Blad met gegevens, foto Vladislav Bulatov

Zorgvuldig omgaan met persoonsgegevens in onderzoeksdata

Wat zijn persoonsgegevens en hoe verwerk ik deze zorgvuldig?

Deze richtlijn is alleen van toepassing als bij wetenschappelijk onderzoek persoonsgegevens worden verwerkt.

Definitie

Een persoonsgegeven is alle informatie die een natuurlijk persoon kan identificeren dan wel die informatie die nu of in de toekomst naar deze persoon te herleiden is.

Deze definitie van persoonsgegevens is gebaseerd op de Algemene Verordening Gegevensbescherming (AVG) en is zeer ruim geformuleerd.

Dit kan zowel direct herleidbare persoonsgegevens (zoals naam, email) of indirect herleidbare persoonsgegevens zijn (bijvoorbeeld een kenteken of een combinatie van initialen en postcode en huisnummer).

Wat is het verschil tussen pseudonimisering en anonimisering?

Pseudonimisering

Bij pseudonimisering worden identificerende gegevens gescheiden van niet-identificerende gegevens en vervangen door kunstmatige identificatoren.

Voorbeeld

Een voorbeeld van pseudonimisering is het vervangen van de gegevens van een respondent in een onderzoek door een uniek respondentennummer. De medische gegevens worden dan gekoppeld aan dit respondentennummer in plaats van aan NAW-gegevens. Hierdoor is voor buitenstaanders niet zichtbaar bij welke persoon, de medische gegevens behoren. Alleen degene die de koppeling kan maken tussen respondentennummer, bijvoorbeeld de onderzoeker, is in staat om de medische gegevens te koppelen.

Er dienen dan wel voldoende organisatorische en technische maatregelen genomen te worden zodat onbevoegden deze bestanden niet kunnen koppelen.

In geval van pseudonimisering is de AVG en daarmee deze richtlijn wel van toepassing.

Anonimisering

Voor Anonieme gegevens is de AVG niet langer van toepassing. Houdt wel rekening met het feit dat bij anonieme gegevens er geen enkele mogelijkheid meer is voor identificatie of herleiding tot personen. Het anonimiseren is een verwerkingshandeling en valt wel nog onder de AVG.

Indien gegevens toch nog te herleiden zijn tot een persoon is er geen sprake van anonimisering.

Zorgvuldig verwerken van persoonsgegevens

In wetenschappelijk onderzoek wordt veel met respondenten gewerkt. Tilburg University hecht veel waarde aan het zorgvuldig verwerken van persoonsgegevens in het kader van wetenschappelijk onderzoek omdat misbruik van gegevens grote schade kan berokkenen aan respondenten, medewerkers, studenten en Tilburg University. Daarbij wordt een goede balans gezocht tussen privacy, veiligheid en functionaliteit.

Wat wordt onder verwerking van persoonsgegevens verstaan?

Onder verwerking wordt verstaan?

Het verwerken van persoonsgegevens, al dan niet geautomatiseerd, zoals verzamelen, vastleggen, structureren, opslaan, wijzigen, analyseren, opvragen, raadplegen, gebruiken, verstrekken (doorsturen), verspreiden, ter beschikking stellen, combineren, afschermen of vernietigen van gegevens.

Met andere woorden alles wat je doet met persoonsgegevens-

Het betreft verwerkingen van persoonsgegevens in een papieren dossier of archief, digitaal bestand of in een applicatie/system (o.a. in mailboxen, op computers of andere gegevensdragers zoals usb-sticks). Het beleid is van toepassing op alle personeel, inclusief student-assistenten, uitzendkrachten, ingehuurd personeel, stagiaires, (buiten)promovendi, personeel niet in loondienst en studenten die een bijdrage leveren aan het onderzoek.

Het betreft dus alle verwerkingen van persoonsgegevens die onderzoekers uitvoeren in het kader van wetenschappelijk onderzoek.

Wat wordt verstaan onder betrokkene of datasubject?

In de AVG wordt gesproken over betrokkene of datasubject. Dit betreft in wetenschappelijk onderzoek voornamelijk respondenten (ook wel proefpersonen of deelnemers genoemd). 

Wat zijn bijzondere persoonsgegevens en hoe worden deze gebruikt?

Bijzondere persoonsgegevens zijn gegevens over

  • Ras en etnische afkomst
  • Politieke opvattingen
  • Religieuze of levensbeschouwelijke overtuiging
  • Lidmaatschap van een vakbond
  • Genetische gegevens
  • Biometrische gegevens met het oog op identificatie
  • Gegevens over gezondheid (medische gegevens)
  • Gegevens m.b.t. seksueel gedrag of seksuele gerichtheid.

Deze gegevens mogen enkel verwerkt worden conform paragraaf 2.3.
Let op! Als er bijzondere persoonsgegevens worden verwerkt dan zijn er extra eisen inzake beveiliging.

Gebruik van bijzondere persoonsgegevens

Bijzondere persoonsgegevens mogen bij wetenschappelijk onderzoek verwerkt worden indien er expliciete toestemming is. Specifiek voor wetenschappelijk onderzoek geldt een uitzondering welke enkel opgaat als:

  1. het vragen van toestemming onmogelijk blijkt of een onevenredige inspanning vergt,
  2. de verwerking noodzakelijk is met het oog op het onderzoek en
  3. het onderzoek een algemeen belang dient.

Ook dient er te zijn voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.