Wanneer u persoonsgegevens verzamelt voor wetenschappelijk onderzoek of onderwijs dient u te werken volgens de Gedragscode voor gebruik van persoonsgegevens in wetenschappelijk onderzoek van de VSNU. Heden is een nieuwe versie in ontwikkeling die beschrijft hoe de AVG moet worden toegepast in wetenschappelijk onderzoek.
De AVG is van toepassing:
- Als u persoongegevens verwerkt voor wetenschappelijk onderzoek.
- Als u of uw als organisatie als verantwoordelijke zijn aan te merken. Dat is het geval als u zelf het onderzoek doet, er een belangrijke rol in speelt (bijv. als dataverzamelaar) of als u heeft meegeschreven aan het onderzoeksvoorstel.
- Als u of de deelnemers zich in de EU bevinden (de AVG is van toepassing op EU-burgers).
Uitgangspunten AGV
De volgende uitgangspunten moeten bij de verwerking van persoonsgegevens te allen tijde worden gerespecteerd. U bent er als onderzoeker of student zelf verantwoordelijk voor dat uw onderzoek aan de vereisten voldoet.
De verwerking is rechtmatig
Om persoonsgegevens te mogen verwerken is een wettelijke grondslag vereist. De volgende verwerkingsgronden kunnen voor wetenschappelijk onderzoek worden aangewend:
- De verwerking is noodzakelijk voor behartiging van de gerechtvaardigde belangen.
Let op! Indien het belang ook op een andere, minder ingrijpende wijze kan worden behartigd, kan de verwerking van persoonsgegevens alsnog onrechtmatig zijn. Het is daarom belangrijk om te kijken naar de gevoeligheid van de gegevens en in hoeverre rekening wordt gehouden met de rechten en belangen van de betrokkenen. - Indien u bijzondere persoonsgegevens verwerkt, of als uw onderzoek met deelnemers jonger dan 16 jaar doet, heeft u naast bovenstaande grondslag tevens uitdrukkelijke toestemming (Informed consent) nodig.
Toestemmingsverklaring In een toestemmingsverklaring staat welk onderzoek u doet en waar de deelnemer precies toestemming voor geeft. De toestemming moet worden gedocumenteerd, omdat u moet kunnen aantonen dat u toestemming heeft verkregen. Zie de voorbeeldformulieren op de pagina Informed consent.Bijzondere aspecten van het onderzoek, zoals het karakter van het onderzoek (erfelijkheidsonderzoek) of de schaal waarop het plaatsvindt (landelijk of internationaal) kunnen de informatieplicht uitbreiden. Zo kunnen aanvullende eisen gelden t.a.v. toegang tot de data, geheimhouding en presentatie van de uitkomsten.
De verwerking is transparant
De deelnemers hebben recht op informatie. U informeert de betrokkene in heldere taal dat zijn persoonsgegevens verwerkt worden, waarom en door wie. U beantwoordt de eventuele vragen die de betrokkenen stelt. Wat u precies aan de betrokkene moet laten weten kunt u lezen in de Handleiding AVG.
Verwerkingsregister De universiteit is verplicht om alle verwerkingen van persoonsgegevens in een administratie bij te houden. U dient uw verwerkingsactiviteiten vast te leggen in het verwerkingsregister onderzoek.
Datamanagement
Het beheer van onderzoeksdata is een onmisbaar onderdeel van uw onderzoek. Datamanagement omvat het creëren, opslaan, beveiligen, onderhouden, beschikbaar maken, archiveren en langdurig bewaren van onderzoeksdata. Datamanagement is van essentieel belang voor de kwaliteit, veiligheid, vertrouwelijkheid en transparantie van het onderzoek.
Minimale gegevensverwerking
Voorkomen is beter dan genezen. Bedenk daarom goed welke persoonsgegevens noodzakelijk zijn voor uw onderzoek. Door niet meer te verzamelen dan strikt noodzakelijk is (dataminimalisatie) verkleint u het privacyrisico. Door gegevens te verdelen over verschillende bestanden kunt u voorts het privacyrisico flink verkleinen.
Opslagbeperking
Bewaar de gegevens niet langer dan nodig. Identificerende gegevens moeten worden weggegooid zodra ze voor het verwerkingsdoel niet nodig meer zijn.
Doel en doelbinding
Persoonsgegevens mogen in principe alleen worden gebruikt voor het specifieke doel van het onderzoek en niet voor andere doelen. Dit doel moet u duidelijk omschrijven en aan betrokkenen kunnen uitleggen.
Echter, bij wetenschappelijke onderzoek, waarin data beschikbaar wordt gemaakt voor hergebruik, is het niet mogelijk om vooraf de eventuele toekomstige doelen te omschrijven. In dergelijke gevallen kan de betrokkene er toestemming voor verlenen dat de gegevens gebruikt worden voor bepaalde onderzoeksterreinen in plaats van vooraf strikt omschreven doelen. Bijvoorbeeld een bepaalde aandoening. Verdere verwerking van gegevens worden niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd.
Juistheid
Zorg dat de gegevens te allen tijde juist zijn. Actualiseer gegevens waar nodig.
Integriteit en veiligheid
Behandel gegevens vertrouwelijk. Beveilig de gegevens adequaat opdat ze niet kunnen lekken en voor andere doeleinden kunnen worden gebruikt.
Hoog privacyrisico: Risicoanalyse
In sommige gevallen levert gegevensverwerking een hoog privacyrisico op voor de betrokkenen. U dient dan vooraf een risico-analyse te doen.
De volgende verwerkingen zijn sowieso risicovol:
- verwerking van gevoelige persoonsgegevens
- verwerking die een hoog risico voor de betrokkenen met zich meebrengt
Denk hierbij aan rechtsgevolgen of belangen, rechten of vrijheden die betrokkene in aanzienlijke mate treffen. Bijvoorbeeld het verkrijgen van diploma’s, leningen, gezondheidsbehandeling e.d. - verwerking van gegevens op grote schaal
Om het risico te bepalen, is een formulier met 9 vragen ontwikkeld (Pre-DPIA of Pre-Data Protection Impact assessment). Daarmee kunt u de privacy-risico’s inventariseren en vaststellen of een uitgebreidere DPIA noodzakelijk is. Voor het invullen van het formulier of het vaststellen van vervolgacties kunt u contact opnemen met uw informatiemanager of de functionaris gegevensbescherming.
Mag u Qualtrics wel gebruiken?
- Als vastgesteld wordt dat in het onderzoek gevoelige data worden verzameld, die echter niet makkelijk herleidbaar (meer) zijn tot individuen omdat ze o.a. gepseudonimiseerd zijn kan Qualtrics ingezet worden. Raadpleeg uw Informatiemanager als u hierover verder advies wil.
- Wanneer echter vastgesteld wordt dat er zowel een hoge mate van gevoelige data verzameld wordt met een grote kans op herleidbaarheid tot individuen kan Qualtrics niet gebruikt worden en moet er gekeken worden naar een alternatieve survey tool. Neem hiervoor contact op met uw informatiemanager.
Meld datalekken
Wanneer er – ondanks alle maatregelen – persoonsgegevens opzettelijk of onopzettelijk persoonsgegevens aan een onvertrouwd publiek zijn blootgesteld dient u dit te melden. Het kan gaan om verlies van gegevens, maar ook om het gebruik van emailadressen voor een doel waar betrokkenen geen toestemming hebben gegeven.
Lees hoe u een datalek kunt melden.