/gegevens-hergebruiken-binnen-uw-organisatie-wanneer-mag-het/ 2025-03-12T11:59:07+00:00 540d5dcd
Ga naar de inhoud
24 februari 2025 • Nieuws

Gegevens hergebruiken binnen uw organisatie: wanneer mag het?

Wij zien het vaak mis gaan in de praktijk: organisaties die bij het hergebruiken van persoonsgegevens direct op zoek gaan naar een nieuwe grondslag onder de Algemene Verordening Gegevensbescherming (AVG), zoals een gerechtvaardigd belang. Dit is echter niet de juiste benadering. In dit artikel neem ik u mee in de afweging die u wél zou moeten maken om te bepalen of hergebruik van persoonsgegevens is toegestaan.

Verwerken persoonsgegevens

Het beginsel van doelbinding

Bij het verwerken van persoonsgegevens dienen organisaties de AVG in acht te nemen. Eén van de centrale beginselen uit de AVG is het beginsel van “doelbinding” (artikel 5 lid 1 sub b AVG). Dit beginsel houdt kort gezegd in dat wanneer gegevens worden verzameld, vooraf moet worden bepaald en vastgelegd voor welk doel dit gebeurd. De persoonsgegevens mogen dan in principe ook alleen worden verwerkt voor dat doel.

Echter, het gebeurt in de praktijk natuurlijk ontzettend vaak dat op een later moment wordt bedacht dat de gegevens óók heel handig van pas zouden komen voor een ander doel. Bijvoorbeeld wanner u uw klantgegevens wilt hergebruiken voor marketingdoeleinden, terwijl u ze oorspronkelijk heeft verzameld voor klantenservice. Of wanneer u personeelsgegevens wil inzetten voor een nieuw intern onderzoek.

In al deze gevallen moet u bepalen of het hergebruiken van de gegevens voor het nieuwe doel is toegestaan.

De verenigbare verwerking: de doelbindingstoets

Wanneer een organisatie persoonsgegevens voor een ander doel wil gebruiken, moet een doelbindingstoets worden uitgevoerd. Hierbij wordt beoordeeld of de verdere verwerking verenigbaar is met het oorspronkelijke doel. Dit wordt ook wel een verenigbaarheidstoets of Compatibility Assessment (CA) genoemd. Artikel 6 lid 4 AVG noemt vijf criteria die hierbij in ieder geval in overweging moeten worden genomen:

  1. het verband tussen het oorspronkelijke doel en het nieuwe doel;
  2. de context waarin de persoonsgegevens zijn verzameld (met name de relatie tussen de organisatie en de betrokkene);
  3. de aard van de persoonsgegevens (met name of het gaat om bijzondere of strafrechtelijke persoonsgegevens);
  4. de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
  5. het bestaan van passende waarborgen (bijvoorbeeld versleuteling of pseudonimisering).

Wanneer de uitkomst van de toets positief is en dus uit de toets blijkt dat de nieuwe verwerking verenigbaar is, kunt u starten met de verwerking. Er is dan géén afzonderlijke grondslag in de zin van artikel 6 lid 1 AVG nodig. De grondslag waarop de oorspronkelijke verwerking is uitgevoerd, kan ook dienen als grondslag voor de verdere verwerking. Uiteraard dient u, voordat u daadwerkelijk aan de slag gaat, wel rekening te houden met de andere plichten uit de AVG.

Voor sommige doeleinden is verdere verwerking automatisch verenigbaar. De AVG beschouwt hergebruik voor wetenschappelijk of historisch onderzoek, statistische doeleinden of archiveringsdoeleinden in het algemeen belang als verenigbaar, mits passende waarborgen voor de bescherming van persoonsgegevens zijn getroffen.

Wat als de doeleinden niet verenigbaar zijn?

Wanneer uit de toets blijkt dat de doeleinden van de verwerkingen niet verenigbaar zijn, zijn er nog twee andere mogelijkheden:

  • Toestemming vragen van de betrokkene voor de verwerking van de gegevens voor het nieuwe doel.
  • Een beroep doen op een wettelijke bepaling, die een noodzakelijke en evenredige maatregel vormt ter waarborging van een in artikel 23 AVG bedoelde doelstellingen van algemeen belang.

Is het verkrijgen van toestemming niet mogelijk en ontbreekt een wettelijke basis? Dan is het hergebruik van de gegevens niet toegestaan, óók niet op basis van een andere grondslag uit artikel 6 AVG.

Gegevens verstrekken aan een andere organisatie

Voor het verstrekken van gegevens aan een andere organisatie geldt hetzelfde juridische kader. Als er geen sprake is van een wettelijke bepaling waaruit blijkt dat u de gegevens mag/moet verstrekken aan de andere partij, dient u een doelbindingstoets uit te voeren of toestemming te vragen aan de betrokkene.

De Autoriteit Persoonsgegevens (AP) waarschuwt dat een doelbindingstoets bij verstrekking aan een andere organisatie zelden positief zal uitvallen. Dit komt doordat:

  • het doel van de verstrekking of van de ontvangende organisatie vaak juist ver afstaat van het oorspronkelijke doel;
  • de verstrekking aan een andere organisatie vergaande gevolgen kan hebben voor betrokkenen;
  • verstrekking voor de betrokkene(n) verrassend kan zijn.

Daarom is het extra belangrijk om een zorgvuldige afweging te maken voordat persoonsgegevens met een andere organisatie worden gedeeld.

Hulp nodig bij deze afweging?

Het uitvoeren van een doelbindingstoets vereist een grondige analyse, vergelijkbaar met het uitvoeren van een LIA. Dit kan complex zijn en vraagt om een zorgvuldige juridische afweging.

Heeft uw organisatie ondersteuning nodig bij het uitvoeren van een doelbindingstoets of andere AVG-gerelateerde vraagstukken? Neem dan contact op met mij of een van mijn collega’s voor advies en begeleiding.

Heeft u vragen naar aanleiding van dit artikel?

Neem dan contact met ons op.

DMCC Group - Moniek Hakkenes
Moniek Hakkenes
Privacy consultant DMCC
 E-mail