Data en privacy

Bij (het verzamelen van) data spelen vaak privacyvraagstukken. In veel onderzoek wordt er namelijk persoonsgegevens gebruikt. Onderzoekers zijn wettelijk verplicht zorgvuldig met deze gevoelige gegevens om te gaan en als onderzoeker ben je verantwoordelijk voor het beschermen van de privacy van betrokkenen.  

Basisregels

Voor onderzoekers die te maken hebben met persoonsgegevens gelden een aantal basisregels:

  • Je verzamelt niet méér persoonsgegevens dan je echt nodig hebt voor je onderzoek
  • Betrokkenen hebben je toestemming gegeven voor het verzamelen van hun gegevens (zie Informed consent hieronder)
  • Je gebruikt de persoonsgegevens niet voor andere doelen dan waarvoor je van betrokkenen toestemming hebt gekregen
  • Je zorgt ervoor dat betrokkenen hun toestemming weer kunnen intrekken en dat ze hiervoor eenvoudig contact met je kunnen opnemen
  • Je zorgt ervoor dat betrokkenen hun recht op inzage, correctie en verwijdering van hun persoonsgegevens op kunnen uitoefenen en dat ze hiervoor eenvoudig contact met je kunnen opnemen
  • Je beveiligt je onderzoeksdata die persoonsgegevens bevatten goed door contactgegevens te scheiden van onderzoeksgegevens, zorgvuldigheid in acht te nemen bij het bepalen wie toegang krijgt tot de opslagplaats van je onderzoeksdata en je data zo snel mogelijk te anonimiseren

    Persoonsgegevens

    Persoonsgegevens zijn alle gegevens die een persoon rechtstreeks identificeren of waarmee een persoon indirect geïdentificeerd kan worden. Het kan dus gaan om NAW-gegevens, mailadres, telefoonnummer, locatie, IP-adres, enzovoort maar ook om combinaties van gegevens die tot een persoon kunnen leiden. Ook zogenaamde ‘bijzondere’ persoonsgegevens zijn (extra) beschermd: bijvoorbeeld gevoelige gegevens over iemands ras, religie, gezondheid, geaardheid zoals pasfoto’s en Burgerservicenummer. Hier vind je een opsomming van de categorieën (bijzondere) persoonsgegevens.

    Wettelijke grondslag

    Het verwerken van (bijzondere) persoonsgegevens mag alleen wanneer daarvoor een wettelijke grondslag is. Voor het verwerken van ‘gewone’ persoonsgegevens moet je kunnen baseren op 1 van de 6 AVG-grondslagen. De verwerking van ‘bijzondere persoonsgegevens’ is verboden tenzij je je kunt beroepen op 1 van de 6 AVG-grondslagen én op 1 van de 10 wettelijke uitzonderingen op het verbod om bijzondere persoonsgegevens te verwerken.

    Informed consent

    Je legt aan je respondenten uit wat je onderzoek inhoudt, wat hun rol binnen het onderzoek zal zijn en wat de eventuele gevolgen van deelname zijn. Vervolgens vraag je of ze instemmen met deelname aan je onderzoek. Dit doe je aan de hand van een informed consent. Een informed consent-formulier bestaat uit twee delen, de informatiebrief of -brochure en de toestemmingsverklaring.

    In de informatiebrief leg je uit:

  • Waar het onderzoek over gaat
  • Welke gegevens van de deelnemer worden verzameld
  • Waarom gegevens worden verzameld (grondslag en doelbinding).
  • Hoe de gegevens worden verwerkt
  • Wie het onderzoek uitvoert
  • Wie de contactpersoon voor deelnemers is en hoe die te bereiken is
  • Dat de respondent te allen tijde de gegeven toestemming mag intrekken en mag stoppen met meedoen aan het onderzoek zonder daarvoor een reden te geven

Een modelinformatiebrief vind je hier.

In de toestemmingsverklaring vraag je de respondent om toestemming voor:

  • Het verzamelen en verwerken van zijn of haar gegevens
  • Het archiveren van de data
  • Het eventueel (geanonimiseerd) publiceren van de data
  • Het eventueel beschikbaar stellen van de data voor hergebruik door een andere onderzoeker

Voorbeelden van toestemmingsverklaringen vind je hier.

Wie geeft toestemming?

  • De deelnemer, indien ouder dan 16 jaar en wilsbekwaam
  • Een ouder of een voogd, als de deelnemer jonger dan 12 jaar is
  • Een ouder of een voogd én de deelnemer, als de deelnemer tussen de 12 en 16 jaar is
  • Een vertegenwoordiger, als de deelnemer ouder dan 16 jaar, maar wilsonbekwaam is

Verwerken

Onder het ‘verwerken’ van persoonsgegevens valt alles wat je als onderzoeker met die gegevens doet of door een ander laat doen: verzamelen, opslaan, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, analyseren, anonimiseren, doorzenden, aan anderen laten zien, verspreiden, beschikbaar stellen, publiceren, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen.

Er valt dus heel veel onder, zelfs meekijken op andermans scherm of account. Voorzichtigheid is dan ook geboden. Ieder onderzoek behoeft specifieke maatregelen om een juiste omgang met persoonsgegevens te garanderen. Toch zijn er voor onderzoekers ook algemene 'quick wins', relatief eenvoudige acties die ervoor zorgen dat de kans op een datalek in je onderzoek sterk verkleint. Lees ze hier.

De AVG vereist dat De Haagse Hogeschool een register aanlegt van alle verwerkingen van persoonsgegevens binnen De Haagse Hogeschool. Het is daarom verplicht om verwerkingen van persoonsgegevens te melden bij de Functionaris voor de Gegevensbescherming (FG) van De Haagse. Op deze pagina vind je onder Meldpunt Gegevensverwerking hulpmiddelen om aan deze meldingsplicht te voldoen.

Indien je je data laat verwerken door een derde partij, bijvoorbeeld wanneer je een online applicatie voor enquêtes gebruikt, stel je een verwerkersovereenkomst op. Gebruik hiervoor het model verwerkersovereenkomst.

Anonimiseren

Omdat het niet is toegestaan persoonsgegevens te publiceren, moeten databestanden waarin persoonsgegevens voorkomen, geanonimiseerd worden. Hoe je je data anonimiseert lees je op de pagina UK Data Service Anonymisation.

De AVG-toets en een DPIA

We raden je sterk aan om aan het begin van je onderzoek een AVG-toets te doen in overleg met de Functionaris Gegevensbescherming (FG) van De Haagse. Hierdoor ben je zeker dat je al vanaf het opzet van je onderzoek en vanaf het begin van je dataverwerking AVG-proof werkt. Daarbij hoort ook documentatieverplichtingen. Elke stap bij het verwerken van persoonsgegevens moet goed worden gedocumenteerd: uitgangspunten, toestemming, verwerkingen, doelbinding, rechtsgrond. Die vastlegging is essentieel omdat je zelf verantwoordelijk bent voor het goed kunnen staven van je beslissingen en beweringen.

Wanneer de verwerking van persoonsgegevens een hoog privacyrisico oplevert is het nodig om vooraf deze privacyrisico's goed in kaart te brengen. Dit gebeurt door middel van het uitvoeren van een data protection impact assessment (DPIA). Daarna kunnen er maatregelen worden genomen om de privacyrisico's te verkleinen. Een DPIA is verplicht wanneer één van volgende situaties zich tijdens het onderzoek (gaan) voordoen:

  • Systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen
  • Grootschalige verwerking van bijzondere categorieën van persoonsgegevens
  • Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten

Lees hier meer over de DPIA. Neem contact op met de Functionaris Gegevensbescherming (FG) van De Haagse voor advies over of een DPIA nodig is en voor het uitvoeren van een DPIA.

De Functionaris Gegevensbescherming (FG) van De Haagse te bereiken via FG@hhs.nl.

Meer informatie

Meer informatie over privacy in onderzoek en zorgvuldig omgaan met persoonsgegevens:

Richtlijnen GDPR: WHY?WHAT?HOW?