Wil je weten hoe je in je onderzoek voldoet aan de geldende privacywetgeving? Neem dan de online tutorial door: 'Stappenplan om te voldoen aan de AVG binnen onderzoek'. Hierin komen de volgende stappen aan bod:
Als toestemming van onderzoekspersonen als grondslag wordt gebruikt, moet aan de volgende voorwaarden worden voldaan:
Voordat deelnemers toestemming geven aan een onderzoek mee te werken, is het belangrijk dat zij goed over het onderzoek en hoe er met persoonsgegevens wordt omgegaan worden geïnformeerd. Dit heet 'geïnformeerde toestemming' of 'informed consent'. Vaak wordt er gebruik gemaakt van een aparte informatiebrief die ruim voordat het onderzoek plaatsvindt wordt verstuurd, zodat deelnemers de tijd hebben deze te lezen en over hun mogelijke deelname na te denken.
In de verschafte informatie moet in ieder geval het volgende staan:
Tenslotte vraag je de onderzoekspersonen toestemming om aan het onderzoek mee te doen. Het is verplicht de geïnformeerde toestemming te kunnen aantonen door middel van documentatie; daarom wordt dit vaak schriftelijk gedaan. De Hanzehogeschool heeft voor onderzoekers een template proefpersoneninformatie opgesteld die je als voorbeeld kunt gebruiken. Als schriftelijk niet mogelijk is, kan ook mondeling toestemming worden gegeven. Het is wel belangrijk dat aantoonbaar kan worden gemaakt dat toestemming gegeven is en dat de juiste informatie verstrekt is, bijvoorbeeld met behulp van een audio-opname.
Toestemming voor hergebruik van data
De persoonsgegevens in je onderzoeksdata mogen alleen voor de aangegeven onderzoeksdoelen gebruikt worden. Wil je de data kunnen gebruiken voor vervolgonderzoek? Of wil je de data kunnen delen met andere onderzoekers, bijvoorbeeld via een data repository? Zet dit dan expliciet in de informed consent of vraag achteraf opnieuw om toestemming.
Recht op vergetelheid.
Dit betekent dat onderzoekspersonen het recht hebben om hun toestemming in te trekken. Als het redelijkerwijs mogelijk is om de gegevens over de desbetreffende persoon uit je dataset te verwijderen, dan moet je dit doen. In onderzoek zal dit niet altijd mogelijk zijn, bijvoorbeeld als identificeerbare gegevens uit de dataset zijn gehaald of als de data als gebruikt is voor analyse en publicatie. Bereid de onderzoekspersonen hier op voor, door van te voren te communiceren over de termijn, waarbinnen zij zich uit het onderzoek kunnen terugtrekken, bijvoorbeeld een maand.
Recht op inzage gegevens.
Een ander recht van betrokkenen is het recht op inzage gegevens. Dit houdt in dat onderzoekspersonen recht hebben om de gegevens, die je over hen hebt verzameld, in te zien.
Onderzoekers melden de verwerking van persoonsgegevens in onderzoek bij de Contactpersoon Verantwoorde Informatievoorziening (CVI). Hierbij is het belangrijk dat je de wettelijke grondslag helder onderbouwt. Weten wie de CVI binnen jouw kenniscentrum is? Neem contact op met de programmamanager.
Een andere manier om aan de registratieplicht te voldoen is door middel van het schrijven van een datamanagementplan (DMP) met het Hanze- template op DMPonline. Als je dit DMP invult en aangeeft dat er in je onderzoek met persoonsgegevens wordt gewerkt, is op deze wijze je onderzoek geregistreerd.
Data met persoonsgegevens kun je in sommige gevallen anonimiseren. Dit betekent dat je alle informatie weghaalt waarmee je de data naar individuele personen kunt herleiden. Anonimiseren betekent dat je deze informatie onherroepelijk verwijdert: deze handeling kan dus niet ongedaan gemaakt worden. Denk hierbij ook aan het verwijderen van gegevens uit de prullenbak van je laptop of PC.
Een applicatie die voor het anonimiseren van data gebruikt kan worden is Arx.
Voordelen van anonimiseren
Anonimiseren zorgt voor een optimale bescherming van de privacy van de personen in je onderzoek. Als je anonimiseren volledig hebt doorgevoerd, werk je niet meer met persoonsgegevens en is de AVG dus niet op je onderzoek van toepassing. Dit zorgt ervoor dat je na het anonimiseren minder maatregelen ter bescherming van de data hoeft te nemen en dat je meer met de data kan doen dan wanneer deze nog (bijzondere) persoonsgegevens bevat. Dit maakt bijvoorbeeld het delen van de data een stuk makkelijker.
Nadelen van anonimiseren
Niet alle data kunnen geanonimiseerd worden, omdat je deze hierdoor niet meer kunt gebruiken voor je onderzoek of omdat je bijvoorbeeld contactgegevens nodig hebt om onderzoekspersonen te betrekken in vervolgonderzoek. Daarnaast is het belangrijk om te beseffen dat het anonimiseren van data vaak inhoudt dat een deel van de ruwe data wordt verwijderd. Hierdoor beperk je de mogelijkheid om inzichtelijk en controleerbaar te maken hoe je op basis van je bronmateriaal tot je onderzoeksresultaten bent gekomen. Voor advies over de afweging tussen privacybescherming en transparantie kun je terecht bij de informatiespecialist van jouw kenniscentrum of met het Privacy & Security team.
Een alternatief voor het anonimiseren van data is om de identifieerbare gegevens in een dataset te vervangen door een code, ofwel een pseudoniem. Door data te pseudonimiseren creëer je een 'sleutel' naar de informatie waarmee je individuele personen in de data kunt identificeren. Dit doe je door een code aan iedere respondent in de dataset te koppelen. Vervolgens maak je twee verschillende datasets:
Meer lezen over pseudonimiseren?
Het is zinvol voor de start van je onderzoek een risico-analyse te doen van de data waarmee je gaat werken. Dit helpt om na te gaan welke passende veiligheidsmaatregelen je gedurende het onderzoek moet nemen. Er wordt onderscheid gemaakt tussen laag, medium en hoog risico. Bij hoog risico-gegevens dient een Data Protection Impact Assessment (DPIA) uitgevoerd te worden.
Een Data Protection Impact Assessment (DPIA) is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Een DPIA bestaat uit het op systematische manier in kaart brengen welke gegevensverwerking er plaats gaat vinden, een beoordeling van de risico's van de gegevensverwerking en een overzicht van de geplande maatregelen om deze risico's zoveel mogelijk weg te nemen of te verkleinen.
Een DPIA is verplicht indien de verwerking van gegevens waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt. Dit moet de verwerkingsverantwoordelijke zelf bepalen. De Autoriteit Persoonsgegevens heeft een lijst samengesteld met soorten gegevens waarvoor een DPIA verplicht is. Hieronder vallen o.a. genetische gegevens en gezondheidsgegevens.
Werk je in je onderzoek met 'bijzondere persoonsgegevens' of andere data die mogelijk onder hoog risico vallen? Neem dan contact op met de informatiespecialist onderzoek van jouw kenniscentrum en/of met Privacy en Security om na te gaan of het nodig is een Data Protection Impact Assessment (DPIA) voor het onderzoek uit te voeren. Hiervoor wordt eerst een 'pre-DPIA' gedaan om snel in te kunnen schatten of een uitgebreide DPIA nodig is.
Stap 1: Categoriën volgens de AVG
De AVG geeft aan dat er in ieder geval een DPIA moet worden uitgevoerd als een organisatie:
Lees hier wat de AVG onder 'op grote schaal' verstaat.
Stap 2: Lijst met soorten verwerkingen van de AP
De Autoriteit Persoonsgegevens (AP) heeft daarnaast een lijst van soorten verwerkingen opgesteld waarvoor het uitvoeren van een DPIA verplicht is vóórdat u met verwerken begint.
Ga hier naar de lijst.
Stap 3: Criteria van de Europese privacytoezichthouders
De lijst van de AP is niet uitputtend. Het kan zijn dat uw verwerking niet op deze lijst staat. In dat geval moet u zelf beoordelen of uw verwerking een hoog privacyrisico oplevert voor de betrokkenen.
U kunt voor deze beoordeling gebruik maken van de 9 criteria die de Europese privacytoezichthouders hebben opgesteld. Als vuistregel geldt dat u een DPIA moet uitvoeren als uw verwerking aan 2 of meer van deze criteria voldoet.
Ga hier naar de lijst.