Privacywetgeving voor onderzoek

De Nederlandse privacywetgeving speelt een belangrijke rol in het doen van (toegepast) wetenschappelijk onderzoek. Indien er met gegevens van bestaande personen wordt gewerkt, is een goede privacybescherming cruciaal. Het is echter niet altijd klip-en-klaar wanneer er sprake is van persoonsgegevens in onderzoek.

 

Op deze pagina wordt uitgelegd wanneer er sprake is van (bijzondere) persoonsgegevens, ook als deze op het eerste gezicht niet direct naar een persoon te herleiden zijn. 

 

Daarnaast wordt hier kort behandeld wat de huidige privacywetgeving inhoudt en hoe deze op onderzoek van toepassing is. Concrete handreikingen en tools voor het goed beschermen van privacy in onderzoek bevinden zich in deze Library Guide op de pagina Privacy en Veiligheid onder de tab [Voorbereiding & planning] .

Wat zijn persoonsgegevens?

Persoonsgegevens zijn alle informatie over een  levende persoon die direct of indirect naar deze persoon te herleiden is. Dit is vastgelegd in de Algemene Verordening Gegevensbescherming (AVG). Voorbeelden van persoonsgegevens zijn naam, geboortedatum, contactgegevens zoals e-mail-adres of telefoonnummer, en locatiegegevens zoals adres of IP-adres. Maar ook andere gegevens, die bijvoorbeeld in een vragenlijst of interview naar voren komen, zijn persoonsgegevens. Bijvoorbeeld meningen en ervaringen, of informatie over iemands gedrag, persoonlijke kenmerken, consumptie, energieverbruik of vaardigheden.

 

Een speciale categorie persoonsgegevens zijn bijzondere persoonsgegevens. Dit zijn persoonsgegevens over iemands:

  • politieke voorkeuren, religieuze of filosofische opvattingen of ethnische achtergrond
  • lidmaatschap van een vakbond 
  • genetische data (DNA-sequenties) of biometrische data bedoeld om een persoon te identificeren (zoals vingerafdrukken)
  • gezondsheidsgegevens 
  • seksleven of iemands seksuele identiteit

Volgens de wet is het in principe verboden bijzondere persoonsgegevens te verwerken, tenzij je onderzoek valt onder een wettelijke uitzondering. Hetzelfde geldt voor strafrechtelijke persoonsgegevens, zoals gegronde verdenkingen van criminele handelingen of veroordelingen.

 

Indirecte persoonsgegevens

Sommige informatie is direct en duidelijk naar een persoon herleidbaar, zoals naam of BSN. Maar ook data waaruit je niet op het eerste gezicht een individu kunt herleiden kunnen persoonsgegevens zijn. Dit zijn indirect identifieerbare gegevens. Dit kunnen combinaties van data zijn die naar een individu of een zeer kleine groep kunnen verwijzen, bijvoorbeeld combinaties tussen leeftijd, woonplaats en inkomen, beroep, etc. Data kunnen ook gegevens of patronen bevatten die uniek zijn, zoals geografische informatie van waar iemand zich beweegt of bijvoorbeeld zeldzame medische condities of beroepen zoals koning, astronaut of minister.

 

Ook gepseudonimiseerde data zijn volgens de AVG persoonsgegevens. Dit zijn datasets waarbij de persoongegevens zijn vervangen door een willekeurige code of nummer. Indien deze data door middel van een sleutelbestand te combineren zijn met (direct identifieerbare) persoonsgegevens, moet ook de gepseudonimiseerde dataset als persoonsgegevens beschouwd worden.

De Algemene Verordening Gegevensbescherming (AVG)

De Algemene Verordening Gegevensbescherming (AVG) is de nieuwe privacywetgeving die sinds 2018 van kracht is. In de Europese Unie is overal dezelfde wetgeving geïmplementeerd, in het Engels de General Data Protection Regulation (GDPR) genoemd. De AVG is een versterking en uitbreiding van het recht op privacy van individuen en legt tegelijkertijd meer verantwoordelijkheid bij organisaties die met gegevens over personen werken. 

 

Een leidend principe in de AVG is 'privacy by design'. In onderzoek houdt dit in dat je de dataverzameling en dataverwerking van begin af aan zo plant, dat er zoveel mogelijk rekening wordt gehouden met de bescherming van de privacy van de onderzoekspersonen. Ook verzamel je niet meer onderzoeksgegevens dan absoluut noodzakelijk is om je onderzoeksvragen te kunnen beantwoorden. Dit is het principe van 'dataminimisatie'.

 

Bron: Privacywetgeving voor onderzoekers, 2021

Grondslagen voor gegevensverwerking

Grondslagen voor gegevensverwerking

Voor ieder onderzoek moet helder worden uitgelegd waarom het nodig is de persoonsgegevens te verwerken en voor welke doelstelling deze worden gebruikt. Dit draagt er aan bij om aan de verantwoordingsplicht van de AVG te voldoen.  

Een ander uitgangspunt van de AVG is dat je alleen persoonsgegevens mag verwerken als je hier een goede reden voor hebt. In andere woorden: dit mag alleen als je je doelstellingen niet kunt behalen zonder deze persoonsgegevens. In de AVG staan zes grondslagen voor het verwerken van persoonsgegevens. Voor onderzoek wordt vaak één van de volgende drie grondslagen gebruikt: 

Rechten voor onderzoekspersonen

Rechten van onderzoekspersonen

De AVG legt acht rechten vast voor de betrokkenen over wie gegevens worden verzameld of verwerkt:

Uitzonderingen voor onderzoek

De bepalingen in de AVG hebben nogal wat gevolgen voor hoe je je onderzoek moet inrichten. Omdat sommige bepalingen ook behoorlijke belemmeringen kunnen vormen voor onderzoek, zijn er een aantal uitzonderingssituaties mogelijk voor wetenschappelijk onderzoek.

 

Het recht op vergetelheid is in de onderzoekspraktijk lastig te handhaven. Als onderzoekspersonen na verloop van tijd hun gegevens uit het onderzoek willen terugtrekken, kun je deze gegevens dus niet meer gebruiken voor je analyse. Dit kan eventueel invloed hebben op de verkregen resultaten. Je kunt er daarom voor kiezen een termijn te zetten waarbinnen de onderzoeksdeelnemers zich uit het onderzoek kunnen terugtrekken. Al hun gegevens kunnen dan worden verwijderd. Is de termijn verstreken, dan worden er geen nieuwe gegevens verzameld, maar kunnen de reeds verzamelde gegevens nog wel voor de onderzoeksanalyse worden gebruikt. 

 

Doelmatigheid. De AVG stelt dat persoonsgegevens alleen gebruikt kunnen worden voor het doel waarvoor ze in eerste instantie verzameld zijn. Dit staat echter haaks op de ambitie om onderzoeksdata herbruikbaar te maken of de data te gebruiken voor vervolgonderzoek. Voor wetenschappelijk onderzoek is hiervoor een uitzondering. Data mag ook gebruikt worden voor een andere onderzoeksdoelstelling dan het oorspronkelijke project. In het geval dat toestemming aan onderzoekspersonen wordt gevraagd, is het wel van belang de mogelijkheid voor hergebruik van de data expliciet in de toestemmingsverklaring op te nemen.

[anchornavigation]