Dataansvarlig må sikre at formål er definert og at dataansvarlig har behandlingsgrunnlag før personopplysninger behandles på en ny måte.
Virksomheten skal alltid definere ett eller flere formål med behandlingen av helse- og personopplysninger. Formålene skal være spesifikke, uttrykkelig angitte og legitime, jf. personvernforordningen Artikkel 5. nr. 1 bokstav c (lovdata.no) og de skal dokumenteres i virksomhetens protokoll over behandlingsaktiviteter.
Se Protokoll over behandlinger av helse - og personopplysninger i virksomheten (faktaark 13) for mer informasjon om dette.
Når formålet/formålene er definert, må virksomheten sikre at den oppfyller kravene til ett behandlingsgrunnlag for hvert formål som er definert.
Hvis helse- og personopplysningene skal brukes til andre formål enn de som virksomheten definerte før innsamlingen, så må denne behandlingen i utgangspunktet ha et eget behandlingsgrunnlag.
Dette gjelder imidlertid ikke dersom de nye formålene er forenlig med de opprinnelige formålene. Kravet til forenlighet og hva en vurdering knyttet til forenlighet bør inneholde, er nærmere beskrevet i Personvernprinsippene (faktaark 57).