Persoonsgegevens mogen worden verwerkt volgens artikel 5 van de AVG voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Ze mogen niet worden verzameld en vervolgens verwerkt op een met die doeleinden onverenigbare wijze.
Het niet beseffen van de doelbinding-regel uit de AVG kan dus onbewust leiden tot onjuist gebruik van gegevens in een bedrijf of vereniging. Bijvoorbeeld als persoonsgegevens die verzameld zijn voor een specifiek doel, zoals het versturen van facturen, ineens worden gebruikt voor een ander doel, zoals marketingonderzoek. Dit is in strijd met de privacywetgeving en kan leiden tot acties van de Autoriteit Persoonsgegevens (AP) en tot reputatieschade voor het bedrijf of de vereniging. Het is dus belangrijk om altijd vooraf duidelijk na te denken en te communiceren over het doel van gegevensverzameling en ervoor te zorgen dat dit doel niet wordt overschreden.
Als het doel van gegevensverwerking wel is overschreden dan is het belangrijk om dit zo snel mogelijk te melden bij de AP. Het bedrijf of de vereniging heeft namelijk een wettelijke verplichting om dit te doen. Juist het niet-melden is ernstiger dan het melden, immers, dat laatste is een privacybewuste actie die bewustwording doet toenemen en de klanten of leden vertrouwen geven dat het in de toekomst wél volgens de regels gaat. Soms is het belangrijk om de betrokken personen op de hoogte te stellen van de situatie en hun eventuele rechten, zoals het recht op inzage en het recht op verwijdering van hun persoonsgegevens.
Het is verstandig om een plan te hebben voor hoe het bedrijf of de vereniging in de toekomst zal omgaan met gegevensverwerking én hoe het de naleving van de privacywetgeving zal waarborgen. Het is daarbij cruciaal dat de medewerkers weten met wie ze zulke zaken afstemmen en hoe ze reageren. Stel een vaste medewerker aan die namens het bestuur deze acties onderneemt.
Bert Kobes