Wetgeving

Bij het doen van onderzoek en het bijbehorende datamanagement zijn er vanuit juridisch perspectief veel zaken waarmee je rekening moet houden.

Algemene verordening gegevensbescherming

Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie. De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR).

De AVG zorgt onder meer voor:

  • Versterking en uitbreiding van privacyrechten
  • Meer verantwoordelijkheden voor organisaties
  • Dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen

Ook voor het werken met data heeft de AVG belangrijke consequenties. Lees hier meer over onder Data en privacy.

Intellectueel eigendom

Intellectueel eigendom is de verzamelnaam voor rechten op intellectuele creaties, zoals teksten, foto’s, software, uitvindingen, merknamen en waardevolle kennis. Ook bij data kan intellectueel eigendom een rol spelen. Meer hierover lees je onder Data en eigenaarschap en Data gebruiken van een externe partij.

Consortiumovereenkomst

Indien je in het kader van onderzoek samenwerkt met andere partijen, dan is een samenwerkingsovereenkomst zeer wenselijk en soms ook vereist (bijvoorbeeld bij subsidieprojecten). In een overeenkomst worden de rechten en plichten van alle betrokken partijen duidelijk vastgelegd. Inclusief de afspraken met betrekking tot de onderzoeksdata, intellectuele eigendomsrechten en aansprakelijkheid.

Wet medisch-wetenschappelijk onderzoek met mensen

Onderzoek met mensen moet een medisch-ethische toets ondergaan als het valt onder de Wet medisch-wetenschappelijk onderzoek met mensen (WMO). Onderzoek valt onder de WMO als aan de volgende twee voorwaarden is voldaan:

  • Er is sprake van medisch-wetenschappelijk onderzoek
  • Personen worden aan handelingen onderworpen of hen worden gedragsregels opgelegd

Je leest meer over de toetsingsprocedure van de WMO op de website van de Centrale Commissie Mensgebonden Onderzoek

Data en eigenaarschap

Het auteursrecht biedt bescherming aan werken die een zekere creativiteit of oorspronkelijkheid aan de dag brengen. In veel gevallen is duidelijk dat een werk auteursrechtelijk beschermd is: als iemand een boek of artikel schrijft, ligt daarin altijd wel een persoonlijke creativiteit besloten. Bij onderzoeksdata is dat niet zo duidelijk. Data zijn immers veelal blote feiten. In veel gevallen zullen onderzoeksdata dan ook niet onder de auteursrechtelijke bescherming vallen.

Het auteursrecht is er ook niet om een onderzoeker die een ontdekking doet, te beschermen, hoe creatief  of oorspronkelijk die ontdekking ook is. Het auteursrecht kan niet gebruikt worden om nieuw ontdekte gegevens te beschermen. Het auteursrecht kan wel de vorm waarin de ontdekker de blote feiten heeft opgeschreven, beschermen. Dan moet die vorm het resultaat zijn van creatieve keuzes. Als dat het geval is, mogen anderen die vorm niet zonder toestemming overnemen. 

Ter illustratie: Als je ruwe, onbewerkte data (juridisch: blote feiten) in een tabel zet, is auteursrecht niet van toepassing. Iedere andere onderzoeker had een soortgelijke tabel kunnen maken. Een selectie of ordening van blote feiten kan wel beschermd zijn volgens de databankenwet als het een selectie of ordening met een persoonlijk stempel betreft. 

In het rapport ‘De juridische status van ruwe data: een wegwijzer voor de onderzoekspraktijk’ vind je een overzicht van de stand van zaken aan de hand van de belangrijkste wetgeving en rechtspraak.

Bij het beschikbaar zijn of stellen van onderzoeksdata gaat het dus veelal niet om auteursrecht of databankenrecht maar om het hebben of toegang geven tot data. Je kunt hierbij dan ook spreken over een groot gevoel van eigenaarschap. Er bestaat doorgaans geen verplichting om onderzoeksdata met anderen te delen. Je kan er als onderzoeker altijd voor kiezen om je data niet aan anderen ter beschikking te stellen zodat anderen daarvan ook geen gebruik kunnen maken. Eventuele contractuele afspraken kunnen hier relevant zijn.

  • Zo kunnen financiers of uitgevers eisen dat je de data beschikbaar stelt voor raadpleging door anderen.
  • Relevant bij de eisen van uitgevers is dat er bij de Haagse Hogeschool een open access publicatiebeleid wordt gevoerd waarbij de auteurswet en de CAO op het gebied van auteursrechten van onderzoekspublicaties van medewerkers wordt gevolgd.
  • In consortiumovereenkomsten worden afspraken vastgelegd tussen samenwerkingspartners binnen onderzoek over gebruik, hergebruik en delen van de onderzoeksdata.
Wanneer je voor je onderzoek gebruik maakt van data van een externe partij gelden de voorwaarden die die externe partij stelt aan het gebruik, toegankelijk maken en verspreiden van hun data. Neem deze in acht en leg ze vast in je datamanagementplan.

Data en privacy

Voor onderzoekers die te maken hebben met persoonsgegevens gelden een aantal basisregels:

  • Je verzamelt niet méér persoonsgegevens dan je echt nodig hebt voor je onderzoek.
  • Betrokkenen hebben je toestemming gegeven voor het verzamelen van hun gegevens (Informed consent).
  • Je gebruikt de persoonsgegevens niet voor andere doelen dan waarvoor je van betrokkenen toestemming hebt gekregen.
  • Je zorgt ervoor dat betrokkenen hun toestemming weer kunnen intrekken en dat ze hiervoor eenvoudig contact met je kunnen opnemen.
  • Je zorgt ervoor dat betrokkenen hun recht op inzage, correctie en verwijdering van hun persoonsgegevens op kunnen uitoefenen en dat ze hiervoor eenvoudig contact met je kunnen opnemen.
  • Je beveiligt je onderzoeksdata die persoonsgegevens bevatten goed door contactgegevens te scheiden van onderzoeksgegevens, zorgvuldigheid in acht te nemen bij het bepalen wie toegang krijgt tot de opslagplaats van je onderzoeksdata en je data zo snel mogelijk te anonimiseren.
Persoonsgegevens zijn alle gegevens die een persoon rechtstreeks identificeren of waarmee een persoon indirect geïdentificeerd kan worden. Het kan dus gaan om NAW-gegevens, mailadres, telefoonnummer, locatie, IP-adres, enzovoort maar ook om combinaties van gegevens die tot een persoon kunnen leiden. Ook zogenaamde ‘bijzondere’ persoonsgegevens zijn (extra) beschermd: bijvoorbeeld gevoelige gegevens over iemands ras, religie, gezondheid, geaardheid zoals pasfoto’s en Burgerservicenummer.
Het verwerken van (bijzondere) persoonsgegevens mag alleen wanneer daarvoor een wettelijke grondslag is. Voor het verwerken van ‘gewone’ persoonsgegevens moet je kunnen baseren op 1 van de 6 AVG-grondslagen. De verwerking van ‘bijzondere persoonsgegevens’ is verboden tenzij je je kunt beroepen op 1 van de 6 AVG-grondslagen én op 1 van de 10 wettelijke uitzonderingen op het verbod om bijzondere persoonsgegevens te verwerken.

Je legt aan je respondenten uit wat je onderzoek inhoudt, wat hun rol binnen het onderzoek zal zijn en wat de eventuele gevolgen van deelname zijn. Vervolgens vraag je of ze instemmen met deelname aan je onderzoek. Dit doe je aan de hand van een informed consent. Een informed consent-formulier bestaat uit twee delen, de informatiebrief of -brochure en de toestemmingsverklaring.

In de informatiebrief leg je uit:

Een modelinformatiebrief

In de toestemmingsverklaring vraag je de respondent om toestemming voor:

  • Het verzamelen en verwerken van zijn of haar gegevens
  • Het archiveren van de data
  • Het eventueel (geanonimiseerd) publiceren van de data
  • Het eventueel beschikbaar stellen van de data voor hergebruik door een andere onderzoeker

Wie geeft toestemming?

  • De deelnemer, indien ouder dan 16 jaar en wilsbekwaam
  • Een ouder of een voogd, als de deelnemer jonger dan 12 jaar is
  • Een ouder of een voogd én de deelnemer, als de deelnemer tussen de 12 en 16 jaar is
  • Een vertegenwoordiger, als de deelnemer ouder dan 16 jaar, maar wilsonbekwaam is

Onder het ‘verwerken’ van persoonsgegevens valt alles wat je als onderzoeker met die gegevens doet of door een ander laat doen: verzamelen, opslaan, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, analyseren, anonimiseren, doorzenden, aan anderen laten zien, verspreiden, beschikbaar stellen, publiceren, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen.

Er valt dus heel veel onder, zelfs meekijken op andermans scherm of account. Voorzichtigheid is dan ook geboden. Ieder onderzoek behoeft specifieke maatregelen om een juiste omgang met persoonsgegevens te garanderen. Toch zijn er voor onderzoekers ook algemene 'quick wins', relatief eenvoudige acties die ervoor zorgen dat de kans op een datalek in je onderzoek sterk verkleint.

De AVG vereist dat De Haagse Hogeschool een register aanlegt van alle verwerkingen van persoonsgegevens binnen De Haagse Hogeschool. Het is daarom verplicht om verwerkingen van persoonsgegevens te melden bij de Functionaris voor de Gegevensbescherming (FG) van De Haagse. Op de intranetpagina Privacy & Informatiebeveiliging vind je onder Meldpunt Gegevensverwerking hulpmiddelen om aan deze meldingsplicht te voldoen.

Indien je je data laat verwerken door een derde partij, bijvoorbeeld wanneer je een online applicatie voor enquêtes gebruikt, stel je een verwerkersovereenkomst op. Gebruik hiervoor het model verwerkersovereenkomst.

Omdat het niet is toegestaan persoonsgegevens te publiceren, moeten databestanden waarin persoonsgegevens voorkomen, geanonimiseerd worden. Hoe je je data anonimiseert lees je op de pagina UK Data Service Anonymisation.

We raden je sterk aan om aan het begin van je onderzoek een AVG-toets te doen in overleg met de Functionaris Gegevensbescherming (FG) van De Haagse. Hierdoor ben je zeker dat je al vanaf het opzet van je onderzoek en vanaf het begin van je dataverwerking AVG-proof werkt. Daarbij hoort ook documentatieverplichtingen. Elke stap bij het verwerken van persoonsgegevens moet goed worden gedocumenteerd: uitgangspunten, toestemming, verwerkingen, doelbinding, rechtsgrond. Die vastlegging is essentieel omdat je zelf verantwoordelijk bent voor het goed kunnen staven van je beslissingen en beweringen.

Wanneer de verwerking van persoonsgegevens een hoog privacyrisico oplevert is het nodig om vooraf deze privacyrisico's goed in kaart te brengen. Dit gebeurt door middel van het uitvoeren van een Data Protection Impact Assessment (DPIA). Daarna kunnen er maatregelen worden genomen om de privacyrisico's te verkleinen. Een DPIA is verplicht wanneer één van volgende situaties zich tijdens het onderzoek (gaan) voordoen:

  • Systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen.
  • Grootschalige verwerking van bijzondere categorieën van persoonsgegevens.
  • Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.

Lees hier meer over de DPIA. Neem contact op met de Functionaris Gegevensbescherming (FG) van De Haagse voor advies over of een DPIA nodig is en voor het uitvoeren van een DPIA.

De Functionaris Gegevensbescherming (FG) van De Haagse te bereiken via FG@hhs.nl.

Meer informatie over privacy in onderzoek en zorgvuldig omgaan met persoonsgegevens:

Richtlijnen GDPR: WHY?WHAT? HOW?

Categorieën persoonsgegevens

  • Naam, adres, postcode, woonplaats
  • Telefoonnummer, E-mailadres
  • Geboortedatum, Geboorteplaats
  • Nationaliteit, Geslacht
  • Beroep/ functie/ Salaris/  CV’s
  • BSN-nummer (wettelijk voorgeschreven), (kopie) Identiteitsbewijs
  • Personeels-/studentnummer/ ander administratienummer
  • Financiële data (bankrekeningnummer, creditcardnummer)
  • Foto’s/ audiovisueel materiaal/ gespreks- video-opnamen
  • Data verkregen uit sociale profielen (Facebook-, twitteraccount etc.)
  • Click- en surfgedrag (cookie/ pixeldata), IP-adressen
  • Lifestylekenmerken (o.a. gezinssamenstelling, woonsituatie, interesses, demografische kenmerken)
  • Anders, namelijk ………………………………...
  • Bijzondere persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, persoonsgegevens betreffende het lidmaatschap van een vakvereniging, strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag
  • Uniek identificerende gegevens (bijvoorbeeld biometrische gegevens, vingerafdrukken, DNA)
  • Andere gegevens waarvoor geldt dat sprake is van een (afgeleide) verhoogde gevoeligheid (o.a. creditcardinformatie, financiële informatie, erfrechtelijke aspecten, arbeids- of schoolprestaties of gegevens waarvoor een geheimhoudingsplicht geldt)
  • Gegevens over kwetsbare groepen of personen (bijvoorbeeld minderjarige personen (< 16 jaar), verstandelijk gehandicapten, gedetineerden, onder toezicht gestelden, mensen van wie de fysieke veiligheid in gevaar is)
  • Stelselmatig en grootschalige monitoring (bijv. cameratoezicht)
  • Anders, namelijk ………………………………...

De 6 AVG-grondslagen

De AVG kent 6 grondslagen voor het verwerken van persoonsgegevens:

  1. Toestemming van de betrokken persoon.
  2. De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
  3. De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
  4. De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
  5. De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
  6. De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

Je bent als onderzoeker zelf verantwoordelijk om te beoordelen of je je voor de verwerking van persoonsgegevens kunt baseren op 1 van de 6 grondslagen.

Op deze site onder Vragen over grondslagen vind je per grondslag informatie om te beoordelen wanneer je je op een grondslag kunt baseren.

De 10 wettelijke uitzonderingen AVG

In de AVG staan 10 uitzonderingen op het verbod om bijzondere persoonsgegevens te verwerken. Dat betekent dat het verbod voor het verwerken van bijzondere persoonsgegevens niet geldt wanneer je je kunt beroepen op 1 van de 6 grondslagen voor het verwerken van ‘gewone’ persoonsgegevens én:

  1. iemand uitdrukkelijk toestemming heeft gegeven voor de verwerking van zijn/haar persoonsgegevens
  2. de verwerking noodzakelijk is met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van u of de betrokken persoon. Dit op het gebied van het arbeidsrecht en het sociale zekerheids- en sociale beschermingsrecht
  3. de verwerking noodzakelijk is ter bescherming van de vitale belangen van de betrokken persoon of van een andere natuurlijke persoon. Dit geldt alleen wanneer diegene  fysiek of juridisch niet in staat is om zijn toestemming te geven
  4. de verwerking wordt gedaan door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is.  En die organisatie  gegevens verwerkt in het kader van gerechtvaardigde activiteiten en met passende waarborgen
  5. de verwerking betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt
  6. de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering. Of wanneer gerechten handelen in het kader van hun rechtsbevoegdheid
  7. de verwerking noodzakelijk is vanwege een  zwaarwegend algemeen belang
  8. de verwerking noodzakelijk is voor doeleinden van preventieve of (arbeids)geneeskunde aard Zoals het beoordelen van arbeidsgeschiktheid en/of het verstrekken van gezondheidszorg
  9. de verwerking noodzakelijk is om redenen van algemeen belang op het gebied van de volksgezondheid
  10.  de verwerking noodzakelijk is met het oog op de archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden

Data gebruiken van een externe partij

Je kunt voor (een deel van) je onderzoek gebruik maken van al bestaande data van een externe partij. Hieronder volgt een (niet uitputtend) overzicht van bronnen die potentieel relevante data ontsluiten.

  • NARCIS: biedt toegang tot datasets afkomstig uit de repositories van Nederlandse universiteiten, KNAW, NWO, diverse wetenschappelijke instellingen en een aantal data-archieven waaronder DANS en 4TU.ResearchData (zie hieronder). Je kunt filteren op toegankelijkheid (open access, close access en restricted access) en op vakgebied
  • Survey Data Netherlands: maakt enquêtes en bijbehorende data van grote Nederlandse onderzoeksprojecten vindbaar en toegankelijk. Je kunt full tekst zoeken of filteren op taal (Nederlands of Engels), onderwerp of bron
  • DANS: Zoeken in EASY, een online archiveringssysteem voor het deponeren en hergebruiken van onderzoeksdata in Nederland. Bevat datasets uit onder andere de geesteswetenschappen, gezondheidswetenschappen, maatschappij- en gedragswetenschappen, oral history en ruimtelijke wetenschappen. Ontsluit onder andere de collecties van het voormalige Nederlands Historisch Data-archief (NHDA) en het Steinmetz-archief en biedt toegang tot de beveiligde microdata van het Centraal Bureau voor de Statistiek (CBS, zie hieronder). Je kunt filteren op toegankelijkheid (open access, access na registratie, close access en restricted access) op vakgebied en op collectie. DANS is een gecertificeerd archief (CoreTrustSeal en Nestor Seal)
  • 4TU.ResearchData: Een gezamenlijk databeheerinitiatief van de Nederlandse technische universiteiten. Bevat datasets uit de technische wetenschappen. Je kunt filteren op collecties, jaar, plaats of onderwerp. 4TU.ResearchData is een gecertificeerd archief (CoreTrustSeal)
  • Statline: de databank van het Centraal Bureau van de Statistiek (CBS). Cijfers over de Nederlandse economie en samenleving. Van inflatie tot bevolkingsontwikkeling. De informatie is overzichtelijk gerubriceerd op thema. Via het open dataportaal kun je grote hoeveelheden cijfers downloaden. Het portaal geeft ook informatie over geautomatiseerde opvragingen. Statline is ook opgenomen in de A-Z databanken / digitale bronnen lijst van de bibliotheek van De Haagse Hogeschool.
  • Lijst van (inter)nationale statistische organisaties van de economische commissie voor Europa van de Verenigde Naties (UNECE): In andere landen bieden organisaties die vergelijkbaar zijn met het CBS statistische data. Een schat aan statistische data is ook te vinden bij internationale organisaties zoals de WHO, de OESO, de VN, enz. UNECE biedt een overzicht van nationale en internationale statistische organisaties.
  • MarketLine Advantage: De bibliotheek van De Haagse Hogeschool biedt toegang tot de internationale statistische bron MarketLine Advantage. Via het onderdeel databases binnen deze bron kun je stedenstatistieken, landenstatistieken en marktdata downloaden. MarketLine Advantage is opgenomen in de A-Z databanken / digitale bronnen lijst.

Data-archieven moeten voldoen aan kwaliteitsnormen voor de data die ze opslaan en waartoe ze toegang bieden. Om de kwaliteit van een data-archief te beoordelen, kun je de volgende zaken controleren:

Bij bestaande data kan intellectuele eigendom een rol spelen. Wanneer je voor je onderzoek gebruik maakt van data van een externe partij gelden de voorwaarden die die externe partij stelt aan het gebruik, toegankelijk maken en verspreiden van hun data. Neem deze in acht en leg ze vast in je datamanagementplan.