Wetgeving

Het auteursrecht biedt bescherming aan werken die een zekere creativiteit of oorspronkelijkheid aan de dag brengen. In veel gevallen is duidelijk dat een werk auteursrechtelijk beschermd is: als iemand een boek of artikel schrijft, ligt daarin altijd wel een persoonlijke creativiteit besloten. Bij onderzoeksdata is dat niet zo duidelijk. Data zijn immers veelal blote feiten. In veel gevallen zullen onderzoeksdata dan ook niet onder de auteursrechtelijke bescherming vallen.

Het auteursrecht is er ook niet om een onderzoeker die een ontdekking doet, te beschermen, hoe creatief  of oorspronkelijk die ontdekking ook is. Het auteursrecht kan niet gebruikt worden om nieuw ontdekte gegevens te beschermen. Het auteursrecht kan wel de vorm waarin de ontdekker de blote feiten heeft opgeschreven, beschermen. Dan moet die vorm het resultaat zijn van creatieve keuzes. Als dat het geval is, mogen anderen die vorm niet zonder toestemming overnemen. 

Ter illustratie: Als je ruwe, onbewerkte data (juridisch: blote feiten) in een tabel zet, is auteursrecht niet van toepassing. Iedere andere onderzoeker had een soortgelijke tabel kunnen maken. Een selectie of ordening van blote feiten kan wel beschermd zijn volgens de databankenwet als het een selectie of ordening met een persoonlijk stempel betreft. 

In het rapport ‘De juridische status van ruwe data: een wegwijzer voor de onderzoekspraktijk’ vind je een overzicht van de stand van zaken aan de hand van de belangrijkste wetgeving en rechtspraak.

Bij het beschikbaar zijn of stellen van onderzoeksdata gaat het dus veelal niet om auteursrecht of databankenrecht maar om het hebben of toegang geven tot data. Je kunt hierbij dan ook spreken over een groot gevoel van eigenaarschap. Er bestaat doorgaans geen verplichting om onderzoeksdata met anderen te delen. Je kan er als onderzoeker altijd voor kiezen om je data niet aan anderen ter beschikking te stellen zodat anderen daarvan ook geen gebruik kunnen maken. Eventuele contractuele afspraken kunnen hier relevant zijn.

• Zo kunnen financiers of uitgevers eisen dat je de data beschikbaar stelt voor raadpleging door anderen.
• Relevant bij de eisen van uitgevers is dat er bij de Haagse Hogeschool een open access publicatiebeleid wordt gevoerd waarbij de auteurswet en de CAO op het gebied van auteursrechten van onderzoekspublicaties van medewerkers wordt gevolgd.
• In consortiumovereenkomsten worden afspraken vastgelegd tussen samenwerkingspartners binnen onderzoek over gebruik, hergebruik en delen van de onderzoeksdata.

Wanneer je voor je onderzoek gebruik maakt van data van een externe partij gelden de voorwaarden die die externe partij stelt aan het gebruik, toegankelijk maken en verspreiden van hun data. Neem deze in acht en leg ze vast in je datamanagementplan.

Voor onderzoekers die te maken hebben met persoonsgegevens gelden een aantal basisregels:

• Je verzamelt niet méér persoonsgegevens dan je echt nodig hebt voor je onderzoek.
• Betrokkenen hebben je toestemming gegeven voor het verzamelen van hun gegevens (Informed consent).
• Je gebruikt de persoonsgegevens niet voor andere doelen dan waarvoor je van betrokkenen toestemming hebt gekregen.
• Je zorgt ervoor dat betrokkenen hun toestemming weer kunnen intrekken en dat ze hiervoor eenvoudig contact met je kunnen opnemen.
• Je zorgt ervoor dat betrokkenen hun recht op inzage, correctie en verwijdering van hun persoonsgegevens op kunnen uitoefenen en dat ze hiervoor eenvoudig contact met je kunnen opnemen.
• Je beveiligt je onderzoeksdata die persoonsgegevens bevatten goed door contactgegevens te scheiden van onderzoeksgegevens, zorgvuldigheid in acht te nemen bij het bepalen wie toegang krijgt tot de opslagplaats van je onderzoeksdata en je data zo snel mogelijk te anonimiseren.

Persoonsgegevens zijn alle gegevens die een persoon rechtstreeks identificeren of waarmee een persoon indirect geïdentificeerd kan worden. Het kan dus gaan om NAW-gegevens, mailadres, telefoonnummer, locatie, IP-adres, enzovoort maar ook om combinaties van gegevens die tot een persoon kunnen leiden. Ook zogenaamde ‘bijzondere’ persoonsgegevens zijn (extra) beschermd: bijvoorbeeld gevoelige gegevens over iemands ras, religie, gezondheid, geaardheid zoals pasfoto’s en Burgerservicenummer.

Het verwerken van (bijzondere) persoonsgegevens mag alleen wanneer daarvoor een wettelijke grondslag is. Voor het verwerken van ‘gewone’ persoonsgegevens moet je kunnen baseren op 1 van de 6 AVG-grondslagen. De verwerking van ‘bijzondere persoonsgegevens’ is verboden tenzij je je kunt beroepen op 1 van de 6 AVG-grondslagen én op 1 van de 10 wettelijke uitzonderingen op het verbod om bijzondere persoonsgegevens te verwerken.

Je legt aan je respondenten uit wat je onderzoek inhoudt, wat hun rol binnen het onderzoek zal zijn en wat de eventuele gevolgen van deelname zijn. Vervolgens vraag je of ze instemmen met deelname aan je onderzoek. Dit doe je aan de hand van een informed consent. Een informed consentformulier bevat twee onderdelen, het informatieve onderdeel en de toestemmingsverklaring.

Het informatieve gedeelte bevat alle informatie over het onderzoek inclusief alle betrokken onderzoekers en eventuele organisaties waarmee wordt samengewerkt. Ook wordt er uitleg gegeven over de redenen en doelen van het verzamelen van deze gegevens. Daarnaast worden de contactgegevens van de onderzoeker vermeld voor het geval dat de deelnemer zijn of haar toestemming wil intrekken. Daarbij wordt aangegeven dat hij of zij het recht heeft om dit zonder uitleg te doen.

In de toestemmingsverklaring vraag je de respondent om toestemming voor:

• Het verzamelen en verwerken van zijn of haar gegevens
• Het archiveren van de data
• Het eventueel (geanonimiseerd) publiceren van de data
• Het eventueel beschikbaar stellen van de data voor hergebruik door een andere onderzoeker

Wie geeft toestemming?

• De deelnemer, indien ouder dan 16 jaar en wilsbekwaam
• Een ouder of een voogd, als de deelnemer jonger dan 12 jaar is
• Een ouder of een voogd én de deelnemer, als de deelnemer tussen de 12 en 16 jaar is
• Een vertegenwoordiger, als de deelnemer ouder dan 16 jaar, maar wilsonbekwaam is

Download het standaard Informed Consent formulier van De Haagse Hogeschool.

De AVG vereist dat De Haagse Hogeschool een register aanlegt van alle verwerkingen van persoonsgegevens binnen De Haagse Hogeschool. Het is daarom verplicht om verwerkingen van persoonsgegevens te melden bij de Privacy Officer van De Haagse. Indien je je data laat verwerken door een derde partij, bijvoorbeeld wanneer je een online applicatie voor enquêtes gebruikt, stel je een verwerkingsovereenkomst op. Op de pagina Privacy vind je meer informatie, hulpmiddelen en de procedure voor het melden van verwerkingen.

Wanneer je met gevoelige data werkt, is het nodig om de veiligheid van deze data te versterken om te voorkomen dat je persoonsgegevens vrijgeeft wanneer je je data met anderen wilt delen. Er zijn twee basismethoden: pseudonimiseren en anonimiseren. Het belangrijkste verschil tussen deze twee methoden is dat je pseudonimiseren weer ongedaan kunt maken en dat anonimiseren onomkeerbaar is. Daarom moeten gepseudonimiseerde data volgende de AVG nog steeds als persoonsgegevens behandeld worden.

Pseudonomiseren gebruik je wanneer je de data van de deelnemers nodig hebt voor andere redenen dan de analyse zelf. Het kan bijvoorbeeld zinvol zijn om later in het onderzoek aan aanvullende gegevens te komen over een persoon, of om iemand te waarschuwen wanneer er medische risico’s blijken te zijn. Het Landelijk Coördinatiepunt Research Data Management (LCRDM) biedt een set van 9 basisstappen pseudonimiseren aan.

Geanonimiseerde data zijn gegevens die helemaal geen betrekking meer hebben op individuen. Er mogen bij anonimisering dus géén aanvullende gegevens beschikbaar zijn waarmee iemand alsnog een koppeling kan maken met een specifiek persoon. Niet alleen persoonsgegevens (direct identificeerbare elementen) moeten worden verwijderd, maar ook indirect identificeerbare elementen. Hoe je je data anonimiseert lees je op de pagina UK Data Service Anonymisation en in het document Keeping Data Confidential – Anonymising Records van de universiteit van Bristol.

Het is sterk aan te raden om aan het begin van je onderzoek een AVG-toets te doen in overleg met de Privacy Officer van De Haagse. Hierdoor ben je er zeker van dat je al vanaf de opzet van je onderzoek en vanaf het begin van je dataverwerking AVG-proof werkt. Indien nodig wordt er een Data Protection Impac Assessment uitgevoerd (DPIA). Wanneer je in je onderzoek met één van de volgende activiteiten te maken hebt, is een DPIA zelfs verplicht:

• Beoordelen van mensen op basis van persoonskenmerken (evaluatie of scoretoekenning)
• Geautomatiseerde beslissingen met rechtsgevolg of vergelijkbaar gevolg
• Stelselmatige monitoring
• Grootschalige gegevensverwerkingen
• Matchen of koppelen van datasets
• Verwerking van gegevens over kwetsbare personen
• Gebruik van nieuwe technologieën of oplossingen
• De verwerking van gegeven leidt tot blokkering van een recht, dienst of contract

Lees hier meer over de DPIA.

Meer informatie over privacy in onderzoek en zorgvuldig omgaan met persoonsgegevens:

• Vuistregels voor Privacy: Zorgvuldig omgaan met persoonsgegevens op De Haagse Hogeschool
• Beleid Verwerking Persoonsgegevens De Haagse Hogeschool 2018-2020
• SURF online module ‘Privacy in onderzoek’

Richtlijnen GDPR: WHY?  WHAT?  HOW?

• Naam, adres, postcode, woonplaats
• Telefoonnummer, E-mailadres
• Geboortedatum, Geboorteplaats
• Nationaliteit, Geslacht
• Beroep/ functie/ Salaris/  CV’s
• BSN-nummer (wettelijk voorgeschreven), (kopie) Identiteitsbewijs
• Personeels-/studentnummer/ ander administratienummer
• Financiële data (bankrekeningnummer, creditcardnummer)
• Foto’s/ audiovisueel materiaal/ gespreks- video-opnamen
• Data verkregen uit sociale profielen (Facebook-, twitteraccount etc.)
• Click- en surfgedrag (cookie/ pixeldata), IP-adressen
• Lifestylekenmerken (o.a. gezinssamenstelling, woonsituatie, interesses, demografische kenmerken)
• Anders, namelijk ………………………………...

• Bijzondere persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, persoonsgegevens betreffende het lidmaatschap van een vakvereniging, strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag
• Uniek identificerende gegevens (bijvoorbeeld biometrische gegevens, vingerafdrukken, DNA)
• Andere gegevens waarvoor geldt dat sprake is van een (afgeleide) verhoogde gevoeligheid (o.a. creditcardinformatie, financiële informatie, erfrechtelijke aspecten, arbeids- of schoolprestaties of gegevens waarvoor een geheimhoudingsplicht geldt)
• Gegevens over kwetsbare groepen of personen (bijvoorbeeld minderjarige personen (< 16 jaar), verstandelijk gehandicapten, gedetineerden, onder toezicht gestelden, mensen van wie de fysieke veiligheid in gevaar is)
• Stelselmatig en grootschalige monitoring (bijv. cameratoezicht)
• Anders, namelijk ………………………………...

1. Toestemming van de betrokken persoon.
2. De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
3. De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
4. De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
5. De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
6. De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

Je bent als onderzoeker zelf verantwoordelijk om te beoordelen of je je voor de verwerking van persoonsgegevens kunt baseren op 1 van de 6 grondslagen.

Op deze site onder Vragen over grondslagen vind je per grondslag informatie om te beoordelen wanneer je je op een grondslag kunt baseren.

1. iemand uitdrukkelijk toestemming heeft gegeven voor de verwerking van zijn/haar persoonsgegevens
2. de verwerking noodzakelijk is met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van u of de betrokken persoon. Dit op het gebied van het arbeidsrecht en het sociale zekerheids- en sociale beschermingsrecht
3. de verwerking noodzakelijk is ter bescherming van de vitale belangen van de betrokken persoon of van een andere natuurlijke persoon. Dit geldt alleen wanneer diegene  fysiek of juridisch niet in staat is om zijn toestemming te geven
4. de verwerking wordt gedaan door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is.  En die organisatie  gegevens verwerkt in het kader van gerechtvaardigde activiteiten en met passende waarborgen
5. de verwerking betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt
6. de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering. Of wanneer gerechten handelen in het kader van hun rechtsbevoegdheid
7. de verwerking noodzakelijk is vanwege een  zwaarwegend algemeen belang
8. de verwerking noodzakelijk is voor doeleinden van preventieve of (arbeids)geneeskunde aard Zoals het beoordelen van arbeidsgeschiktheid en/of het verstrekken van gezondheidszorg
9. de verwerking noodzakelijk is om redenen van algemeen belang op het gebied van de volksgezondheid
10.  de verwerking noodzakelijk is met het oog op de archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden

• Lijst van data-repositories van de Open Access Directory: opsomming per vakgebied, onder andere de belangrijke repositories voor sociale wetenschappen ICPSR en CESSDA (Council of European Social Science Archives)
• Re3data.org: overzicht van algemene en disciplinaire data-repositories wereldwijd. Je kunt filteren op onderwerp, vakgebied of land
• Lijst van internationale data-archieven van de UK Data Archive: lijst van internationale data-archieven, de prominente nationale data-archieven van Europa gepresenteerd op een klikbare kaart

• NARCIS: biedt toegang tot datasets afkomstig uit de repositories van Nederlandse universiteiten, KNAW, NWO, diverse wetenschappelijke instellingen en een aantal data-archieven waaronder DANS en 4TU.ResearchData (zie hieronder). Je kunt filteren op toegankelijkheid (open access, close access en restricted access) en op vakgebied
• Survey Data Netherlands: maakt enquêtes en bijbehorende data van grote Nederlandse onderzoeksprojecten vindbaar en toegankelijk. Je kunt full tekst zoeken of filteren op taal (Nederlands of Engels), onderwerp of bron
• DANS: Zoeken in EASY, een online archiveringssysteem voor het deponeren en hergebruiken van onderzoeksdata in Nederland. Bevat datasets uit onder andere de geesteswetenschappen, gezondheidswetenschappen, maatschappij- en gedragswetenschappen, oral history en ruimtelijke wetenschappen. Ontsluit onder andere de collecties van het voormalige Nederlands Historisch Data-archief (NHDA) en het Steinmetz-archief en biedt toegang tot de beveiligde microdata van het Centraal Bureau voor de Statistiek (CBS, zie hieronder). Je kunt filteren op toegankelijkheid (open access, access na registratie, close access en restricted access) op vakgebied en op collectie. DANS is een gecertificeerd archief (CoreTrustSeal en Nestor Seal)
• 4TU.ResearchData: Een gezamenlijk databeheerinitiatief van de Nederlandse technische universiteiten. Bevat datasets uit de technische wetenschappen. Je kunt filteren op collecties, jaar, plaats of onderwerp. 4TU.ResearchData is een gecertificeerd archief (CoreTrustSeal)

• Statline: de databank van het Centraal Bureau van de Statistiek (CBS). Cijfers over de Nederlandse economie en samenleving. Van inflatie tot bevolkingsontwikkeling. De informatie is overzichtelijk gerubriceerd op thema. Via het open dataportaal kun je grote hoeveelheden cijfers downloaden. Het portaal geeft ook informatie over geautomatiseerde opvragingen. Statline is ook opgenomen in de A-Z databanken / digitale bronnen lijst van de bibliotheek van De Haagse Hogeschool.
• Lijst van (inter)nationale statistische organisaties van de economische commissie voor Europa van de Verenigde Naties (UNECE): In andere landen bieden organisaties die vergelijkbaar zijn met het CBS statistische data. Een schat aan statistische data is ook te vinden bij internationale organisaties zoals de WHO, de OESO, de VN, enz. UNECE biedt een overzicht van nationale en internationale statistische organisaties.
• Euromonitor Passport: De bibliotheek van De Haagse Hogeschool biedt toegang tot de internationale statistische bron Euromonitor Passport. Via de tegels Search all categories en Expore statistics onder de verschillende tabbladen kun je marktdata, demografische data, socio-economische data en (detail)handeldata downloaden. Euromonitor Passportis opgenomen in de A-Z databanken / digitale bronnen lijst.

Data-archieven moeten voldoen aan kwaliteitsnormen voor de data die ze opslaan en waartoe ze toegang bieden. Om de kwaliteit van een data-archief te beoordelen, kun je de volgende zaken controleren:

• Het beleid en de richtlijnen van het archief
• Of het gecertificeerd is, bijvoorbeeld de CoreTrustSeal of ISO/DIN-normen
• Het gebruik van persistent identifiers zoals Digital Object Identifiers (DOI’s), die de vindbaarheid van de data garanderen