Onderzoek en privacy

STAPPENPLAN ONDERZOEK EN AVG

Algemene informatie:

Er is een speciale pagina ingericht ten behoeve van onderzoek: onderzoek.mijnhva.nl . Daarnaast kunnen onderzoekers in de Nederlandse Gedragscode Wetenschappelijke Integriteit veel informatie vinden over een goede opzet en uitvoering van het onderzoek. Deze gedragscode bevat ook algemene richtlijnen voor een goede omgang met data/persoonsgegevens. Er is ook een handreiking voor begeleiders van studentonderzoek opgesteld op basis van deze code.

De algemene uitgangspunten van de Algemene Verordening Gegevensbescherming (AVG), dat is de privacywetgeving, zijn in een kort filmpje AvG weergegeven. Meer gedetailleerde en technische informatie over privacyaspecten is te vinden in het “blauwe boekje ”.

VOORDAT HET ONDERZOEK START

1. Data Management Plan (DMP)

Stel een DMP op waarin onder meer wordt beschreven hoe de privacy van onderzoeksdeelnemers wordt gewaarborgd, wie toegang heeft tot (persoons)gegevens, hoe lang (persoons)gegevens bewaard blijven en hoe met het openstellen van data wordt omgegaan.
Voor meer informatie zie: RDM UvA .

Neem voor advies contact op met de facultaire data steward of RDM Support: rdm-support@uva.nl

2. Verwerking persoonsgegevens: Legitieme grondslag

• De AVG staat het werken met persoonsgegevens uitsluitend toe als je daarvoor een grondslag hebt.
  In de AVG worden zes grondslagen genoemd, waarvan er voor praktijkgericht onderzoek twee van belang zijn, namelijk ’toestemming van betrokkene’ en ‘gerechtvaardigd belang’.
• Daarnaast mogen bijzondere persoonsgegevens niet worden gebruikt, tenzij daarvoor een uitzondering aanwezig is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over etniciteit, gezondheid of seksuele voorkeur. De uitzondering die voor onderzoek met bijzondere persoonsgegevens het meest van belang is, is uitdrukkelijke toestemming.
• Als de gegevensverwerking plaats vindt op basis van toestemming moeten betrokkenen via een informatiebrief (of b.v. folder of filmpje) duidelijk geïnformeerd worden, en een toestemmingsverklaring tekenen. Hiervoor is een format ontwikkeld. Toestemming kan altijd worden ingetrokken, verzamelde gegevens dienen dan verwijderd te worden, tenzij deze al geanonimiseerd zijn.
• Als gegevensverwerking plaats vindt op basis van gerechtvaardigd belang, moet aan de volgende voorwaarden worden voldaan:

1. een gerechtvaardigd belang van de voor de verwerking verantwoordelijke (onderzoeker, consortium) of van een derde;
2. de noodzaak van de verwerking van de persoonsgegevens voor de behartiging van dit belang, aan de hand van 2 subvragen:
   of het doel van de verwerking in verhouding staat tot de inbreuk op de privacy van de betrokkenen. In de AVG heet dit ‘proportionaliteit’, én
   of het doel niet op een andere manier bereikt kan worden, die minder ingrijpend is voor de betrokkenen. In de AVG heet dit ‘subsidiariteit’.
   Als niet aan béide eisen wordt voldaan is er geen noodzaak.
3. een belangenafweging: de voorwaarde dat de fundamentele rechten en vrijheden van de bij de gegevensbescherming betrokken persoon niet prevaleren.

Als deze grondslag wordt gebruikt, zorg dan dat de afwegingen in een document worden vastgelegd.

Als er geen persoonsgegevens worden verwerkt (data worden b.v. anoniem aangeleverd), kan worden volstaan met de algemene toestemming voor medewerking aan het onderzoek. Het getuigt van zorgvuldigheid indien, als er eerder een generieke toestemmingsverklaring is afgegeven, betrokkene bij het concrete onderzoek de mogelijkheid van een opt-out te bieden. Bij opt-out geldt hetzelfde als bij intrekking van toestemming: verzamelde gegevens dienen dan verwijderd te worden, tenzij deze al geanonimiseerd zijn.

3. Een student voert (een deel van het) onderzoek uit binnen lectoraat/consortium (link naar bijlage)

Er is een modelverklaring beschikbaar voor afspraken over intellectuele eigendom, geheimhouding en het omgaan met persoonsgegevens voor als de student meewerkt aan een door de HvA (al dan niet in samenwerking met derden) geïnitieerd onderzoek, waarvoor het lectoraat of consortium de eindverantwoordelijkheid draagt.

4. Overeenkomsten

Consortium:

Als er wordt samengewerkt in een consortium leggen projectpartners vast onder welke voorwaarden ze gezamenlijk het project gaan uitvoeren. IXA-HvA adviseert als organisatie over deze overeenkomsten, in het bijzonder ook de afspraken over intellectueel eigendom.

Verwerking persoonsgegevens:

Wanneer een andere partij dan de Hogeschool van Amsterdam betrokken is bij de verwerking van persoonsgegevens dan moeten afspraken met deze partij worden gemaakt in de vorm van een verwerkersovereenkomst (data processing agreement) en/of een datauitwisselingsovereenkomst (data sharing of data transfer agreement). Er zijn drie vormen, en er is een beslisboom die helpt bepalen welke van toepassing is of zijn:

a. HvA is verantwoordelijk:

De verwerking van persoonsgegevens wordt (deels) uitbesteed. Bijvoorbeeld als je een online applicatie gebruikt om vragenlijsten af te nemen, als je een externe instantie transcripten laat maken van interviews die jij gehouden hebt, of als je onderzoeksdata met persoonsgegevens erin buiten de HvA opslaat. Je hebt dan een verwerkersovereenkomst (data processing agreement) nodig.

b. Samen verantwoordelijk:

In een onderzoeksproject wordt samengewerkt met andere instanties, hogescholen of universiteiten en jullie beslissen gezamenlijk over het doel van de gegevensverzameling en de manier waarop de gegevens zullen worden verzameld. Je hebt dan een verwerkingsverantwoordelijke-verwerkingsverantwoordelijkeovereenkomst (controller controller agreement) nodig.

c. Andere partij is verantwoordelijk:

Wanneer je persoonsgegevens uitwisselt met een andere instantie, hogeschool of universiteit die de persoonsgegevens legitiem voor een ander doel dan jouw doel verwerkt, dan kun je gebruik maken van een data-uitwisselingsovereenkomst (data sharing agreement). Let erop dat de HvA een grondslag moet hebben om de gegevens over te dragen aan de andere instantie of instelling. Modelovereenkomsten vind je onder het privacylemma.

5. Verklaring Functionaris Gegevensbescherming (Data Protection Officer)

In geval van Europese onderzoekssubsidies is een verklaring van de functionaris gegevensbescherming noodzakelijk waarin deze de verwerking van persoonsgegevens in je onderzoeksproject goedkeurt. Neem voor advies contact op met de functionaris gegevensbescherming van de HvA: functionarisgegevensbescherming@hva.nl.

6. Gegevensbeschermingseffectbeoordeling (DPIA)

Ga na of je een Gegevensbeschermingseffectbeoording (Data Protection Impact Assessment, DPIA) moet laten uitvoeren. Bekijk hier wanneer een DPIA nodig is. Doe altijd een DPIA als er bijzondere persoonsgegevens worden verwerkt.

TIJDENS ONDERZOEK

Omgaan met data

7. Onderzoekers nemen passende beveiligingsmaatregelen bij het verwerken van persoonsgegevens. Zie ook deze pagina.
   In het algemeen geldt: hoe gevoeliger de informatie, hoe strenger de veiligheidseisen.

8. Verzamel niet meer persoonsgegevens dan noodzakelijk voor het onderzoek. En bewaar de gegevens alleen zolang dat noodzakelijk is voor het onderzoek.
9. Onderzoekers anonimiseren waar mogelijk de persoonsgegevens van onderzoeksdeelnemers. Indien dit niet mogelijk is dan worden deze gepseudonimiseerd (terug te herleiden tot betrokkene). Zie voor meer informatie bijgaande notitie.
10. Maak voor opslag van data gebruik van door de HvA aanbevolen systemen. Verzend persoonsgegevens alleen versleuteld. Maak voor het verzenden van grote bestanden gebruik van SURFfilesender of deel het bestand via SURFdrive of Figshare.

NA ONDERZOEK

11. Archiveren

Bepaal welke persoonsgegevens je voor hoe lang gaat archiveren, kies voor een veilige data repository zoals UvA/HvA Figshare en zorg dat gegevens niet op andere plekken (bijvoorbeeld in e-mails of op laptops) blijven rondzwerven. Archiveer niet-digitale gegevens in het door jouw faculteit gebruikte fysieke archief.
HvA-beleid schrijft voor ruwe data een bewaartermijn van ten minste 10 jaar voor. Voor klinisch onderzoek gelden langere termijnen. Daarna moeten persoonsgegevens vernietigd worden. Neem voor advies contact op met de facultaire data steward of RDM Support: rdm-support@uva.nl

Met vragen over archivering van niet-digitale gegevens kun je ook terecht bij de afdeling Documentaire Informatievoorziening (DIV): servicedesk-DIV@HvA.nl

12. Derden

Verstrek persoonsgegevens alleen aan derden wanneer hiervoor een grondslag aanwezig is. Zoals wanneer je hiervoor expliciet toestemming hebt gekregen van de betrokkene (persoon op wie de gegevens betrekking hebben).

Beschikbaar stellen:

Wanneer je bepaalde onderzoeksgegevens wilt publiceren dan betekent dat niet automatisch dat je ze open stelt voor iedereen (open access). Data repositories zoals UvA/HvA Figshare hebben een aantal mogelijkheden:

1. Open access:
   Je stelt data open voor iedereen. Deze data mogen geen persoonsgegevens bevatten tenzij daarvoor toestemming is gegeven.

2. Restricted access:
   Je stelt alleen de metadata (de beschrijving van je data) open voor iedereen. De onderzoeksdata (met persoonsgegevens) zelf zijn alleen toegankelijk op aanvraag. Verstrek onderzoeksdata met persoonsgegevens alleen aan anderen wanneer die ander een legitieme grondslag heeft (zie stap 2) en sluit een gebruikersovereenkomst af.
3. No access:
   Zowel de metadata als de onderzoeksdata zelf zijn voor anderen niet toegankelijk. Als je project klaar is en je besluit je data te publiceren en te delen in een data repository, betekent dat niet automatisch dat ze open access zijn. Je kunt persoonlijke gegevens nog steeds beschermen door de toegang tot de gegevens te beperken.
   

DATALEK

Van een datalek is sprake als je gegevens bent verloren (bijvoorbeeld een gestolen laptop) of als iemand bij persoonsgegevens kan komen waar zij of hij niet bij had moeten kunnen komen. Het gaat daarbij niet om de vraag of iemand de persoonsgegevens daadwerkelijk heeft gezien – het simpele feit dat iemand ze had kúnnen zien, is genoeg om van een datalek te spreken. Het is jouw taak als onderzoeker om ervoor te zorgen dat jouw onderzoeksdata waarin zich persoonsgegevens bevinden, tegen datalekken beschermd zijn. Mochten er toch persoonsgegevens uitlekken, neem dan direct contact op met de servicedesk van ICTS (servicedesk_icts@hva.nl) of telefonisch op 020- 595 1402. Buiten kantooruren met het Computer Emergency Response Team (CERT: cert@hva.nl).