Aanmeldformulier Ethiek, Datamanagement en AVG
Voor aanvang van het wetenschappelijk onderzoek moeten onderzoekers een aanmeldformulier invullen rondom ethiek, datamanagement en de Algemene Verordening Gegevensbescherming (AVG).
De faculteiten gebruiken nagenoeg hetzelfde aanmeldformulier om deze drie aspecten te beoordelen. Het beoordelen gebeurt door de facultaire commissies.
Met het invullen van het formulier leg je onder meer vast hoe je data tijdens het project opslaat of beheert en wat er na afloop van het project met de data gebeurt.
Tegelijk worden de vereisten inzake verantwoordingsplicht, data protection impact assessment (DPIA) en verwerkingsregister gewaarborgd.
Wanneer geen persoonsgegevens tijdens het onderzoek worden verwerkt, is het invullen van alleen het datamanagementgedeelte voldoende. Hiermee wordt voldaan aan de vereisten uit de regeling onderzoeksdatamanagement. Voor meer informatie over het datamanagementplan-gedeelte ga naar de website of neem contact op met het Research Data Office.
Data Protectie Impact Assessment (DPIA)
In sommige gevallen brengt het verwerken van Persoonsgegevens een hoog risico voor betrokkene met zich mee. Om hier goed mee om te gaan dient op basis van de AVG de Data Protectie Impact Assessment (DPIA) wordt uitgevoerd om er zeker van te zijn dat de privacy risico’s van de Respondenten goed gewaarborgd worden. Een DPIA is meestal niet nodig voor wetenschappelijk onderzoek. Voor meer detail omtrent wanneer een DPIA verplicht is verwijzen we naar het Beleid Privacy & Bescherming Persoonsgegevens paragraaf 11.2.
Voor elk wetenschappelijk onderzoek waarbij Persoonsgegevens verwerkt worden dient een pre-DPIA (vragenlijst) ingevuld te worden om vast te stellen of het uitvoeren van een DPIA noodzakelijk is. Deze korte vragenlijst is opgenomen (geïntegreerd) in het Data Management Plan en wordt voor zover mogelijk gecombineerd met de vragenlijst voor de ethische toetsing.
Doel van de DPIA
Het doel van de DPIA is om tijdig de risico’s van de gegevensverwerking in kaart te brengen. Welke Persoonsgegevens worden verwerkt, wat doet TiU ermee, wat zijn de consequenties en hoe gaan we ermee om?
Indien een DPIA noodzakelijk is, dan dient contact opgenomen te worden met de Data Representative (die vervolgens de Functionaris Gegevensbescherming consulteert). De vragenlijst voor het uitvoeren van een pré-DPIA is opgenomen in het Data Management Plan.
Verwerkingsregister
Alle Verwerkingen van Persoonsgegevens dienen op basis van de AVG vastgelegd te worden in het universitaire Verwerkingsregister in het kader van de verantwoordingsplicht. De geregistreerde informatie van het gecombineerde formulier voor ethiek, datamanagement en privacy vormt het verwerkingsregister wetenschappelijk onderzoek. Onderzoekers van TSB kunnen al gebruik maken van de G.E.D. Started-toepassing om het formulier in te vullen, overige onderzoekers dienen voorlopig nog gebruik te maken van het huidige formulier. Informeer bij je data representative naar dit formulier.
Privacy Statement
Op basis van het recht op Informatie publiceert Tilburg University een Privacy-statement op de website, waarin TiU informeert over het gebruik van Persoonsgegevens
Indien gegevens rechtstreeks bij respondenten worden verzameld en deze respondenten worden geïnformeerd via het informed consent formulier, is het niet nodig een aanvullende privacyverklaring te publiceren. In andere gevallen moet het onderzoek worden beschreven in de privacyverklaring van de universiteit. De ethische toetsingscommissie kan besluiten een onderzoek als vertrouwelijk aan te merken, waardoor de informatie over het betreffende onderzoek niet in de privacyverklaring mag worden vermeld.
Het op deze wijze informeren is noodzakelijk omdat niet voor alle onderzoeken (denk bijvoorbeeld aan openbare database, hergebruik bestaande database of webscraping) met informed consent kan worden gewerkt, en het juist ook bij deze vormen van data transparant dient te zijn hoe Tilburg University omgaat met Persoonsgegevens.
Stappenplan
| Datamanagement plan – Verwerkingsregister | Voor elk wetenschappelijk onderzoek moet de onderzoeker een Data Management Plan opstellen waarin vastgelegd is welke (Persoons)gegevens verwerkt worden. Dit Data Management Plan wordt zover het Persoonsgegevens bevat opgenomen in het universitaire Verwerkingsregister. Voor het format van het Data Management Plan verwijzen we naar de Regeling Onderzoeksdatamanagement. |
| Pre - DPIA | Voor elk wetenschappelijk onderzoek dient een pre-DPIA (vragenlijst) ingevuld te worden om vast te stellen of het uitvoeren van een DPIA noodzakelijk is. Deze vragenlijst is opgenomen (geïntegreerd) in het Data Management Plan en indien mogelijk gecombineerd met de vragenlijst ten behoeve van de ethische commissie. |
| Data Protectie Impact Assesment (DPIA) | Assesment (DPIA) In sommige situaties is het noodzakelijk dat een Data Protectie Impact Assessment (DPIA) wordt uitgevoerd. Of dit noodzakelijk is vloeit voort uit de Pre-DPIA vragenlijst. De onderzoeker is verantwoordelijk voor het uitvoeren van de DPIA indien dit noodzakelijk is. Hiervoor is een procedure beschikbaar. Hij wordt hierbij ondersteund door de Data Representative van de school. |
|
Toetsing DPIA |
De Functionaris Gegevensbescherming toetst de DPIA. |
|
Toetsing Datamanagement Plan en toetsing door Ethische Commissie |
In iedere School zijn nadere afspraken gemaakt over de toetsing van het Datamanagementplan (DMP) (door een wetenschappelijke en/of ethische commissie) en de opslag hiervan. |
Een onderzoeker mag niet zonder meer alle persoonsgegevens verwerken. Hieronder zijn een aantal bijzonderheden opgenomen.
| Dataminimalisatie | Noodzakelijke gegevens De onderzoeker mag alleen Persoonsgegevens die noodzakelijk zijn voor het doel van het wetenschappelijk onderzoek verzamelen, maar waarborgt wel dat er voldoende gegevens verzameld worden om de vraagstelling van het onderzoek te kunnen beantwoorden. |
| BSN | Het Burgerservicenummer (BSN) mag nooit verwerkt worden voor wetenschappelijk onderzoek. |
| Identiteitsbewijs | Een kopie Identiteitsbewijs mag alleen worden ingezien, maar niet bewaard worden tenzij het bewaren noodzakelijk is voor het wetenschappelijk onderzoek en foto en BSN nummer gemaskeerd zijn en op de kopie gemarkeerd is dat het is afgegeven ten behoeve van onderzoek. Tip: Noteer bij voorkeur alleen de noodzakelijke gegevens in plaats van een kopie ID. |
Hulp bij het opstellen
De Data Representatives van de schools ondersteunen bij het invullen van de pre-DPIA, De DPIA en het verwerkingsregister.