Persoonsgegevens beschermen in Qualtrics

1. Verzamel zo min mogelijk persoonsgegevens

Verzamel uitsluitend gegevens die noodzakelijk zijn voor uw onderzoek. Elk extra persoonsgegeven dat u verzamelt vormt een privacyrisico voor de deelnemer.

2. Scheidt direct identificerende gegevens van onderzoeksgegevens

Direct identificerende gegevens zijn slechts nodig om met deelnemers in contact te treden of van elkaar te kunnen onderscheiden. Breng deze gegevens onder in een apart “communicatiebestand”. Dit vermindert het privacyrisico voor de deelnemers. Een medewerker die een mailing naar de deelnemers verstuurt weet zodoende verder niets over hen.

Ken aan elke deelnemer een pseudoniem toe, zoals een uniek ID.

Bijvoorbeeld: Jan Jansen wordt ds181

Breng namen en pseudoniemen onder in een sleutelbestand. Communicatie- en sleutelbestand dienen op aparte, beveiligde plekken te worden bewaard! De toegang tot het sleutelbestand kan worden beperkt tot de hoofdonderzoeker.

2. Pseudonimiseer en anonimiseer

Pseudonimiseren

Binnen Qualtrics werkt u uitsluitend met pseudoniemen in plaats van echte persoonsgegevens. Zo is niet direct te zien wie de betrokkenen zijn.

Daarnaast kunt u werken met ranges, zoals leeftijdsranges in plaats van geboortedatum of –jaar.

Bijzondere / gevoelige gegevens: pseudonimiseren verplicht!
Verwerkt u bijzondere / gevoelige persoonsgegevens in Qualtrics? Dan is het verplicht om met pseudoniemen te werken!

ook in contact list / panel!

Qualtrics biedt de mogelijkheid een contact list of panel te maken waarmee u uw respondenten kunt uitnodigen. Een contact moet tenminste een e-mailadres bevatten. Beperkt u zich ook hier tot het invoeren van het emailadres en zonodig het pseudoniem. Het pseudoniem is nodig wanneer u respondent en response moet kunnen koppelen, bijvoorbeeld bij vervolgonderzoek.

Gegevens blijven herleidbaar!
Pseudonimisering is omkeerbaar: wanneer je over het sleutelbestand beschikt kun je gegevens immers herleiden tot een individu. Hierdoor blijven gepseudonimiseerde persoonsgegevens altijd persoonsgegevens. De wettelijke bescherming blijft van toepassing. Zorgvuldigheid is dus geboden!

>> Werkinstructie Pseudonimiseren

AnonimISEREN

Indien uw ethische commissie het toestaat anonimiseert u de gegevens. Geanonimiseerde gegevens kunnen niet meer worden herleid tot personen: de link met een persoon bestaat definitief niet meer. Anonimiseren is dan ook onomkeerbaar. Op anonieme gegevens is de privacywetgeving niet meer van toepassing.

Anonimiseren is niet makkelijk…
Echt anonimiseren is niet zo makkelijk als het lijkt. Soms lijken data anoniem te zijn, maar kunnen ze indirect tot personen worden herleid.  Bijvoorbeeld door gegevens met elkaar te combineren, of bij kleine steekproeven. Waak er ook voor dat er in de enquete zelf geen persoonlijke vragen worden gesteld waardoor de responses toch weer tot respondenten zijn te herleiden.

Meestal zijn er meerdere stappen nodig om echt te anonimiseren:

  • Zorg ervoor dat er geen direct identificerende gegevens in het onderzoeksbestand zitten. Waarschijnlijk heeft u deze reeds door een pseudoniem vervangen.
  • Verminder de precisie van de data
    Werk met ranges, zoals leeftijdsranges in plaats van geboortedatum of –jaar, of regio’s ipv woonplaats.
  • Vat uitbijters samen in een range
    VB Salaris > Eur 100.000

Daarnaast biedt Qualtrics enkele anonimisatie-opties:

Anonymous link

Wanneer u uw responses via een anonieme link verzamelt is er geen enkele link met persoonsgegevens. Tenzij u dergelijke gegevens natuurlijk via de enquetevragen alsnog verzamelt.
Echter, mogelijk staat uw ethische commissie anonieme dataverzameling niet toe. In dat geval kunt u geen anonymous link gebruiken. Gebruik dan Individual / Personal links in combinatie met Anonymize response.

Anonymize response
Door in Qualtrics de responses van een enquête te anonimiseren kun je niet meer zien wie welke respons heeft gegeven. De link tussen respons en respondent wordt definitief verbroken.
Let op: de oprie anonymize response is onomkeerbaar, het is niet meer terug te draaien!

>> Werkinstructie Anonimiseer Respons


Let op bij herhaalde metingen!
Wees voorzichtig met anonimiseren wanneer u herhaalde metingen verricht bij dezelfde deelnemers, bijvoorbeeld in het kader van longitudinaal onderzoek. Na anonimiseren kunt u de link tussen respondent en respons niet meer leggen. Met pseudonimiseren blijft dat – hetzij indirect – nog wel mogelijk.

Persoonsgegevens verzamelen in enquete zelf
Wanneer u in uw enquete zelf persoonsgegevens wilt verzamelen, doet u dit het beste in een aparte enquete. U kunt de enquetes met en zonder persoonsgegevens makkelijk naar elkaar door laten schakelen.

4. Verzamel consent apart van enquetedata

Wanneer u persoonsgegevens verwerkt op basis van de wettelijke grondslag “Uitdrukkelijke toestemming deelnemer”, dient u Informed consent te verkrijgen. Vaak werd deze gevraagd bij de start van de enquête, bijvoorbeeld als eerste vraag. Qualtrics slaat dan echter de ingevulde persoongegevens op in dezelfde dataset als de rest van de enquête. Zodoende kunnen alle antwoorden worden herleid tot een persoon. Vraag de consent daarom in apart van de daadwerkelijke enquête.

5. Andere aandachtspunten

Gebruik geen email triggers!

In Qualtrics kunt u via een email trigger responses naar uzelf laten mailen. Omdat gegevens dan naast Qualtrics ook in een ander systeem terecht komen vormt dit een privacyrisico. Gebruik email triggers daarom niet.

Verstuur responses niet naar respondent

In verschillende onderzoeken ontvangen respondenten na invullen van een enquête hun responses per email. Dit is kwetsbaar om dezelfde reden als het gebruik van email triggers. Verstuur de responses daarom niet naar de respondent.

>> Meer over Veilig digitaal werken
>> Gedragsregels digitaal werken

 

>> Werkinstructies