Hoe waarborg je de integriteit en vertrouwelijkheid van onderzoeksdata met persoonsgegevens?
Tijdens elk onderzoek waarin Persoonsgegevens verwerkt worden, is het van belang dat dat op een veilige manier gebeurt, zodat de integriteit en vertrouwelijkheid geborgd is. Op deze pagina vind je meer informatie over waar je als onderzoeker op dit gebied rekening mee moet houden.
Voor veilig werken met persoonsgegevens geldt dat je voldoende technische en organisatorische beveiligingsmaatregelen moet treffen. Technische beveiligingsmaatregelen zijn bijvoorbeeld encryptie (versleuteling) van de gegevens zelf, het versleutelen van je opslaglocatie en de technische beveiliging van een systeem. Bij organisatorische beveiligingsmaatregelen kan je denken aan het zo min mogelijk mensen toegang geven tot de gegevens, geheimhoudings- en verwerkersovereenkomsten afsluiten en het bewustzijn van medewerkers verhogen over hoe om te gaan met de gegevens. Met het oog op het verhogen van dat bewustzijn, willen we ook graag wijzen op de pagina over de RDM-regelingen waar onderzoekers zich aan dienen te houden, waaronder de Regeling Onderzoekdatamanagement van Tilburg University.
Toegang en beveiliging persoonsgegevens
Binnen Tilburg University krijgen zo min mogelijk personen toegang tot de digitale of fysieke datasets van onderzoek waarin persoonsgegevens verwerkt zijn. Deze toegang beperkt zich meestal tot de betrokken onderzoeker(s) en zijn/haar/hun leidinggevende(n). Daarnaast dienen digitale en fysieke datasets met persoonsgegevens veilig opgeslagen te worden en alleen toegankelijk te zijn voor degene voor wie dit in het kader van het onderzoek noodzakelijk is. Op de pagina’s over Research Data Management vind je meer informatie over het opslaan en delen van onderzoeksgegevens tijdens en na afloop van het onderzoek.
Toegang tot bestanden met persoonsgegevens en archieven
| Bestanden persoonsgegevens | Toegang is alleen toegestaan voor de betrokken onderzoekers (inclusief student onderzoekers) en de leidinggevende (in verband met back-up) |
| Archieven | Toegang tot digitale en fysieke datasets met persoonsgegevens is alleen toegestaan voor onderzoekers en (met het oog op duurzame opslag) de departementsvoorzitter en de beheerder van de digitale of fysieke datasets. |
Beveiliging van persoonsgegevens
| Digitaal | Datasets met persoonsgegevens dienen veilig opgeslagen te worden. Dat wil zeggen:
Bij afwezigheid van de onderzoekers op de werkplek dienen computers gelockt te zijn en de werkruimte afgesloten. |
| Fysiek | Documenten met persoonsgegevens dienen veilig opgeslagen te worden in een afgesloten kast of archief. Bij afwezigheid dienen de kasten of archieven afgesloten te zijn en niet toegankelijk voor onbevoegden. |
Pseudonimiseren en anonimiseren
Onder meer met het oog op dataminimalisatie is het raadzaam om de onderzoeksdata zo snel mogelijk te pseudonimiseren of indien mogelijk, te anonimiseren. Deze begrippen worden regelmatig door elkaar gebruikt, maar er is een wezenlijk verschil tussen beide.
Pseudonimiseren
Bij pseudonimisering worden identificerende gegevens gescheiden van niet-identificerende gegevens en vervangen door kunstmatige identificatoren. De identificerende gegevens worden echter niet weggegooid, maar opgenomen in een sleutelbestand, waarbij een koppeling wordt gelegd met de kunstmatige identificatoren.
Een voorbeeld van pseudonimisering is het vervangen van de NAW-gegevens van een respondent in een onderzoek door een uniek respondentennummer. De andere verzamelde onderzoeksgegevens (bijvoorbeeld medische data) worden dan gekoppeld aan dit respondentennummer in plaats van aan de NAW-gegevens. Hierdoor is voor buitenstaanders niet zichtbaar bij welke persoon de onderzoeksgegevens behoren. Alleen degene die toegang heeft tot het sleutelbestand, bijvoorbeeld de onderzoeker, is in staat om de gegevens te koppelen aan individuele personen. Uiteraard dienen dan wel voldoende organisatorische en technische maatregelen genomen te worden zodat onbevoegden de bestanden niet aan elkaar kunnen koppelen.
Ook ná het pseudonimiseren van de gegevens is de AVG van toepassing op de desbetreffende data(set).
Anonimiseren
Om een dataset te anonimiseren, moet ervoor gezorgd worden op dat gegevens op geen enkele manier meer te herleiden zijn naar een individueel te identificeren persoon. Zo wordt er in dit geval geen sleutelbestand aangemaakt. Het anonimiseren is een onomkeerbaar proces: als de data eenmaal geanonimiseerd zijn, is het niet langer mogelijk deze te herleiden naar specifieke personen. Mochten gegevens alsnog herleidbaar zijn tot één persoon, dan is er geen sprake van anonimiseren.
Om te anonimiseren zal je als onderzoeker bijvoorbeeld in ieder geval de NAW-gegevens definitief moeten verwijderen (er mag dus geen sleutel zijn waarbij duidelijk is dat meneer X respondent 1 is), maar waarschijnlijk zal ook bepaalde data moeten worden geaggregeerd, bijvoorbeeld door voor leeftijden categorieën per 10 jaren (21-30, 31-40, enz.) vast te leggen.
Voor anonieme gegevens is de AVG niet langer van toepassing. Houdt wel rekening met het feit dat bij anonieme gegevens er geen enkele mogelijkheid meer is voor identificatie of herleiding tot personen.
Overigens is het (proces van) anonimiseren van persoonsgegevens op zichzelf een verwerking van persoonsgegevens; op dat proces is de AVG van toepassing.
Gebruik van programma’s voor het verzamelen, analyseren en delen van data
Het verzamelen van data gedurende het onderzoek kan op diverse manieren plaatsvinden, online, face-to-face, met een papieren vragenlijst, observaties, videobeelden, etc.
De AVG heeft implicaties voor deze manieren van data verzamelen, het gebruik van bestaande of nieuwe data, de tools die gebruikt worden bij het verzamelen van data en eventuele veiligheidsaspecten voortkomend uit de AVG gedurende het onderzoek.
Bij gebruik van applicaties/programma’s van externe leveranciers dient er vaak een (verwerkers)overeenkomst afgesloten te worden om goede afspraken te maken over verantwoordelijkheden, beveiliging etc. Gebruik daarom bij voorkeur de door Tilburg University goedgekeurde applicaties. Als je een andere applicatie wil gebruiken, neem dan contact op met de Informatiemanager van jouw faculteit.
Schrijven en publiceren van een artikel
Bij het schrijven van het artikel moet de onderzoeker voorkomen dat er herleidbare persoonsgegevens worden opgenomen in het artikel. Hieronder vind je daarvoor een aantal richtlijnen.
Een aandachtspunt hierbij is de mogelijkheid dat een combinatie van persoonsgegevens herleidbaar is naar individuele personen. Denk bijvoorbeeld aan het uitlichten van een manager van een groot ziekenhuis in de regio Eindhoven in de leeftijdscategorie 45 tot 55 jaar. Indien hiervoor toestemming is gevraagd en verkregen, kunnen citaten uiteraard wél met naam en toenaam gepubliceerd worden
Persoonsgegevens in een artikel
De onderzoeker dient te waarborgen dat er geen herleidbare persoonsgegevens opgenomen worden in het artikel door:
- Onderzoeksresultaten te anonimiseren / pseudonimiseren.
- Bij citeren:
- Anonimiseren;
- Parafraseren, in geval van een citaat via webscraping is verkregen;
- Ingeval toestemming hiervoor is gevraagd en verkregen: publicatie met naam en toenaam toegestaan.
Data delen ten behoeve van een review
Tijdens het publicatieproces kan het voor komen dat data gedeeld dienen te worden met peer reviewers. Hierbij dienen de persoonsgegevens vanzelfsprekend zoveel mogelijk beschermd te worden.
Data met herleidbare persoonsgegevens
Indien persoonsgegevens gedeeld moeten worden met peer reviewers:
- Indien mogelijk anonimiseren of pseudonimiseren (waarbij sleutel niet wordt meegestuurd naar de reviewer).
- Indien dit niet mogelijk is:
- Met de uitgevers afspraken maken over het treffen van technische en organisatorische maatregelen ter bescherming van persoonsgegevens en het sluiten van overeenkomsten over geheimhouding en beveiligingsverplichtingen met zgn. onderaannemers (waartoe wij peer reviewers ook rekenen). Echter wordt de onderzoeker aangeraden om bij aanlevering van de dataset:
- deze versleuteld te versturen via SURF filesender
- erop te wijzen dat de dataset nadat deze niet meer nodig is (dus feitelijk na uitvoering van de peer review) moet worden verwijderd door de peer reviewer.
- Met de uitgevers afspraken maken over het treffen van technische en organisatorische maatregelen ter bescherming van persoonsgegevens en het sluiten van overeenkomsten over geheimhouding en beveiligingsverplichtingen met zgn. onderaannemers (waartoe wij peer reviewers ook rekenen). Echter wordt de onderzoeker aangeraden om bij aanlevering van de dataset:
- Indien een ruwe dataset wordt vereist, lever deze dan vrij van herleidbare persoonsgegevens aan.
- Spreek contractueel af dat de dataset na de review procedure vernietigd word.
Data zonder herleidbare persoonsgegevens
Indien er datasets gedeeld worden zonder dat er herleidbare persoonsgegevens zijn, dan is het beleid van Tilburg University ten aanzien van de AVG (waaronder het themabeleid Onderzoek) niet van toepassing.