of 59221 LinkedIn

Tien dingen die u niet wilt, maar wel moet weten over de Privacy-verordening

Deel 2: Doelbinding.

Organisaties krijgen tot 25 mei 2018 om de nieuwe regels van de Algemene Verordening Gegevensbescherming (AVG) te implementeren. Dat lijkt nog ver weg, maar om privacy compliant te zijn, moet er wel wat gebeuren. Dit is deel 2 van onze blogreeks "Tien dingen die u niet wilt, maar wel moet weten over de komende Privacy-verordening".

Doel

Doelbinding is de kern van de AVG, zoals het ook de kern van de huidige Wet bescherming persoonsgegevens (Wbp) is en van andere privacyregelgeving. Doelbinding houdt in dat persoonsgegevens alleen verzameld mogen worden voor een 'welbepaald, uitdrukkelijk omschreven en gerechtvaardigd' doel (artikel 5 lid 1 sub a AVG). Het doel bepaalt vervolgens welk gebruik is toegestaan en welk gebruik niet. Zo mogen bijvoorbeeld niet méér persoonsgegevens verzameld en gebruikt worden, dan nodig is voor het doel (artikel 5 lid 1 sub c AVG) en mogen persoonsgegevens niet langer bewaard worden, dan nodig is voor het doel (artikel 5 lid 1 sub e AVG). Het doel beperkt ook de mogelijkheid om eenmaal voor een bepaald doel verzamelde persoonsgegevens, voor een ander doel te gebruiken. Dit mag, mits dat niet gebeurt op 'onverenigbare wijze' (artikel 5 lid 1 sub b AVG). Denk in verband met het voorgaande aan het gebruik van de persoonsgegevens van sollicitanten: het is niet nodig die persoonsgegevens tot langer dan een aantal weken na afronding van de sollicitatieprocedure te bewaren als de sollicitant wordt afgewezen.
 
Grondslag
Het is de verantwoordelijke die het doel voor de gegevensverwerking bepaalt (artikel 4 lid 7 AVG). De verantwoordelijke zou er met het oog op doelbinding voor kunnen kiezen om meerdere doelen te formuleren. Dat mag, maar het doel moet wel concreet zijn en het gebruik van persoonsgegevens moet voor ieder doel rechtmatig zijn (artikel 5 lid 1 sub a AVG). Daartoe is vereist dat ieder doel op één van de in de AVG genoemde grondslagen gebaseerd kan worden.
 
De grondslagen die de AVG noemt zijn (artikel 6 AVG):
a) de betrokkene (degene op wie de persoonsgegevens betrekking hebben) heeft toestemming gegeven voor het gebruik van zijn persoonsgegevens voor het betreffende doel;
b) het gebruik van de persoonsgegevens is noodzakelijk voor de uitvoering van een (al dan niet nog) te sluiten overeenkomst met de betrokkene;
c) het gebruik van persoonsgegevens is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verantwoordelijke rust;
d) het gebruik van persoonsgegevens is noodzakelijk om de vitale belangen van de betrokkene of een derde te beschermen;
e) het gebruik van persoonsgegevens is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verantwoordelijke is opgedragen;
f) het gebruik van persoonsgegevens is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verantwoordelijke of van een derde, tenzij (kort gezegd) de belangen of rechten van de betrokkene zwaarder wegen.
 
Overheidsinstanties
Het voert te ver om in deze blog op de verschillende grondslagen in te gaan. Ik volsta daarom met er op te wijzen dat de grondslagen die de AVG kent niet of nauwelijks verschillen van de grondslagen die de Wbp kende. Dat betekent dat onder de AVG, net als onder de Wbp, de meeste doelen (in ieder geval) op de onder f) genoemde grondslag gebaseerd kunnen worden ("gerechtvaardigd belang"). Daarbij geldt voor overheidsinstanties een belangrijke restrictie, die nieuw is in de AVG: overheidsinstanties mogen hun doelen niet langer op de onder f) genoemde grondslag baseren (artikel 6 lid 1 onderaan AVG). Dat betekent dat zij voor hun doelen met name aangewezen zullen zijn op de onder e) genoemde grondslag: de vervulling van hun publiekrechtelijke taak.
 
Toestemming
Toestemming van de betrokkene als grondslag voor het gebruik van persoonsgegevens wordt onder de AVG nog lastiger. Toestemming is onder de Wbp al lastig als grondslag, onder andere omdat toestemming altijd ingetrokken kan worden. In de AVG is zelfs expliciet bepaald dat dit kan (artikel 7 lid 3 AVG). Daarnaast is in artikel 3 van de AVG bepaald waaraan toestemming moet voldoen, wil toestemming rechtsgeldig zijn. Vereist is onder andere dat de verantwoordelijke aan kan tonen dat toestemming is gegeven.
 
Documentatieplicht
In deel 1 van deze blogreeks stond de documentatieverplichting centraal. De verplichting voor de verantwoordelijke om een register bij te houden met informatie over het gebruik van persoonsgegevens waarvoor hij/zij verantwoordelijke is. Daarbij betreft het onder andere informatie over de doelen van het gebruik. Uiteraard is het zaak daarbij uitsluitend die doelen te vermelden die op één van de in de AVG genoemde grondslagen gebaseerd kunnen worden. Twijfelt u of en zo ja op welke grondslag een bepaald doel gebaseerd kan worden, neem dan contact op met Monique Hennekens of Marieke Thijssen.
 
Het volgende deel van deze blogreeks gaat over de functionaris voor de gegevensbescherming.
Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.

AfbeeldingHekkelman advocaten en notarissen

Prins Bernhardstraat 1,

6521 AA Nijmegen

Postbus 1094,

6501 BB Nijmegen

T: 024 382 83 84

F: 024 360 04 50

www.hekkelman.nl

binnenlandsbestuur@hekkelman.nl

Meer nieuws

Bloggers

Nieuw: Vastgoed nieuwsbrief

Wilt u op de hoogte blijven van ontwikkelingen op het gebied van vastgoed?

 

Meld u dan hier aan.

Whitepapers

Publicaties

Agenda seminars

AfbeeldingHekkelman Advocaten & Notarissen houdt u op de hoogte van actuele ontwikkelingen. Zo organiseren wij regelmatig seminars om deze ontwikkelingen en onze kennis met u te delen.

 

Klik hier voor onze seminaragenda.

Bekijk ook onze partnerpagina op Ruimte & Milieu

Klik hier