Blad met gegevens, foto Vladislav Bulatov

Zorgvuldig omgaan met persoonsgegevens in onderzoeksdata

Aanmeldformulier Ethiek, Datamanagement en AVG

Voor aanvang van het wetenschappelijk onderzoek moeten onderzoekers een aanmeldformulier invullen rondom ethiek, datamanagement en de Algemene Verordening Gegevensbescherming (AVG).

 De faculteiten gebruiken nagenoeg hetzelfde aanmeldformulier om deze drie aspecten te beoordelen. Het beoordelen gebeurt door de facultaire commissies.

Met het invullen van het formulier leg je onder meer vast hoe je data tijdens het project opslaat of beheert, wat er na afloop van het project met de data gebeurt en zijn tegelijk de vereisten inzake verantwoordingsplicht, data protection impact assessment (DPIA) en verwerkingsregister, gewaarborgd. Informeer bij de facultaire data representative naar dit formulier.

Wanneer geen persoonsgegevens tijdens het onderzoek worden verwerkt, is het invullen van alleen het datamanagementgedeelte voldoende. Hiermee wordt voldaan aan de vereisten uit de regeling onderzoeksdatamanagement. Voor meer informatie over het datamanagementplan-gedeelte ga naar de website  of neem contact op met het Research Data Office.

Data Protectie Impact Assessment (DPIA)

In sommige gevallen brengt het verwerken van Persoonsgegevens een hoog risico voor betrokkene met zich mee. Om hier goed mee om te gaan dient op basis van de AVG de Data Protectie Impact Assessment (DPIA) wordt uitgevoerd om er zeker van te zijn dat de privacy risico’s van de Respondenten goed gewaarborgd worden. Een DPIA is meestal niet nodig voor wetenschappelijk onderzoek. Voor meer detail omtrent wanneer een DPIA verplicht is verwijzen we naar het Beleid Privacy & Bescherming Persoonsgegevens paragraaf 11.2.

Voor elk wetenschappelijk onderzoek waarbij Persoonsgegevens verwerkt worden dient een pre-DPIA (vragenlijst) ingevuld te worden om vast te stellen of het uitvoeren van een DPIA noodzakelijk is. Deze korte vragenlijst is opgenomen (geïntegreerd) in het Data Management Plan en wordt voor zover mogelijk gecombineerd met de vragenlijst voor de ethische toetsing.

Doel van de DPIA

Het doel van de DPIA is om tijdig de risico’s van de gegevensverwerking in kaart te brengen. Welke Persoonsgegevens worden verwerkt, wat doet TiU ermee, wat zijn de consequenties en hoe gaan we ermee om?

Indien een DPIA noodzakelijk is, dan dient contact opgenomen te worden met de Data Representative (die vervolgens de Functionaris Gegevensbescherming consulteert). De vragenlijst voor het uitvoeren van een pré-DPIA is opgenomen in het Data Management Plan.

Verwerkingsregister

Alle Verwerkingen van Persoonsgegevens dienen op basis van de AVG vastgelegd te worden in het universitaire Verwerkingsregister in het kader van de verantwoordingsplicht. Het Verwerkingsregister wordt voor wetenschappelijk onderzoek gevuld op basis van de informatie die is opgenomen in het Data Management Plan (en indien mogelijk gecombineerd met de vragenlijst ethische toetsing). Aan de hand van het Verwerkingsregister wordt het Privacy Statement op de website geactualiseerd.

Privacy Statement

Op basis van het recht op Informatie publiceert Tilburg University een Privacy-statement op de website, waarin TiU informeert over het gebruik van Persoonsgegevens in wetenschappelijk onderzoek.

Het op deze wijze informeren is noodzakelijk omdat niet voor alle onderzoeken (denk bijvoorbeeld aan openbare database, hergebruik bestaande database of webscraping) met informed consent kan worden gewerkt, en het juist ook bij deze vormen van data transparant dient te zijn hoe Tilburg University omgaat met Persoonsgegevens.

Daarbij kan het zijn dat bepaalde Themabeleid Privacy & Bescherming Persoonsgegevens – Wetenschappelijk onderzoek 26 Versie 1.0 – mei 2018 onderzoeken niet opgenomen zijn in deze lijst (privacy statement) in verband met vertrouwelijkheid of gevoeligheid van het onderzoek (bijvoorbeeld als we een onderzoek doen naar een indicator voor aanwezigheid van hennepkwekerijen).

Privacy Statement wetenschappelijk onderzoek

Het Privacy Statement inzake wetenschappelijk onderzoek en de lijst met lopende wetenschappelijke onderzoeken waarin gebruik gemaakt wordt van Persoonsgegevens wordt samengesteld op basis van de informatie uit het Verwerkingsregister. Hiervoor is geen actie van de onderzoeker nodig. De ethische commissie kan besluiten om een onderzoek als vertrouwelijk te markeren waardoor de informatie over het desbetreffende onderzoek niet openbaar mag worden gemaakt in het privacy statement.

Stappenplan

Datamanagement plan – Verwerkingsregister Voor elk wetenschappelijk onderzoek moet de onderzoeker een Data Management Plan opstellen waarin vastgelegd is welke (Persoons)gegevens verwerkt worden. Dit Data Management Plan wordt zover het Persoonsgegevens bevat opgenomen in het universitaire Verwerkingsregister. Voor het format van het Data Management Plan verwijzen we naar de Regeling Onderzoeksdatamanagement.
Pre - DPIA Voor elk wetenschappelijk onderzoek dient een pre-DPIA (vragenlijst) ingevuld te worden om vast te stellen of het uitvoeren van een DPIA noodzakelijk is. Deze vragenlijst is opgenomen (geïntegreerd) in het Data Management Plan en indien mogelijk gecombineerd met de vragenlijst ten behoeve van de ethische commissie.
Data Protectie Impact Assesment (DPIA) Assesment (DPIA) In sommige situaties is het noodzakelijk dat een Data Protectie Impact Assessment (DPIA) wordt uitgevoerd. Of dit noodzakelijk is vloeit voort uit de Pre-DPIA vragenlijst. De onderzoeker is verantwoordelijk voor het uitvoeren van de DPIA indien dit noodzakelijk is. Hiervoor is een procedure beschikbaar. Hij wordt hierbij ondersteund door de Data Representative van de school.

Toetsing DPIA

De Functionaris Gegevensbescherming toetst de DPIA.

Toetsing Datamanagement Plan en toetsing door Ethische Commissie

In iedere School zijn nadere afspraken gemaakt over de toetsing van het Datamanagementplan (DMP) (door een wetenschappelijke en/of ethische commissie) en de opslag hiervan.

Een onderzoeker mag niet zonder meer alle persoonsgegevens verwerken. Hieronder zijn een aantal bijzonderheden opgenomen.

Dataminimalisatie Noodzakelijke gegevens De onderzoeker mag alleen Persoonsgegevens die noodzakelijk zijn voor het doel van het wetenschappelijk onderzoek verzamelen, maar waarborgt wel dat er voldoende gegevens verzameld worden om de vraagstelling van het onderzoek te kunnen beantwoorden.
 BSN Het Burgerservicenummer (BSN) mag nooit verwerkt worden voor wetenschappelijk onderzoek.
Identiteitsbewijs Een kopie Identiteitsbewijs mag alleen worden ingezien, maar niet bewaard worden tenzij het bewaren noodzakelijk is voor het wetenschappelijk onderzoek en foto en BSN nummer gemaskeerd zijn en op de kopie gemarkeerd is dat het is afgegeven ten behoeve van onderzoek. Tip: Noteer bij voorkeur alleen de noodzakelijke gegevens in plaats van een kopie ID.

Hulp bij het opstellen

De Data Representatives van de schools ondersteunen bij het invullen van de pre-DPIA, De DPIA en het verwerkingsregister.