De Algemene Verordening Gegevensbescherming schrijft voor dat een verantwoordelijke moet vastleggen voor welke “doeleinden” de persoonsgegevens worden gebruikt. Dit betekent in feite: omschrijven waarom uw organisatie de gegevens opvraagt of ontvangt en wat uw organisatie met de gegevens doet.
Deze doeleinden moeten intern worden vastgesteld én ze moeten in de privacyverklaring worden vermeld zodat de betrokken personen weten wat er met hun gegevens wordt gedaan.
De doeleinden moeten volgens de privacywet “welbepaald, uitdrukkelijk omschreven en gerechtvaardigd” zijn.
Het omschrijven van de doeleinden houdt in dat per soort gebruik van de persoonsgegevens duidelijk en gespecificeerd omschreven moet worden waarvoor de organisatie de gegevens gebruikt.
Dus bijvoorbeeld niet: “e-mail adressen voor marketing doeleinden” maar bijvoorbeeld: “e-mail adressen voor het versturen van e-mails aan klanten met informatie over onze producten en diensten, aanbiedingen, acties, reviews en klanttevredenheidsonderzoeken”.
Het betekent ook dat de personen om wiens gegevens het gaat naar redelijkheid mogen verwachten dat hun persoonsgegevens wordt gebruikt voor de omschreven doeleinden. Dit hangt onder andere af van de omstandigheden waaronder u de persoonsgegevens verzamelt en wat voor een soort persoonsgegevens het zijn. Hoe gevoeliger de gegevens, hoe minder er mee mag worden gedaan.
Een voorbeeld:
Stel, u biedt een app aan waarmee de telefoongebruiker onder andere tijdens het hardlopen bij kan houden hoe ver hij heeft gelopen. U vraagt de gebruiker om toestemming voor het versturen van de locatiegegevens vanuit de telefoon. Voor de gebruiker ligt het voor de hand dat u de locatiegegevens gebruikt om door te geven hoe ver hij heeft gelopen. Maar hij hoeft niet te verwachten dat u de locatiegegevens ook gebruikt om na te gaan naar welke restaurants hij gaat zodat u vervolgens op maat gemaakte advertenties in de app kunt tonen. Dit valt niet binnen de “redelijke verwachting” van de gebruiker.
Bedenk dat de doeleinden gelden voor ieder soort gebruik dat er van de persoonsgegevens wordt gemaakt. Dus voor het opvragen, het opslaan, het inzien, het doorgeven aan andere partijen, het verwijderen en alle andere handelingen die er mee worden verricht.
Het is niet toegestaan om allerlei doeleinden op te schrijven die uw organisatie denkt in de toekomst te zullen hebben. De doeleinden moeten vaststaan bij het verzamelen of ontvangen van de persoonsgegevens.
Als eenmaal is vastgelegd voor welke doeleinden de persoonsgegevens worden gebruikt, mogen de persoonsgegevens namelijk alleen worden gebruikt voor die doeleinden óf voor doeleinden die daarmee te rijmen zijn.
In de praktijk is dit vaak relevant wanneer de persoonsgegevens aan derde partijen wordt doorgegeven, bij het aan elkaar koppelen van bestanden en bij gebruik van “profiling”. U moet zich dan afvragen of deze handelingen te rijmen zijn met de door uw organisatie eerder vastgestelde doeleinden.
Hier geldt: hoe “verder weg” het andere doel is van het oorspronkelijke doel, hoe minder snel het daarmee te rijmen is. Weeg ook mee hoe gevoelig de persoonsgegevens is, of de personen een echte keus hebben om hun informatie af te geven, hoe kwetsbaar de groep is, of de betrokken personen uitdrukkelijk toestemming hebben gegeven of de mogelijkheid hebben gekregen om duidelijk bezwaar te maken tegen het verdere gebruik.
Als u in de toekomst toch iets anders wilt gaan doen met de persoonsgegevens en dat doel is niet “te rijmen” met het oorspronkelijke doel, dan zult u de betrokken personen daar vooraf duidelijk over moeten informeren en ze bezwaar laten maken tegen dat gebruik of daar toestemming voor vragen.
Een voorbeeld:
Een bank gebruikt persoonsgegevens van haar klanten zoals NAWgegevens, rekeningnummer, informatie over transacties. De bank wil de transactiegegevens verkopen aan advertentiepartners voor targeted advertising. De bank vraagt haar klanten niet om toestemming en geeft ze ook geen mogelijkheid om bezwaar te maken. Dit doel is niet te rijmen met het oorspronkelijke doel van het uitvoeren van de overeenkomst door de bank. Als de bank haar klanten duidelijk zou informeren over het voorgenomen gebruik van de gegevens en hen bezwaar zou laten maken of toestemming zou vragen, dan is het doeleinde wel te rijmen met de oorspronkelijke doeleinden.