffende personen voldoende beschermd zijn en of deze kan vermoeden welke verwerkingen van persoonsgegevens plaatsvinden en met welk doel.

Privinity Privacy Platform

Resources

About us

Privinity
Gildenweg 2
8304BC Emmeloord
The Netherlands
KvK: 92583008

Privinity is a brand of It’s Private B.V.

© 2024 Privinity