RDNL GDPR4DataSupport – Hard copy NL
18-06-2024
Over deze hard copy
- Deze hard copy NL is een kopie van de – inhoudelijke - online content van de GDPR4DataSupport cursus (hier nog genaamd: beyond essentials of AVG voor Datasupporters) bedoeld om te gebruiken in het RDNL online cursusplatform (op dit moment Moodle).
- Deze versie is as is, zoals gekopieerd van de RDNL typo 3 website op datum 18-06-2024.
- Inhoudelijke afbeelding zijn overgenomen. Decoratieve afbeeldingen zijn niet overgenomen. Decoratieve (RDNL) afbeeldingen zijn – indien wenselijk - over te nemen uit de Engelse online versie in Moodle (voorzover daar aanwezig).
- Uitklapteksten: deze zijn ‘uitgeklapt’ in deze hard copy gezet en niet als uitklaptekst gekenmerkt. In de Engelse online versie in Moodle is na te gaan hoe de teksten geplaats kunnen worden.
- Quizzen zijn deel van de content. Ze hebben allen multiple choice vragen. Alle vragen en antwoorden zijn opgenomen met het juiste antwoord in vet. In deze hard copy wordt een quiz tussen vierkante haken aangekondigd samen met het totaal aantal vragen.
- Video’s zijn onderdeel van de content. Deze zijn online beschikbaar. Hier wordt in de tekst naar verwezen: in een alinea met een link en/of in de vorm van een video still. In geval van een still is in deze hard copy de link aangegeven tussen vierkante haken.
- Geel gemarkeerd/opmerking: hier is aanpassing nodig vanwege fouten, onduidelijkheden of omdat het out of date is (de link, of inhoudelijk). Dit is aangegeven tijdens het kopiëren van de content en is niet per se volledig: de gehele content is nog niet nagelopen op fouten etc.
Opzet hard copy NL
De opzet van de hard copy is precies hetzelfde als die van de huidige online content, zie het overzicht hieronder. In de hard copy zijn al deze koppen in het rood en in vet.
1. Welkom
[Introducerend deel]
1.1 Over de training
1.2 Uitleg begrippen
2. Persoonsgegevens
[Introducerend deel]
2.1 Directe en indirecte herleidbaarheid
2.2 Bijzondere categorieën
[Introducerend deel]
2.2.1 Uitzonderingen voor onderzoek
2.2.2 Gegevensbeschermingseffectbeoordeling
3. Beginselen verwerking persoonsgegevens
[Introducerend deel]
3.1 De Geschiedenis van de AVG
3.2 De Principes
3.3 Metro-kaart
3.4 Maatregelen template
3.5 Datalekken
4. Maatregelen
[Introducerend deel]
4.1 Register van verwerkingen
4.2 Toestemmingsverklaring
4.3 Gegevenseffectbeoordeling (DPIA)
4.4 Anonimiseren
4.5 Pseudonimiseren
5. AVG
[Introducerend deel]
5.1 De scope van de AVG
5.2 Privacy en gegevensbescherming
[Introducerend deel]
5.2.1 Privacy paradox
5.2.2 Rechten van de mens
5.3 De AVG als ‘wet’
[Introducerend deel]
5.3.1 Het doel van de AVG
5.3.2 De werking van de AVG
5.3.3 Techniekneutraal
5.3.4 Internationale samenwerking
6. Complexe zaken
[Introducerend deel]
6.1 #1: Misbruik netwerk
6.2 #2: Een kosteneffectief model
7. Relevante literatuur
Colofon
Hard copy NL:
1. Welkom
De Algemene verordening gegevensbescherming (AVG) is sinds 25 mei 2018 van kracht. Maar wat betekent deze wet eigenlijk voor wetenschappelijk onderzoek? En hoe kun jij als ondersteuner onderzoekers het beste ondersteunen bij het beschermen van persoonsgegevens?
Als datasupporter of onderzoeksondersteuner is het jouw taak om onderzoekers zo goed mogelijk te helpen bij het beschermen van persoonsgegevens tijdens hun onderzoek. En dat begint al in de ontwerpfase van het onderzoek. Daarom nemen we je in deze training mee langs alle stappen die bij het opzetten en uitvoeren van een onderzoek komen kijken.
Je leert alle belangrijke begrippen kennen, kent de voor onderzoekers belangrijkste aspecten van de AVG en weet ook welke maatregelen je moet implementeren om persoonsgegevens in onderzoek te beschermen. Kortom, je bent na deze training in staat om je rol als onderzoeksondersteuner gedegen te vervullen.
Wij wensen je veel succes met deze training 'De AVG voor datasupporters'!
RDNL (Research Data Netherlands)
1.1. Over de training
Over 'De AVG voor datasupporters'
Missie
Deze training 'De AVG voor datasupporters' wil een bijdrage leveren aan de professionalisering van datasupporters omtrent een verantwoorde omgang met persoonsgegevens, zoals gesteld in de Algemene Verordening Gegevensbescherming (AVG). Door de betekenis van de AVG in de context van wetenschappelijk onderzoek toe te lichten bieden we datasupporters praktische handvatten om onderzoekers efficiënter te ondersteunen.
Een goede samenwerking tussen de verschillende specialisaties in de ondersteuning is hierbij van groot belang. Data stewards, internal review boards, ethische commissies, privacy officers en projectleiders in onderzoek kunnen zo zorgen voor een integrale en consequente ondersteuning van onderzoek.
Deze training heeft mede tot doel om veel gangbare onduidelijkheden en misverstanden omtrent de AVG op te lossen, zodat het aantal vertraagde onderzoeken door onbegrip van de AVG daalt. We verwachten tevens een positieve werking van deze AVG-compliancy ondersteuning bij onderzoekers. Het borgen van gegevensbescherming wordt voor onderzoekers dan geen obstakel meer, maar een randvoorwaarde om innovatief en risicovol onderzoek verantwoord te kunnen doen.
De training richt zich op datasupporters in brede zin die op zoek zijn naar verdiepende kennis omtrent persoonsgegevens, de AVG en de te nemen maatregelen ter bescherming van die persoonsgegevens. De aangeboden kennis in de basistraining 'Essentials 4 Data Support' wordt hierbij als bekend verondersteld. Deze training is tevens door onderzoekers zelf te volgen, indien zij hun eigen kennis omtrent deze onderwerpen willen uitbouwen zodat zij al in de ontwerpfase van hun onderzoek AVG-compliant kunnen werken.
De naam van de training - De AVG voor datasupporters - verwijst naar het hoofddoel van de training: het verdiepen en verbreden van de basiskennis- en vaardigheden die een datasupporter of onderzoeksondersteuner al heeft omtrent de bescherming van persoonsgegevens binnen wetenschappelijk onderzoek.
Na de training:
· Weet de deelnemer wat (directe en indirecte) persoonsgegevens zijn en kan de deelnemer aangegeven welke persoonsgegevens wel en niet binnen de AVG vallen;
· Kent de deelnemer de belangrijkste uitgangspunten en principes van de AVG en kan deze toepassen op wetenschappelijk onderzoek;
· Is de deelnemer in staat om beargumenteerde keuzes te maken omtrent de borging van de AVG-principes;
· Is de deelnemer in staat om te bepalen welke technische en organisatorische maatregelen binnen een specifieke onderzoekscontext gewenst en noodzakelijk zijn om een goede bescherming van de persoonsgegevens binnen een onderzoek te garanderen.
Wat we met deze training bovenal willen bieden is een toegankelijke manier om de complexe materie van de AVG concreet ter ondersteuning van onderzoekers in te zetten. Door op verschillende momenten in de training actieve quizzen, praktijkvoorbeelden en samenvattingen van de hoofdpunten op te nemen hopen we de deelnemers aan deze training een prettige leerervaring te bieden.
Deze training bestaat uit vier theoretische modules en één praktijkmodule. In de theoretische modules behandelen we deze onderwerpen:
· Persoonsgegevens
· De beginselen omtrent de verwerking van persoonsgegevens (de AVG artikel 5 principes)
· De te nemen technische en organisatorische maatregelen omtrent de bescherming van persoonsgegevens in onderzoek
· De AVG
Iedere module begint met een kennistoets waarmee de deelnemer de eigen voorkennis kan testen. Bij iedere toets is een beknopte samenvatting van de hoofdpunten uit de module opgenomen. Het aansluitende theoretische deel van iedere module is verhalend opgezet. Waar mogelijk maken praktijkvoorbeelden de theorie levendig en concreet.
Module 5 'AVG' is bedoeld als herhaling van de belangrijkste kernpunten en principes uit de AVG. Deelnemers aan deze training kunnen op basis van de leerdoelen horende bij module 5 zelf bepalen in welke mate deze module voor hen relevant is.
De praktijkmodule (module 6: 'Complexe zaken') biedt enkele onderzoeken aan waarbij de deelnemer steeds keuzes moet maken in de manier waarop de onderzoekers de onderliggende principes uit de AVG hebben geborgd en welke maatregelen ter bescherming van de persoonsgegevens zij hebben geïmplenteerd. Deze module is als oefenstof bedoeld, waarmee de deelnemer al het geleerde in de theoretische modules direct in de praktjik kan brengen.
1.2. Uitleg begrippen
Gedurende deze training kom je allerlei aan de AVG gerelateerde begrippen tegen. Op deze pagina bieden we je per begrip een beknopte uitleg, eventueel aangevuld met een bronvermelding. Zie voor de begrippenlijst in de AVG zelf: AVG Artikel 4 (pg 33 - 35).
Onderzoek dat voldoet aan de volgende eigenschappen:
(1) het heeft een duidelijk omschreven onderzoeksdoel dat bijdraagt aan het algemeen belang of aan fundamenteel onderzoek,
(2) het leidt tot bevindingen en, waar van toepassing onderliggende gegevens, die beschikbaar worden gesteld aan Academia voor wetenschappelijke debatten en verificatiedoeleinden, onder meer door publicatie en (online) openbaarmaking en / of,
(3) het leidt tot bevindingen en, waar van toepassing onderliggende gegevens, die publiekelijk beschikbaar worden gesteld aan de samenleving in het algemeen. Dit zal naar verwachting resulteren in een positieve maatschappelijke impact, bijvoorbeeld ten dienste van beleidsontwikkeling, betrouwbare inbreng in maatschappelijke debatten in de samenleving, waar te vaak niet-gevalideerde waarheidsclaims worden gedaan en zelfs nepnieuws wordt verspreid voor ondemocratische doeleinden en / of
(4) het leidt tot bevindingen en, waar van toepassing onderliggende gegevens, die beschikbaar worden gesteld aan particuliere organisaties (bedrijven), hetgeen naar verwachting zal resulteren in innovatie, een sterkere interne markt en gerelateerde banen voor EU-burgers.
Idealiter worden publicaties beschikbaar gesteld volgens de open access principes (de gouden route of de groene route) en worden ondersteunende / onderliggende data beschikbaar gesteld volgens de FAIR-principes (vindbaar, toegankelijk, interoperabel, herbruikbaar), volgens het principe: 'zo open mogelijk, zo gesloten als nodig'.
Onderzoekers die persoonsgegevens verwerken met het oog op 'archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden', houden zich aan gedeelde nationale en Europese normen voor wetenschappelijke integriteit, evenals aan de discipline-specifieke normen met betrekking tot methodologie en ethiek. Binnen verschillende disciplines kunnen namelijk verschillen van inzicht bestaan over wat gangbare methodieken zijn en geaccepteerde normen zijn voor bepaalde onderzoeken. Onderzoek kan alleen worden begrepen als 'verantwoord onderzoek', met checks and balances, zoals Ethics Boards, Internal Review Boards voor experimenteel en niet-experimenteel onderzoek, die een rol spelen bij het beoordelen van de onderzoeksopzet, voorgestelde methodologie en standaarden van de voorgestelde onderzoeksproject.
Ten slotte zijn onderzoekers verantwoordelijk voor en ontvangen zij wetenschappelijke gezien de credits, onder meer door naamsvermelding en citaties van publiekelijk gedeelde publicaties en datasets, voor hun wetenschappelijke bijdragen, evenals voor de manier waarop deze bijdragen zijn verkregen en de manier waarop de rechten en vrijheden van de onderzoeksdeelnemers worden beschermd.
Het valt buiten de bevoegdheid van de privacy officer om vast te stellen of iets al dan geen onderzoek is; dat is aan de faculteit of instelling, die daartoe instituten heeft ingericht zoals Ethics Boards, Internal Review Boards (IRB) voor experimenteel en niet-experimenteel onderzoek. Er is een aspect gerelateerd aan privacy dat bekend staat als ‘data ethics’ en andere ethische afwegingen maakt, dan gerelateerd aan de onderzoeksmethode. Het onderwerp data ethics staat weliswaar nog zeer in de kinderschoenen, maar in sommige disciplines vindt een vruchtbare ethische afweging plaats door een privacy officer te betrekken bij een IRB.
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
Gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is. (AVG recital 26)
Anonieme gegevens zijn dus geen persoonsgegevens. De AVG heeft geen dus betrekking op de verwerking van anonieme gegevens, onder meer voor statistische of onderzoeksdoeleinden. (AVG recital 26)
In haar advies 05/2014 over anonimiseringstechnieken (WP216) van de WP29 (tegenwoordig: European Data Protection Board (EDPB)), erkent zij de waarde van anonimiseren, bijvoorbeeld in de context van ‘open data’, maar stelt zij tevens vast dat het in de praktijk moeilijk is om daadwerkelijke anonimiteit te borgen (zeker met de toename van open data en de toegenomen mogelijkheden om datasets aan elkaar te linken):
The WP acknowledges the potential value of anonymisation in particular as a strategy to reap
the benefits of ‘open data’ for individuals and society at large whilst mitigating the risks for
the individuals concerned.
However, case studies and research publications have shown how difficult it is to create a truly anonymous dataset whilst retaining as much of the underlying information as required for the task.
De WP29 geeft verder aan dat er binnen de EU geen eenduidig beeld is met betrekking tot wat een aanvaardbaar risico van re-identificatie is van anonieme gegevens. Streeft men nl. ‘computational anonymity’ na of ‘perfect anonymity’? (Bron, pagina 26)
Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken. Om uit te maken of van middelen redelijkerwijs valt te verwachten dat zij zullen worden gebruikt om de natuurlijke persoon te identificeren, moet rekening worden gehouden met alle objectieve factoren, zoals de kosten van en de tijd benodigd voor identificatie, met inachtneming van de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen. (AVG recital 26)
In de praktijk wordt in Nederland voor onderzoekers de beste borging voor anonimiteit van analyse resultaten geboden door het Centraal Bureau voor de Statistiek (CBS), wanneer onderzoekers met CBS microdata werken, vaak in combinatie met een eigen set van data. In het proces van outputcontroles, waarvoor zogenaamde outputrichtlijnen zijn opgesteld, worden de analyseresultaten beoordeeld op re-identificatie risico’s en worden maatregelen genomen om te voorkomen dat de resultaten een onthullingsrisico (voor personen, instellingen of bedrijven) bevatten.
Verder lezen
Zie ook dit artikel ‘Praktijkvoorbeeld: pseudonimiseren bij het Centraal Bureau voor de Statistiek (CBS)’ over CBS en anonimiseren en pseudonimiseren.
Het burgerservicenummer (BSN) is een uniek persoonsnummer dat in de eerste plaats bedoeld is voor het contact tussen burgers en de overheid. Organisaties buiten de overheid mogen het BSN alleen gebruiken als dat wettelijk is bepaald. Met het BSN kan gemakkelijk een koppeling worden gemaakt tussen informatie uit verschillende bestanden. Onzorgvuldig gebruik van het BSN brengt daarom privacyrisico’s met zich mee. Bijvoorbeeld misbruik van persoonsgegevens en identiteitsfraude. (Bron)
Het BSN is geen (bijzonder) persoonsgegeven, noch volgens de Algemene verordening gegevensbescherming (AVG) en ook niet volgens de Uitvoeringswet AVG (UAVG). Wel mogen de Europese lidstaten onder de AVG zelf voorwaarden stellen aan het verwerken van een nationaal identificatienummer, zoals het BSN. (Bron)
De AVG stelt namelijk in Artikel 87 dat landen zelf aanvullende bepalingen mogen opstellen mbt een nationaal identificatienummer (BSN in Nederland):
Verwerking van het nationaal identificatienummer
De lidstaten kunnen de specifieke voorwaarden voor de verwerking van een nationaal identificatienummer of enige andere identificator van algemene aard nader vaststellen. In dat geval wordt het nationale identificatienummer of enige andere identificator van algemene aard alleen gebruikt met passende waarborgen voor de rechten en vrijheden van de betrokkene uit hoofde van deze verordening.
In dit heldere overzicht van het internationaal advocatenkantoor Bird&Bird zie je hoe landen hier verschillend mee om gaan. Daar zie je bijvoorbeeld dat geldt voor:
Finland 13.11.2018
Under the Data Protection Act, a Personal Identity Code (PIC) may be processed with the explicit consent of the data subject or when it is important to unequivocally identify the data subject for the purposes provided by law or for carrying out an assignment prescribed by law. Processing is also allowed for carrying out rights and responsibilities of the data subject or the controller, or for the purposes of scientific or historical research or for statistical purposes. PIC may also be processed for certain additional purposes listed in the Data Protection Act such as lending, debt collection, and insurance.
en:
Sweden 06.09.2018
The Act stipulates that information regarding personal identification numbers or classification numbers may only be processed without consent where clearly justified in light of (i) the purpose of the processing; (ii) the importance of positive identification; or (iii) some other worthy reason. The Government may issue regulations on other justifications for the processing of personal identification numbers of classification numbers.
Maar voor Nederland is die mogelijkheid in de implementatiewet van de AVG (de UAVG) niet toegestaan:
Netherlands 17.09.2018
In line with art. 6 GDPR, art. 44 UAVG provides that national identification numbers may only be processed if such processing is provided for by law, and only for those purposes as stipulated in the relevant legislation.
In Nederland moet je dus een wettelijke taak hebben om BSNs te mogen verwerken. Het staat als volgt in de UAVG artikel 46:
Verwerking nationaal identificatienummer
1 Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de desbetreffende wet dan wel voor doeleinden bij de wet bepaald.
2 Bij algemene maatregel van bestuur kunnen andere dan in het eerste lid bedoelde gevallen worden aangewezen waarin een daarbij aan te wijzen nummer als bedoeld in het eerste lid, kan worden gebruikt. Daarbij kunnen nadere regels worden gegeven over het gebruik van een zodanig nummer.
Universiteiten hebben die wettelijke taak niet voor onderzoek en het al dan niet mogen verwerken van een BSN is ook geen afweging die een verwerkersverantwoordelijke zelf mag maken - die moet wettelijk bepaald zijn.
Voor, bijvoorbeeld, de wettelijke taak van inschrijvingen van studenten bij een Instelling, geeft de Wet op het hoger onderwijs en wetenschappelijk onderzoek (WHW) in Artikel 7.39. aan:
Te verstrekken persoonsgebonden nummer bij inschrijving
1 Bij de inschrijving legt de student of extraneus tevens zijn persoonsgebonden nummer over. Indien de student of extraneus aannemelijk maakt dat hij geen persoonsgebonden nummer kan overleggen, vindt de inschrijving plaats met inachtneming van het tweede lid. Artikel 7.31d, tweede lid, is van toepassing.
2 Indien de student of extraneus aannemelijk maakt dat hij geen persoonsgebonden nummer kan overleggen, meldt het instellingsbestuur binnen twee weken aan Onze minister de beschikbare gegevens van de student of extraneus, bedoeld in het eerste lid, alsmede zijn adres en woonplaats.
3 Onze minister verstrekt binnen acht weken na ontvangst van de melding, bedoeld in het tweede lid, aan het instellingsbestuur het burgerservicenummer van de student of extraneus, dan wel, indien is gebleken dat hem niet van overheidswege een burgerservicenummer is verstrekt, het onderwijsnummer van de student of extraneus.
De Instelling ontvangt het BSN dus, voor de wettelijke taak (beschreven in de wet WHW) van inschrijving (van DUO (Dienst Uitvoering Onderwijs)), maar mag het BSN dus niet voor andere doelen, zoals onderzoek, ook al is dat in het algemeen belang, verwerken.
Verder lezen
1. Algemene communicatie van de Autoriteit Persoonsgegevens mbt BSN
2. Voor overheidsinstanties zijn er bepaalde mogelijkheden om een BSN te verwerken, maar universiteiten en hogescholen zijn geen overheidsinstantie. Zie evt ook hier.
3. De bepalingen mbt het BSN zijn afkomstig van de Wet algemene bepalingen burgerservicenummer.
Onderzoek dat wordt uitgevoerd zonder dat de onderzoeksdeelnemers van tevoren weten dat zij aan onderzoek deelnemen. In de regel vindt dit type onderzoek plaats in die gevallen waarbij transparantie met betrekking tot het onderzoeksdoel redelijkerwijs geacht kan worden het doel van het onderzoek zelf in de weg te staan, bijvoorbeeld omdat de onderzoeksdeelnemers op basis van informatie over het onderzoeksdoel sociaal wenselijk gedrag kunnen vertonen, of ander gedrag dat afwijkt van het spontane gedrag.
Algemene uitgangspunt
1. In het algemeen stelt de Algemene Verordening Gegevensbescherming dat er een rechtsgrond moet zijn voor het onderzoek, zoals "toestemming” (AVG Art 6) dit bijvoorbeeld is, maar er zijn twee andere gebruikelijk rechtsgronden voor wetenschappelijk onderzoek: ‘legitimate interest’ (AVG Art 6) en public interest (AVG Art 6).
2. Een van de beginselen van gegevensverwerking (AVG Art 4) is transparantie en de informatieplicht naar de onderzoeksdeelnemers / betrokkenen.
Handelingsperspectief voor onderzoek
3. Echter, de AVG laat voldoende ruimte, zeker ten behoeve van wetenschappelijk onderzoek, en neemt dan naar aanvullende bepalingen in geldende sectorspecifieke codes. Zie daartoe de reikwijdte van 'in accordance with the law' in de WP29 Opinion 03/2013 on purpose limitation [Adopted on 2 April 2013]:
This includes all forms of written and common law, primary and secondary legislation, municipal decrees, judicial precedents, constitutional principles, fundamental rights, other legal principles, as well as jurisprudence, as such 'law' would be interpreted and taken into account by competent courts.
Within the confines of law, other elements such as customs, codes of conduct, codes of ethics, contractual arrangements, and the general context and facts of the case, may also be
considered when determining whether a particular purpose is legitimate. This will include the nature of the underlying relationship between the controller and the data subjects, whether it be commercial or otherwise.
Bron: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf
4. 'Covert Research’, wordt in codes of ethics en codes of practice erkend. Zie bijvoorbeeld:
4.1. Statement of Ethical Practice, 2017 van de British Sociological Association. Zie (pg 5): https://www.britsoc.co.uk/media/24310/bsa_statement_of_ethical_practice.pdf
Covert Research
14. There are serious ethical and legal issues in the use of covert research but the use of covert methods may be justified in certain circumstances. For example, difficulties arise when research participants change their behaviour because they know they are being studied. Researchers may also face problems when access to spheres of social life is closed to social scientists by powerful or secretive interests.
15. However, covert methods violate the principles of informed consent and may invade the privacy of those being studied. Covert researchers might need to take into account the emerging legal frameworks surrounding the right to privacy. Participant or non-participant observation in non-public spaces or experimental manipulation of research participants without their knowledge should be resorted to only where it is impossible to use other methods to obtain essential data.
16. In such studies it is important to safeguard the anonymity of research participants. Ideally, where informed consent has not been obtained prior to the research, it should be obtained post-hoc.
Ook Denscombe benoemt 'covert research', het ethische aspect en het feit dat covert research gerechtvaardigd kan zijn, maar niet gebaseerd kan zijn op informed consent.
4.2. Zie (p 209): Martyn Denscombe. The Good Research Guide. For small-scale social research projects. Fourth Edition.
Ethics
Participant observation can pose particular ethical problems for the researcher. If ‘total’ participation is used, then those being studied will not be aware of the research or their role in it. They can hardly give ‘informed consent’. The justification for such covert research cannot depend on consent, but draws instead on two other arguments. First, if it can be demonstrated that none of those who were studied suffered as a result of being observed, the researcher can argue that certain ethical standards were maintained. Second, and linked, if the researcher can show that the identities of those involved were never disclosed, again there is a reasonable case for saying that the participant observation was conducted in an ethical manner.
Whichever variant of participant observation is used, there is the possibility that confidential material might ‘fall into the hands’ of the researcher. Now, while this is true of most research methods, its prospects are exacerbated with the use of participant observation, owing to the closeness and intimacy of the researcher’s role vis-à-vis those being researched. Confidential material might be disclosed inadvertently by someone who does not know the research interest of the participant. Or, possibly even more problematic, things might get revealed as a result of the trust and rapport developed between the researcher and those being observed. This could be true for any of the variants of participant observation. The ethical problem is whether to use such material and how to use it. And here the guidelines are quite clear: (1) any use of the material should ensure that no one suffers as a result; and (2) any use of the material should avoid disclosing the identities of those involved. Any departure from these guidelines would need very special consideration and justification.
5. In beide bronnen is de voorgestelde aanpak gelijk:
5.1. er is een plausibele rechtvaardiging voor covert research - te beoordelen door een ethische commissie of internal review board.
5.2. er is een bredere ethische afweging gerelateerd aan dit type onderzoek. Voorwaarde hierbij is vanuit AVG compliancy, dat in het onderzoeksontwerp passende organisatorische en technische maatregelen worden benoemd (AVG art 25) waarmee in de uitvoering van het onderzoek kan worden geborgd dat ‘no one suffers as a result’. Dit betekent dus in een veilige omgeving werken en alleen toegang verstrekken tot deze gegevens uitsluitend aan hen die ook daadwerkelijk toegang moeten hebben tot deze gegevens, voor de duur waarvan dit van belang is en tot het deel van de gegevens waartoe de toegang nodig is. Tenslotte geldt dat de identiteit van de onderzoeksdeelnemer / betrokkenen of groep van betrokkenen nimmer bekend wordt gemaakt in publicaties of anderszins.
5.3. op basis van het transparantie principe (AVG Art 5) zouden de betrokkenen na afloop geïnformeerd moeten worden over de bevindingen van het onderzoek, echter op zo’n manier dat dit niet leidt tot groepsonthulling of dat dit re-identificatie van individuele betrokkenen mogelijk maakt.
6. De AP heeft in haar 'DPIA Besluit' 'covert research' als eerste voorbeeld benoemd, waarbij een DPIA vereist is. Zie: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/stcrt-2019-64418.pdf
2. Persoonsgegevens
“Het recht op bescherming van persoonsgegevens heeft geen absolute gelding, maar moet worden beschouwd in relatie tot de functie ervan in de samenleving en moet conform het evenredigheidsbeginsel tegen andere grondrechten worden afgewogen.” AVG - Recital 4
Kijk eens om je heen. Misschien zit je nu wel op werk in je kantoor of thuis op je werkkamer. Stel dat iemand die jou niet kent deze ruimte binnen zou komen, hoe snel zou deze persoon dan weten van wie dit kantoor of werkkamer is? Welke ‘gegevens’ in de ruimte zijn herleidbaar tot jou als uniek ‘persoon’? Misschien wel een foto van je gezin, een diploma aan de muur of een ansichtkaart met je naam en adres er op.
Dit zijn allemaal persoonsgegevens; daarover gaat deze eerste module. En om even warm te draaien starten we met een korte quiz: wat weet je eigenlijk allemaal al over persoonsgegevens?
[QUIZ –15 vragen, Q1 t/m Q15 – juiste antwoord in vet:]
Q1 Wat is geen direct persoonsgegeven?
· Je emotie
· Je seksuele voorkeur
· Je lengte
· Je kentekenplaat
Q2 Wat is een direct herleidbaar persoonsgegeven?
· Een persoonsgegeven dat in combinatie met maximaal 2 andere persoonsgegevens tot een uniek persoon is te herleiden
· Een persoonsgegeven dat formeel bekend is bij een overheidsinstantie
· Een persoonsgegeven waarmee de identiteit van een persoon zonder veel omwegen is vast te stellen
· Een persoonsgegeven dat onveranderlijk is
Q3 Wat zijn indirect herleidbare persoonsgegevens?
· Persoonsgegevens die in meerdere databases voorkomen
· Persoonsgegevens die niet direct naar een persoon herleiden, maar dat in combinatie met een achternaam wel doen
· Persoonsgegevens die niet direct naar een persoon herleiden, maar in combinatie met andere gegevens dit wel doen
· Persoonsgegevens die minimaal 3 andere persoonsgegevens vergen om een uniek persoon te kunnen identificeren
Q4 Maakt de AVG een onderscheid tussen direct en indirect herleidbare persoonsgegevens?
· Nee. De AVG beschermt alle persoonsgegevens die een persoon zelf als persoonsgegevens beschouwt
· Ja. De AVG beschermt alleen direct herleidbare persoonsgegevens die bij de AP bekend zijn
· Ja. De AVG beschermt alleen direct herleidbare persoonsgegevens
· Nee. De AVG beschouwt zowel direct als indirect herleidbare persoonsgegevens als ‘persoonsgegevens’
Q5 Kunnen meningen persoonsgegevens zijn?
· Ja, zolang ze formeel in een database opgeslagen zijn is dat het geval
· Nee, meningen zijn uitgezonderd van de AVG
· Ja, zolang ze in combinatie met andere persoonsgegevens te herleiden zijn tot een uniek persoon
· Nee, meningen zijn niet subjectief vast te leggen en zijn daarmee geen persoonsgegevens
Q6 Welke persoonsgegeven valt niet binnen de categorie ‘bijzondere persoonsgegevens’ in de AVG?
· Politieke opvattingen
· Eetpatroon
· Lidmaatschap van een vakbond
· Godsdienst of levensovertuiging
Q7 Waarom bestaat er een ‘bijzondere categorie’ voor persoonsgegevens binnen de AVG?
· Omdat deze gegevens potentieel veel schade voor de betrokkenen kunnen veroorzaken indien ‘deze gevoelige gegevens’ openbaar worden
· Omdat deze gegevens van oudsher ook al extra bescherming kregen binnen de WBP
· Omdat het verwerken van deze gegevens substantieel hogere kosten voor een verwerkende instantie vereist
· Omdat het openbaar maken van deze gegevens expliciete toestemming van de betrokkenen vergt
Q8 Mag iedere onderzoeker zonder restricties bijzondere persoonsgegevens in een onderzoek verwerken?
· Ja. Het uitvoeren van wetenschappelijk onderzoek valt per definitie onder de uitzonderingen voor de verwerking van bijzondere persoonsgegevens.
· Nee. Het verwerken van bijzondere persoonsgegevens is bij wet verboden. Tenzij de onderzoeker zich kan beroepen op een goedgekeurd onderzoeksplan.
· Nee. Het verwerken van bijzondere persoonsgegevens is bij wet verboden. Tenzij de onderzoeker zich kan beroepen op een van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens.
· Nee. Het verwerken van bijzondere persoonsgegevens is bij wet verboden. Tenzij de onderzoeker daartoe toestemming heeft van de onderzoeksdeelnemers.
Q9 Welke twee verplichtingen heeft een onderzoeker sowieso indien deze bijzondere persoonsgegevens wil verwerken?
· het consulteren van een privacy expert (zoals de FG) en het verkrijgen van informed consent van de betrokkenen
· het verkrijgen van expliciete toestemming van de betrokkenen en het vastleggen van de gemaakte afspraken in een register van verwerkingen
· het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) en het consulteren van een privacy expert (zoals de FG)
· het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) en het verkrijgen van expliciete toestemming van de betrokkenen
Q10 Wat zijn volledig geanonimiseerde persoonsgegevens binnen de AVG?
· volledig geanonimiseerde persoonsgegevens zijn alleen persoonsgegevens indien deze toch tot een uniek persoon te herleiden zijn
· Volledig geanonimiseerde persoonsgegevens zijn via reverse engineering weer tot reguliere persoonsgegevens om te zetten. Daarom beschouwt de AVG deze gegevens als reguliere persoonsgegevens
· Bij volledig geanonimiseerde persoonsgegevens is een uniek persoon niet meer te herleiden, daarom vallen deze gegevens buiten de AVG
· volledig geanonimiseerde persoonsgegevens vormen een aparte categorie binnen de AVG, net als bijzondere persoonsgegevens
Q11 Kan de AVG ook van toepassing zijn op overleden personen?
· Ja, indien het bijvoorbeeld gaat over bekende Nederlanders
· Nee, de AVG is alleen van toepassing op levende personen
· Nee, de AVG is alleen van toepassing op levende personen die in Nederland geboren zijn
· Ja, indien de overleden persoon minder dan 6 maanden geleden gestorven is
Q12 Kan de AVG van toepassing zijn op gegevens over organisaties?
· Nee, de AVG is alleen van toepassing op natuurlijke personen
· Ja, gevoelige bedrijfsdata kan in uitzonderlijke gevallen ook onder de AVG vallen
· Ja, indien deze organisatie bijzondere persoonsgegevens verwerkt is dat inderdaad mogelijk
· Nee, de AVG is alleen van toepassing op levende personen die in Nederland geboren zijn
Q13 Heb je voor het bijhouden van een adressenboekje thuis met persoonsgegevens van anderen altijd een wettelijke grondslag nodig?
· Ja, naast de wettelijke grondslag is er ook expliciete toestemming van deze personen nodig
· Nee, indien je de persoonsgegevens goed beveiligt is dat niet in alle gevallen nodig
· Ja, niemand mag zonder een wettelijke grondslag zomaar persoonsgegevens van anderen verwerken
· Nee, indien de persoonsgegevens alleen binnen de privésfeer gedeeld worden is een wettelijke grondslag niet nodig
Q14 Persoonsgegevens die je in de privésfeer opslaat en deelt vallen niet onder de AVG. Hoe heet deze uitzondering?
· De huishoudelijke exceptie
· De huishoudelijke uitzondering
· De private uitzondering
· Gerechtvaardigd belang
Q15 Wat betekent het ‘territoriale toepassingsgebied’ binnen de AVG?
· dat gegevens van EU ingezetenen zijn beschermd door de AVG, ongeacht of de verwerking binnen of buiten de EU plaatsvindt
· dat gegevens van EU ingezetenen zijn beschermd door de AVG zolang de verwerking binnen de EU plaatsvindt
· dat gegevens van EU ingezetenen zijn beschermd door de AVG, ongeacht of de ingezetenen zich op dat moment bevinden in de EU
· dat gegevens van EU ingezetenen zijn beschermd door de AVG zolang de verwerking door organisaties binnen de EU gebeurt
Leerdoelen
Om te weten of bepaalde maatregelen ter bescherming van persoonsgegevens in onderzoek nodig zijn is het eerst zaak om goed te weten wat persoonsgegevens eigenlijk zijn. In deze module leer je:
het verschil tussen direct identificeerbare en indirect identificeerbare persoonsgegevens;
wat bijzondere categorieën van persoonsgegevens zijn en weet waarom het belangrijk is deze gegevens extra te beschermen;
wanneer de AVG met betrekking tot persoonsgegevens wel en niet van toepassing is.
Veel succes!
2.1 Directe en indirecte herleidbaarheid
Je ziet het: er zijn vele soorten persoonsgegevens. Sommige persoonsgegevens lijken weinig risico in zich te hebben als je ze in een bepaalde context deelt, zoals je naam en adres bij een bestelling op internet. Andere persoonsgegevens zijn per definitie al een stuk gevoeliger, zoals je seksuele voorkeur, lidmaatschap van een politieke partij of je religieuze voorkeur. Het bekend raken van dergelijke gevoelige persoonsgegevens kan in allerlei contexten tot ongewenste of zelfs gevaarlijke situaties leiden.
Wat zijn persoonsgegevens eigenlijk?
Met andere woorden: jouw persoonsgegevens verdienen een goede bescherming. Die bescherming van die persoonsgegevens is vastgelegd in de AVG, de ‘Algemene verordening gegevensbescherming’. De AVG is een Europese verordening die de regels voor de verwerking van persoonsgegevens door particuliere bedrijven en overheidsinstanties in de hele Europese Unie standaardiseert.
Naast die bescherming heeft de AVG een tweede doel, namelijk het bevorderen van de uitwisseling van persoonsgegevens binnen de EU. Voor onderzoekers zijn beide doelen relevant: voor onderzoek waarin persoonsgegevens een rol spelen, willen zij deze zo goed mogelijk kunnen verzamelen, verwerken en publiceren. Maar tevens dienen zij daarbij afdoende maatregelen te treffen om de verzamelde persoonsgegevens zo goed mogelijk te beschermen. Hier gaan we in module 2 dieper op in.
Om te weten of bepaalde maatregelen ter bescherming van persoonsgegevens in onderzoek nodig zijn, is het eerst zaak om goed te weten wat persoonsgegevens eigenlijk zijn. De definitie die de AVG hanteert (artikel 4.1 ‘Definities’) luidt als volgt:
“Persoonsgegevens": alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
Indirect en direct
Er zijn vele soorten persoonsgegevens. Een belangrijk onderscheid is te maken tussen ‘direct’ en ‘indirect’ herleidbare persoonsgegevens. Maar wat zijn direct en indirect herleidbare persoonsgegevens eigenlijk? Waarom zijn indirect herleidbare persoonsgegevens eigenlijk ook relevant om goed te beschermen? En hoe kun je via het koppelen van datasets die uit indirect herleidbare persoonsgegevens bestaan toch unieke personen identificeren?
De AVG maakt zelf geen onderscheid in direct of indirect herleidbare persoonsgegevens; beide zijn persoonsgegevens. Op het moment namelijk dat iemand op welke manier dan ook via bepaalde (direct of indirect herleidbare) gegevens als uniek persoon te identificeren is, gelden deze gegevens als ‘persoonsgegevens’. Als onderzoeksondersteuner is het daarom van groot belang om je in eerste instantie bewust te zijn dat een persoonsgegeven breder is dan alleen een voor- en achternaam of je BSN.
Een indirect herleidbaar persoonsgegeven kan vrijwel alles zijn, zoals een MAC-adres, een emotie of een geolocatie. Zolang er tussen databases koppelingen te maken zijn waarmee het indirect herleidbare persoonsgegeven in combinatie met andere persoonsgegevens toch een uniek persoon kan identificeren, moet je die indirect herleidbare persoonsgegevens binnen de AVG net zo goed beschermen als de direct identificeerbare persoonsgegevens. Voor onderzoekers is dit des te interessanter, aangezien het kenmerk van veel onderzoeken is dat men juist ‘quasi-identifiers’ wil verzamelen zoals emoties, meningen, aandoeningen, etc. Maar dat zijn dus ook persoonsgegevens, zij het indirect herleidbare.
In de parlementaire geschiedenis van de Wbp wordt uiteengezet dat er sprake is van direct identificerende gegevens wanneer gegevens betrekking hebben op een persoon waarvan de identiteit zonder veel omwegen eenduidig vast te stellen is. Het gaat dan om gegevens als naam, adres, geboortedatum, die in combinatie met elkaar dermate uniek en dus kenmerkend zijn voor een bepaalde persoon dat deze in brede kring met zekerheid of met een grote mate van waarschijnlijkheid kan worden geïdentificeerd.
Dergelijke gegevens gebruikt men in het maatschappelijk verkeer ook om personen van elkaar te onderscheiden. Anders ligt dit wanneer de gegevens niet direct tot identificatie van een bepaald persoon leiden maar via nadere stappen in verband kunnen worden gebracht met een bepaalde persoon. Dit soort gegevens heten indirect identificerende gegevens. Zij kunnen zijn ontdaan van de naam, maar onder omstandigheden door combinatie met andere gegevens weer worden teruggebracht tot een bepaalde persoon. Aldus Kamerstukken II 1997/98, 25892, 3, p. 14-15; zie ook WP29, Advies 4/2007 over het begrip persoonsgegeven, (WP136) 20 juni 2007, p. 13-14.
Voorbeeld: 'Pseudonimisering'
Laten we eens naar een voorbeeld kijken waarin indirect herleidbare persoonsgegevens toch tot een uniek persoon kunnen leiden. Stel dat je als onderzoeker wilt weten of er een correlatie is tussen lengte, ziekte en inkomen in een bepaald dorp. Deze gegevens kun je bijvoorbeeld via vragenlijsten of interviews achterhalen, waarna je een mooie dataset hebt om mee aan de slag te gaan. Omdat het voor je onderzoek niet relevant is wat de namen van de deelnemers aan het onderzoek zijn, laat je deze gegevens weg in je dataset.
Hiermee lijkt de data niet meer naar een specifiek persoon herleidbaar te zijn, maar niets is minder waar… In de dataset is bijvoorbeeld te zien dat één persoon significant meer geld verdient dan de overige dorpsgenoten, een ongeneeslijke ziekte heeft en een lengte heeft van 2.05 meter. In het dorp zijn toevallig twee personen met deze lengte, maar één van hen is een landarbeider en de ander de burgemeester. De conclusie ligt voor de hand dat de persoon in de dataset de burgemeester is en daarmee is ook duidelijk dat hij aan een ongeneeslijke ziekte lijdt.
Zo zie je dat schijnbaar niet herleidbare persoonsgegevens toch tot een uniek persoon te herleiden zijn. Je kunt dit risico verkleinen, bijvoorbeeld met een maatregel als pseudonimisering. Pseudonimisering betekent volgens de AVG (artikel 4.5 ‘Definities’):
Pseudonimisering: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.
Pseudonimiseringsmaatregelen
In het voorbeeld van de burgemeester zou je als onderzoeker ervoor kunnen kiezen om niet met specifieke salarissen en lengtes, maar met categorieën van salarissen en lengtes te werken. Bijvoorbeeld niet ‘2.05 meter’, maar de categorie ‘langer dan 1.80 meter’. Zo voorkom je dat indirect herleidbare persoonsgegevens tot een uniek persoon te herleiden zijn.
Twee aandachtspunten hierbij:
Bij het toepassen van pseudonimisering dien je altijd rekening te houden met de context waarbinnen je het onderzoek uitvoert. Het toepassen van een categorie voor lengte als ‘langer dan 1.80 meter’ zorgt er in het ene land voor dat bepaalde data niet meer herleidbaar is. Maar dezelfde categorie kan in een land met gemiddeld minder lange inwoners juist voor meer directe herleidbaarheid zorgen.
Voor pseudonimisering zijn daarmee geen standaard wetten of regels te noemen; iedere onderzoeker zal binnen de eigen context moeten kijken welke pseudonimiseringsmaatregelen het risico op identificatie het beste verkleinen.
Wil een onderzoeker aan de slag met pseudonimisering, dan is de toepassing Amnesia (te vinden in de EOSC marketplace) wellicht interessant. In de toepassing Amnesia kan een onderzoeker zien wat de minimale groepsgrootte met gelijke kenmerken moet zijn om identificatie onmogelijk te maken.
Overheidsorganisaties stellen om diverse redenen open datasets beschikbaar aan onderzoekers en het algemene publiek. Een van deze organisaties, de RDW (Dienst Wegverkeer), biedt online een uitgebreide set van databases aan: zie hier. Een van deze database heet: “Gekentekende_voertuigen” die aan gegevens bevat van alle Nederlandse voertuigen: Kenteken / Voertuigsoort / Merk / Handelsbenaming / Vervaldatum APK / Datum tenaamstelling / Bruto BPM. aan. Deze dataset bevatte op 31 augustus 2021 14,3 miljoen registraties en de dataset was op die datum (sinds 8 september 2015) 132 miljoen maal gedownload.
In deze dataset is bijvoorbeeld te zien van welke auto’s de APK is verlopen en in combinatie met waarnemingen van auto’s op de weg (en koppeling op basis van kenteken) zou een kwaadwillend persoon iets met deze info kunnen doen. Zo is de boete voor het op de openbare weg rijden met een verlopen APK: €130,-. De RDW geeft van de open data die zij publiceren aan: “Het gaat om gegevens die niet privacy-, fraude- of concurrentiegevoelig zijn.”. Het privacyrisico zit echter in het combineren van datasets en het kunnen linken van deze datasets op basis van unieke kenmerken zoals een kenteken. Zie bijvoorbeeld ook dit artikel van Andy Green: New PII Discovered: License Plate Pictures.
Tenslotte komt potentieel door verschillende hacks of andere vormen van cybercrime gevoelige informatie beschikbaar die in combinatie met openbare informatie een redelijk gedetailleerd beeld kan schetsen van personen. Dit kan resulteren in een inbreuk op de privacy van de betrokkenen. zie bijvoorbeeld het datalek van RDC.
Tenslotte publiceren veel mensen bijvoorbeeld op social media een foto van hun auto zonder het kenteken onleesbaar te maken, waardoor de koppeling tussen persoon, auto en kenteken gemaakt kan worden. Door datalekken in verkeerscontrolesystemen, zoals in Westbroek, “was een bestand met beelden, afkomstig van de verkeerscamera’s, zonder autorisatie toegankelijk via een webserver. Daarin waren duizenden beelden opgeslagen uit de periode 2017 tot en met 2021. Op de beelden zijn kentekens van voertuigen, locaties en tijdstippen te zien.”
Al deze data gecombineerd maakt dat je weet welke auto waar reed en wie daar reed. Als dergelijke verkeerscamera’s gericht zijn op parkeerplaatsen van bijvoorbeeld ziekenhuizen kan dit telkens een nieuwe laag van informatie blootleggen over personen, zonder dat deze hiervan zelf op de hoogte zijn. Deze informatie is mogelijk te misbruiken door een kwaadwillende.
2.2 Bijzondere categorieën
De AVG maakt een onderscheid tussen twee typen persoonsgegevens. ‘Gewone’ persoonsgegevens, waarvan de definitie in hoofdstuk 2.2 is gegeven, en ‘bijzondere categorieën van persoonsgegevens’. Deze laatste categorie staat ook bekend als ‘gevoelige persoonsgegevens’; beide benamingen zijn juist. In dit hoofdstuk ontdek je de verschillen tussen beide typen persoonsgegevens en wat deze verschillen binnen onderzoek betekenen.
Over welke gegevens hebben we het?
Bijzondere categorieën van persoonsgegevens zijn persoonsgegevens die iets zeggen over iemands:
ras of etnische afkomst;
politieke opvattingen;
godsdienst of levensovertuiging;
lidmaatschap van een vakbond;
genetische of biometrische gegevens met oog op unieke identificatie;
gezondheid;
seksuele leven;
strafrechtelijk verleden.
Indien een onderzoeker ‘gewone’ persoonsgegevens binnen een onderzoek wil verwerken dan mag dat, mits er een wettelijke grondslag voor bestaat en er voldoende technische en organisatorische maatregelen zijn genomen om de persoonsgegevens zo goed als mogelijk te beschermen [meer over grondslagen en maatregelen in hoofdstuk 3: AVG]. Het verwerken van bijzondere categorieën van persoonsgegevens is, in beginsel, echter verboden (artikel 9.1 AVG):
Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.
Voor wetenschappelijk onderzoek zijn er echter ook uitzonderingen. Welke dat precies zijn ontdek je op de volgende pagina.
2.2.1 Uitzonderingen voor onderzoek
Volgens artikel 9.2 AVG bestaan er verschillende uitzonderingen waarbinnen de verwerking van bijzondere categorieën van persoonsgegevens toch mogelijk is. We behandelen op deze pagina de uitzonderingen en bekijken een voorbeeld dat de achterliggende redenen van deze uitzonderingen illustreert.
Laten we eerst eens kijken hoe de uitzondering voor wetenschappelijk onderzoek in de AVG is opgenomen. Met betrekking tot onderzoek is artikel 9.2j van toepassing:
9.2. Lid 1 is niet van toepassing wanneer aan een van de onderstaande voorwaarden is voldaan:
j) de verwerking is noodzakelijk met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89, lid 1, op grond van Unierecht of lidstatelijk recht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de belangen van de betrokkene.
De onderzoeker moet dus steeds een afweging maken en onderbouwen waarom de verwerking van bijzondere categorieën van persoonsgegevens noodzakelijk is in relatie tot het wetenschappelijke doel van het betreffende onderzoek (dit slaat op de subsidiariteitsvereiste en proportionaliteitsvereiste in relatie tot de onderzoeksvraag - kijk hier voor een toelichting op deze begrippen).
De onderzoeker moet goed zoeken naar alternatieve, minder ingrijpende manieren om hetzelfde doel te bereiken. Dit begint steeds met twee afwegingen:
Zijn de bijzondere persoonsgegevens echt nodig in dit onderzoek?
Hoe verzamel je als onderzoeker die gegevens op de minst belastende of risicovolle manier?
Een antwoord op de tweede vraag kan bijvoorbeeld zijn door deze noodzakelijke bijzondere categorieën van persoonsgegevens uit bestaande registers te ontlenen, in plaats van door surveys opnieuw te verzamelen. Onderzoekers dienen zich terdege bewust te zijn van de noodzaak voor dit type gevoelige persoonsgegevens nog meer en betere bescherming te bieden.
In de spotlight:
Als extreem voorbeeld van de gevoeligheid van deze gegevens hoeven we alleen terug te denken aan de Tweede Wereldoorlog. Wanneer in die periode een persoon als Jood of communist bij de Duitse bezetter bekend was, dan kon dat de dood tot gevolg kunnen hebben. Ook kan het uiten van homoseksuele gevoelens in diverse landen leiden tot lijf- of gevangenisstraffen.
Maar ook in Nederland kan het voorkomen dat bepaalde politieke overtuigingen binnen specifieke beroepsgroepen iemands carrière negatief beïnvloeden. Of dat kennis van iemands gezondheid van invloed is op de uitkomst van een sollicitatiegesprek. Kortom, het bekend worden van gevoelige persoonsgegevens kan zowel direct als indirect grote gevolgen hebben voor de betrokken persoon en deze persoonsgegevens vereisen dan ook een grotere mate van bescherming.
Meer weten over de mogelijke consequenties van het delen van gevoelige persoonsgegevens? Lees dan het boek ‘Je hebt wel iets te verbergen’ van Dimitri Tokmetzis en Maurits Martijn.
Een onderzoeker of organisatie mag dus geen gebruik maken van gevoelige persoonsgegevens, tenzij een van de uitzonderingen uit artikel 9.2 geldt. Dat is anders dan het werken met reguliere persoonsgegevens; die mag een onderzoeker sowieso gebruiken als er een grondslag bestaat en er adequate maatregelen getroffen zijn. Het niet mogen verwerken van gevoelige persoonsgegevens lijkt tegenstrijdig met de doelstelling van de AVG, waarbij het juist gaat om het stimuleren van een ‘free movement of data’ (‘betreffende het vrije verkeer van die gegevens’), zoals te zien is in de titel van de AVG:
Omdat er echter bij onderzoek vanuit de wetenschappelijke werkwijze en traditie vaste controlemechanismen aanwezig zijn, is het binnen bepaalde voorwaarden dus wel mogelijk om de gevoelige gegevens binnen de kaders van de AVG te verwerken. Deze uitzonderingen zijn te lezen in artikel 89 van de AVG en zijn specifiek voor de Nederlandse context verder toegelicht in artikel 24 van de UAVG.
De uitzonderingen opgesomd
Artikel 89 lid 2 (AVG) vormt de belangrijkste uitzondering op basis waarvan de verwerking van gevoelige persoonsgegevens binnen onderzoek wel mogelijk is. Dit vanwege enkele afwijkingen die het artikel benoemt met betrekking tot de rechten van deelnemers aan wetenschappelijk onderzoek (de ‘betrokkenen’):
Wanneer persoonsgegevens met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt, kan in het Unierecht of het lidstatelijke recht worden voorzien in afwijkingen van de in de artikelen 15, 16, 18 en 21 genoemde rechten, behoudens de in lid 1 van dit artikel bedoelde voorwaarden en waarborgen, voor zover die rechten de verwezenlijking van de specifieke doeleinden onmogelijk dreigen te maken of ernstig dreigen te belemmeren, en dergelijke afwijkingen noodzakelijk zijn om die doeleinden te bereiken.
Nederland heeft in artikel 44 van de Uitvoeringswet AVG (lidstatelijke recht) invulling gegeven aan de ruimte die artikel 89 lid 2 van de AVG biedt. Op grond van artikel 44 (UAVG) kunnen de artikelen 15, 16 en 18 van de AVG buiten beschouwing worden gelaten. Dit betreft:
Artikel 15 - Recht van inzage van de betrokkene
Artikel 16 - Recht op rectificatie
Artikel 18 - Recht op beperking van de verwerking
Zo moet om redenen van reproduceerbaarheid en wetenschappelijke integriteit, na intrekking van de toestemming, wel verdere verwerking van nieuwe gegevens van het individu worden gestaakt. De persoonsgegevens die verwerkt zijn tot het moment van intrekken van toestemming (en dus legitiem zijn verkregen en verwerkt) mogen verwerkt blijven. Dit dient van tevoren aan de mogelijke deelnemers van een onderzoek helder gecommuniceerd te worden.
2.2.2 Gegevensbeschermingseffectbeoordeling
Gegevensbeschermingseffectbeoordeling
De uitzonderingen voor onderzoek betekenen dat het dus toch mogelijk is om binnen bepaalde kaders met gevoelige persoonsgegevens te werken. Maar deze uitzonderingen brengen ook enkele verplichtingen met zich mee. Hier behandelen we de twee belangrijkste verplichtingen.
Verplichting 1: 'Privacy officer consulteren'
De eerste verplichting is dat indien een onderzoeker gevoelige persoonsgegevens binnen een onderzoek wil verwerken, de onderzoeker altijd een privacy officer binnen de instelling (zoals een Functionaris Gegevensbescherming) moet consulteren. Wellicht kan het onderzoek prima doorgang vinden in de gewenste vorm, maar alleen en altijd in overleg met de privacy officer binnen de instelling: deze beslissing mag de onderzoeker niet zelf nemen.
De privacy officer zal samen met de onderzoeker bepalen welke aanvullende maatregelen en waarborgen er nodig zijn om een goede bescherming van de gevoelige persoonsgegevens te garanderen. Daarnaast zal de privacy officer binnen de gegevensbeschermingseffectbeoordeling een toets doen op de ‘Artikel 5’ principes, waarover meer in hoofdstuk 3: AVG.
Verplichting 2: 'Gegevensbeschermingseffectbeoordeling'
De tweede verplichting bij het werken met gevoelige persoonsgegevens binnen een onderzoek is het uitvoeren van een ‘Gegevensbeschermingseffectbeoordeling’, in het Engels een ‘Data Protection Impact Assessment’ genoemd (afgekort tot ‘DPIA’). De AVG omschrijft in artikel 35.1 een ‘Gegevensbeschermingseffectbeoordeling’ als volgt:
Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico's inhouden.
Een gegevensbeschermingseffectbeoordeling brengt dus de mogelijke risico’s binnen het onderzoek in beeld en biedt de onderzoeker een oplossingsrichting voor de te nemen maatregelen. Het uitvoeren van een gegevensbeschermingseffectbeoordeling is in principe bij ieder onderzoek wenselijk om uit te voeren, maar is voorafgaand aan het opstellen van het onderzoeksplan of de onderzoeksaanvraag op straffe van een boete verplicht indien er gevoelige persoonsgegevens in een onderzoek een rol spelen. De uitkomst van een gegevensbeschermingseffectbeoordeling biedt inzicht in de te nemen (aanvullende) maatregelen.
Aanvullende maatregelen die mogelijk noodzakelijk zijn kunnen bestaan uit beveiligingsmaatregelen zoals pseudonimisering, anonimiseren, end-to-end encryptie, etc. Artikel 32 AVG geeft een opsomming van de mogelijke maatregelen. De AVG geeft daarbij alleen aan dat een onderzoeker maatregelen moet nemen en noemt daarbij specifiek encryptie en pseudonimisering als voorbeelden, maar er zijn allerlei maatregelen mogelijk, afhankelijk van de context van het onderzoek. Deze maatregelen moeten volgens de AVG overigens wel proportioneel zijn; het aanschaffen van een kostbaar encryptiesysteem waarmee een onderzoeker alleen de voornamen van deelnemers kan verbergen schiet het doel voorbij, zoals aangegeven in Grond 83 AVG:
Teneinde de veiligheid te waarborgen en te voorkomen dat de verwerking inbreuk maakt op deze verordening, dient de verwerkingsverantwoordelijke of de verwerker de aan de verwerking inherente risico's te beoordelen en maatregelen, zoals versleuteling, te treffen om die risico's te beperken. Die maatregelen dienen een passend niveau van beveiliging, met inbegrip van vertrouwelijkheid, te waarborgen, rekening houdend met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico's en de aard van de te beschermen persoonsgegevens.
Let op: indien het onderzoek valt binnen een bestaande categorie van verwerking van de gevoelige persoonsgegevens (met andere woorden: het onderzoek wordt op vergelijkbare wijze uitgevoerd als eerdere onderzoeken waarvoor al een gegevensbeschermingseffectbeoordeling is gedaan), dan is een nieuwe gegevensbeschermingseffectbeoordeling niet nodig, aangezien men dan de conclusies inzake de te nemen maatregelen mag overnemen.
3. Beginselen verwerking persoonsgegevens
“Om de naleving van deze verordening aan te kunnen tonen, moet de verwerkingsverantwoordelijke interne beleidsmaatregelen nemen en maatregelen toepassen die voldoen aan met name de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen.” AVG - Recital 78
De AVG kent een rijke geschiedenis. Al in de jaren '70 van de vorige eeuw ontstonden de eerste initiatieven om onze persoonsgegevens beter te gaan beschermen. De onderliggende beginselen van alle wetten met betrekking tot de bescherming van persoonsgegevens zijn sinds die tijd vrijwel onveranderd. Gedegen kennis van deze beginselen (in de AVG 'principes' genoemd) is een must voor iedereen die zich met privacy en gegevensbescherming bezig houdt!
In de AVG heten de zeven onderliggende principes de 'artikel 5' principes. Want tja, ze zijn nou eenmaal als vijfde artikel in de AVG opgenomen. Test je kennis eens wat je al van deze zeven principes weet in deze korte openingsquiz. Succes!
[Quiz – 10 vragen, Q1 t/m Q10 – juiste antwoord in vet]
Q1 In welk jaar werd in Nederland de eerste wet omtrent de bescherming van persoonsgegevens van kracht?
· 2015
· 1989
· 1999
· 1971
Q2 Wat is een van de belangrijkste verschillen tussen de AVG en voorgaande wetten omtrent de bescherming van persoonsgegevens?
· Dat de Autoriteit Persoonsgegevens forse boetes kan uitdelen
· Dat de Autoriteit Persoonsgegevens de mogelijkheid heeft om alle data van een organisatie ongevraagd in te zien
· Dat organisaties nu verplicht zijn om alle persoonsgegevens in een centrale database op te slaan
· Dat organisaties de verplichting hebben om een Functionaris Gegevensbescherming aan te stellen
Q3 De principes uit artikel 5 in de AVG zijn voor ieder onderzoek gelijk. Betekent dit dat daarmee ook de te nemen technische en organisatorische maatregelen voor ieder onderzoek gelijk zijn?
· Ja. Per principe geeft de AVG duidelijk de te nemen set aan technische en organisatorische maatregelen aan
· Nee. De principes in de AVG geven alleen de kaders aan; een onderzoeker dient binnen de context van het onderzoek deze kaders zelf met de benodigde technische en organisatorische maatregelen in te vullen
· Ja. Ieder principe in de AVG is weer gebaseerd op een vaste set aan technische en organisatorische maatregelen
· Nee. De principes in de AVG geven alleen de kaders aan; de te nemen technische en organisatorische maatregelen verschillen daarbij altijd per onderzoek
Q4 Wat betekent met betrekking tot onderzoek AVG artikel 5, principe 1: ‘rechtmatigheid, behoorlijkheid en transparantie’?
· Dat iedere betrokkene aan een onderzoek vooraf duidelijkheid heeft over de manier waarop de persoonsgegevens rechtmatig verwerkt gaan worden en wat de rechten van de betrokkene zijn
· Dat iedere betrokkene aan een onderzoek voorafgaand aan het onderzoek duidelijkheid heeft over de manier waarop de persoonsgegevens verwerkt gaan worden
· Dat iedere betrokkene voldoende kennis van de AVG heeft om voorafgaand aan het onderzoek een weloverwogen keuze te maken om wel of niet aan het onderzoek deel te nemen
· Dat iedere betrokkene aan een onderzoek altijd de mogelijkheid heeft om beroep aan te tekenen mochten de persoonsgegevens toch niet rechtmatig verwerkt worden
Q5 Wat betekent met betrekking tot onderzoek AVG artikel 5, principe 2: ‘doelbinding’?
· Dat de manier waarop persoonsgegevens binnen een onderzoek worden verwerkt moet aansluiten bij de wettelijke grondslag waarop het onderzoek gebaseerd is
· Dat de manier waarop persoonsgegevens binnen een onderzoek worden verwerkt moet passen bij de doelstellingen van eventueel vervolgonderzoek
· Dat de persoonsgegevens die binnen een onderzoek worden verwerkt noodzakelijk zijn voor het welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doel van dat onderzoek, of een doel dat niet als onverenigbaar met het oorspronkelijke doel beschouwd
· Dat de manier waarop persoonsgegevens binnen een onderzoek worden verwerkt moet aansluiten bij de algemene doelstellingen van het onderzoeksinstituut
Q6 Wat betekent met betrekking tot onderzoek AVG artikel 5, principe 3: ‘minimale gegevensverwerking’?
· alle persoonsgegevens die relevant zijn voor het legitieme en concrete onderzoeksdoel dienen direct gepseudonimiseerd te worden
· alleen die persoonsgegevens die relevant zijn voor het legitieme en concrete onderzoeksdoel mogen voor een peer-review beschikbaar worden gesteld
· alleen die persoonsgegevens die relevant zijn voor het legitieme en concrete onderzoeksdoel mogen gebruikt worden in eventueel vervolgonderzoek
· alleen die persoonsgegevens worden verwerkt die toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor het onderzoeksdoel
Q7 Wat betekent met betrekking tot onderzoek AVG artikel 5, principe 4: ‘juistheid’?
· Persoonsgegevens moeten periodiek door de betrokkenen worden gecontroleerd op juistheid
· Alleen persoonsgegevens waarvan onomstotelijk is bewezen dat ze juist zijn mogen in een onderzoek opgenomen worden
· Alleen persoonsgegevens die door de betrokkenen als juist zijn aangemerkt mogen in een publicatie opgenomen worden
· Persoonsgegevens moeten juist zijn en zo nodig onverwijld worden geactualiseerd
Q8 Wat betekent met betrekking tot onderzoek AVG artikel 5, principe 5: ‘opslagbeperking’?
· Persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren binnen eventueel vervolgonderzoek
· Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk voor de doeleinden waarvoor de persoonsgegevens worden verwerkt
· Persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren indien de betrokkenen hier een formeel verzoek voor indient
· Persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren nadat deze is overleden
Q9 Wat betekent met betrekking tot onderzoek AVG artikel 5, principe 6: ‘integriteit en vertrouwelijkheid’?
· Dat een onderzoeker de in het onderzoek verworven persoonsgegevens niet zonder expliciete toestemming van de betrokkenen verder mag delen
· Dat een onderzoeker te allen tijde integer en vertrouwelijk met de betrokkenen binnen een onderzoek moet omgaan
· Dat een onderzoeker passende maatregelen moet treffen om onrechtmatige toegang, verlies, beschadiging of vernietiging van de persoonsgegevens te voorkomen
· Dat een onderzoeker passende maatregelen moet treffen om een datalek tijdens eventueel vervolgonderzoek te allen tijde te voorkomen
Q10 Wat betekent met betrekking tot onderzoek AVG artikel 5, principe 7: ‘verantwoordingsplicht’?
· De onderzoeker is verantwoordelijk voor een veilige verwerking van alle persoonsgegevens binnen het onderzoek en binnen eventuele vervolgonderzoeken
· De onderzoeker moet de principes uit artikel 5 naleven en moet indien gevraagd hiertoe bewijslast kunnen aanleveren
· De onderzoeker moet de principes uit artikel 5 naleven en moet hierover indien gevraagd verantwoording aan de interne Functionaris Gegevensbescherming kunnen afleggen
· De onderzoeker heeft een verantwoording af te leggen na afloop van een onderzoek aan alle betrokkenen
Leerdoelen
De zeven principes waar de AVG op gebaseerd is zijn algemeen van aard. De geven jou als privacy officer een handvat om alle benodigde technische en organisatorische maatregelen te kunnen treffen, maar vertellen je niet precies wat je in iedere situatie moet doen. Daarvoor bieden we je in deze module ook de 'Metro-kaart' aan, waarmee je stapsgewijs bepaalt welke maatregelen je dient te treffen; deze maatregelen ('acties' genaamd) leer je in de volgende module nog meer in detail. In deze module leer je:
de rijke geschiedenis van de AVG;
wat ieder van de zeven 'artikel 5' principes precies inhoudt;
hoe je via de 'Metro-kaart' de benodigde maatregelen stapsgewijs in beeld kunt krijgen.
Veel succes!
3.1 De geschiedenis van de AVG
We’ll go back in time. De volkstelling betekende dat er, elke tien jaar, op iedere deur in Nederland werd aangeklopt om het aantal daar wonende personen te registreren. Zo ook in 1971.
Al voor 1971 ontstond er steeds meer burgerverzet tegen deze manier van registratie. Maar vanaf 1971 werd dit verzet onder andere georganiseerd vanuit het ‘Comité Waakzaamheid Volkstelling’, zoals bovenstaand affiche van Lucebert illustreert. "Critici associëren de volkstelling met de Tweede Wereldoorlog, die is dan immers pas 25 jaar geleden. De bezetter maakte toen dankbaar gebruik van de uitstekend bijgehouden bevolkingsregisters om de joden te deporteren" (bron: Andere tijden).
Verder had de overheid toch al alle gegevens van Nederlandse inwoners, bijvoorbeeld via de geboorteregisters? Tenslotte uitte men bezwaar dat bij de census ook informatie werd geregistreerd over levensbeschouwing, handicaps en inkomen. Ook bleek dat in de praktijk steeds meer mensen uit verzet fictieve gegevens opgaven bij de volkstelling, omdat op weigering een geldboete stond van ƒ500,- of een gevangenisstraf.
We’ll go back in time. De volkstelling betekende dat er, elke tien jaar, op iedere deur in Nederland werd aangeklopt om het aantal daar wonende personen te registreren. Zo ook in 1971.
Al voor 1971 ontstond er steeds meer burgerverzet tegen deze manier van registratie. Maar vanaf 1971 werd dit verzet onder andere georganiseerd vanuit het ‘Comité Waakzaamheid Volkstelling’, zoals bovenstaand affiche van Lucebert illustreert. "Critici associëren de volkstelling met de Tweede Wereldoorlog, die is dan immers pas 25 jaar geleden. De bezetter maakte toen dankbaar gebruik van de uitstekend bijgehouden bevolkingsregisters om de joden te deporteren" (bron: Andere tijden).
Verder had de overheid toch al alle gegevens van Nederlandse inwoners, bijvoorbeeld via de geboorteregisters? Tenslotte uitte men bezwaar dat bij de census ook informatie werd geregistreerd over levensbeschouwing, handicaps en inkomen. Ook bleek dat in de praktijk steeds meer mensen uit verzet fictieve gegevens opgaven bij de volkstelling, omdat op weigering een geldboete stond van ƒ500,- of een gevangenisstraf.
[Video still, link naar video: https://anderetijden.nl/aflevering/156/De-burger-in-kaart ]
Staatscommissie
In de maatschappij rond 1970 speelde er een discussie over de bevoegdheden van de Binnenlandse Veiligheidsdienst (BVD, tegenwoordig AIVD) met betrekking tot het afluisteren van burgers. In een wetsvoorstel ‘Nadere regels ter bescherming van het telefoongeheim’ dat de Tweede Kamer in 1970 behandelt staat centraal het gebrek aan controle op de BVD (bron: Jan Holvast, De Volkstelling van 1971 verslag van de eerste brede maatschappelijke discussie over aantasting van privacy. 2013. p. 56).
De discussie rondom de volkstelling van 1971 was in 1972 aanleiding voor Minister Van Agt van Justitie om een Staatscommissie in te stellen voor de bescherming van de persoonlijke levenssfeer in verband met persoonsregistraties. Deze Commissie Koopmans kwam met haar bevindingen in het rapport ‘Privacy en Persoonsregistratie’ (bron: Staatscommissie bescherming persoonlijke levenssfeer in verband met persoonsregistraties. Privacy en persoonsregistratie. Eindrapport van de Staatscommissie bescherming persoonlijke levenssfeer in verband met persoonsregistraties. Den Haag, 1976).
In dit rapport zette de Commissie Koopmans uiteen ‘welke wettelijke of andere maatregelen wenselijk zijn ter bescherming van de persoonlijke levenssfeer, in verband met het gebruik van geautomatiseerde registratiesystemen voor persoonsgegevens, en in hoeverre het wenselijk is deze maatregelen mede van toepassing te doen zijn op andere persoonsregistraties’ (bron: Privacy en persoonsregistratie, p. 5). De Commissie formuleerde uitgangspunten voor een wettelijke regeling, de hoofdlijnen ervan en voegde als bijlage een voorstel toe voor een wettelijke regeling: een concept wetsontwerp voor een “Wet op de persoonsregistraties”.
De Commissie vat de uitgangspunten van de beoogde regeling als volgt samen (zie pg 28, 29: Privacy en persoonsregistratie):
het doorbreken van de ondoorzichtigheid van het verschijnsel persoonsregistratie door openheid en openbaarheid;
het versterken van de rechtspositie van geregistreerden ten opzichte van de houders van persoonsregistraties en
het meer rechtstreeks aan een zeker toezicht onderwerpen van registratie en gebruik van persoonsgegevens, in het bijzonder door het stellen van (beperkende) regels en de instelling van een bijzondere toezichtsinstantie
Het wetsvoorstel is in 1981 bij de Tweede Kamer ingediend, en is na een aantal verfijningen als Wet persoonsregistraties (WPR) op 1 juli 1989 in werking getreden (bron: https://wetten.overheid.nl/BWBR0011468/2018-05-01).
De wet door de jaren heen
Hieronder is een vergelijking gemaakt van de WPR, diens opvolger de WBP en daar weer de opvolger van, de AVG. Het is treffend om te zien hoe weinig er in al die tijd eigenlijk is gewijzigd:
De AVG is dus geen compleet nieuwe wet, maar kent al een geschiedenis van zo’n 50 jaar. Zowel de principes en begrippen, maar ook bijvoorbeeld maatregelen zoals ‘encryptie’, werden door de Registratiekamer al als mogelijkheden genoemd. In het rapport van G.W. van Blarkom en drs. J.J. Borking (bron: Beveiliging van persoonsgegevens. Achtergrondstudies en Verkenningen 23. Registratiekamer. 2001 - online: https://www.cs.ru.nl/~jhh/pub/secsem/registratiekamer-av23.pdf) gaan zij onder andere al in op de versleuteling van wachtwoorden (pg 44) en de communicatie van gegevens (pg 45). En in het rapport van het College Bescherming Persoonsgegevens, de opvolger van de Registratiekamer (bron: Mag het een bitje minder zijn? Over Privacy-Enhancing Technologies 2002 - online: https://autoriteitpersoonsgegevens.nl/sites/default/files/downloads/brochures/bro_pet.pdf ) noemt men versleuteling van een patiëntnummer (pg 18) al als optie.
Een groot verschil tussen de AVG en de voorgaande wetten is dat er nu een toezichthouder is (de Autoriteit Persoonsgegevens) met een boetebevoegdheid om direct een geldboete op te leggen (bron: https://autoriteitpersoonsgegevens.nl/nl/nieuws/cbp-krijgt-boetebevoegdheid-en-wordt-autoriteit-persoonsgegevens). Aangezien deze boetes kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet van een organisatie (bron: AVG Artikel 83 lid 2.5) is dit een serieuze ‘stok om mee te slaan’. Het niet goed beschermen van persoonsgegevens kan dus plots tot serieuze financiële consequenties voor organisaties leiden.
3.2 De principes
Als privacy officer voer je vele gesprekken met onderzoekers over de manier waarop zij met persoonsgegevens binnen hun onderzoek omgaan. Zo’n gesprek zou als volgt kunnen gaan:
Onderzoeker: “Voor de organisatie van een conferentie over mijn onderzoek wil ik foto’s nemen van bezoekers en enkele interviews afnemen. Mag dat volgens de AVG?”
Privacy officer: “Ja hoor, dat is geen probleem, zolang de bezoekers zelf kunnen aangeven of ze op de foto willen. En dat ze weten waar en wanneer de interviews gepubliceerd worden, zodat ze je daar toestemming middels een consent-formulier voor kunnen geven.”
Onderzoeker: “Ja, goeie, zo’n formulier had ik al van een collega gekregen. Ik weet alleen nog niet precies hoe lang ik de interviews wil bewaren, misschien dat ze over een paar jaar ook nog van pas kunnen komen.”
Privacy officer: “Hmm, dat wordt lastig, want misschien willen deelnemers aan de conferentie dan wel niet meer meewerken aan de interviews.”
Onderzoeker: “Maar… waarom zouden ze dan niet meer mee willen werken? Ik vraag hen toch vooraf om toestemming…?"
Bovenstaand gesprek laat zien dan de onderzoeker wel op de hoogte is van het feit dat er een consent-formulier nodig is voor de toestemming, maar dat de onderzoeker niet verder heeft nagedacht over de houdbaarheid en opslagtermijn van de data. Want misschien denken de deelnemers over enkele jaren wel heel anders over zaken na ten opzichte van het interview dat ze hebben afgegeven? En zien ze er over een paar jaar heel anders uit dan op de foto’s die op de conferentie gemaakt zijn?
Een ander voorbeeld is de opslag van persoonsgegevens door onder andere restaurants tijdens de Covid-19 pandemie. Bij diverse restaurants werden de persoonsgegevens niet alleen bewaard voor mogelijk contactonderzoek, maar werden de bezoekers achteraf geconfronteerd met marketingboodschappen vanuit de eetgelegenheden. Men voldeed daarmee keurig aan de registratieplicht van alle gasten, maar gebruikte achteraf de gegevens voor andere doeleinden dan vooraf aan de gasten gecommuniceerd was.
Beide voorbeelden laten zien dat zowel de onderzoeker als de restauranteigenaar de bescherming van persoonsgegevens vooral als een serie ‘check-boxjes’ opvatten, waarbij een aantal handelingen ervoor zorgen dat hun werkwijze ‘AVG-compliant’ is. Het uitvoeren van een DPIA, het opstellen van een consent-formulier en het pseudonimiseren van persoonsgegevens zijn de meest gehoorde handelingen die onderzoekers uitvoeren om AVG-compliant te werken. Maar waarom ze deze handelingen uitvoeren is vaak minder goed bekend.
Alle handelingen ter bescherming van persoonsgegevens komen voort uit de zeven principes zoals beschreven in artikel 5 van de AVG. We noemen deze principes dan ook de ‘Artikel 5 principes’. Deze principes geven in algemene zin aan hoe men dient te handelen bij de bescherming van persoonsgegevens; het is daarmee een normatieve wet, geen descriptieve wet.
De AVG geeft dus alleen de kaders aan; een onderzoeker dient binnen de context van het onderzoek deze kaders zelf met de benodigde technische en organisatorische maatregelen in te vullen. De benodigde maatregelen binnen een bepaald onderzoek kunnen daarmee sterk verschillen van de benodigde maatregelen in een ander onderzoek. Maar de principes die aan beide set van maatregelen ten grondslag liggen zijn altijd hetzelfde.
Wat houden deze zeven principes dan precies in? Onderstaand lees je alle principes, met per principe een kort voorbeeld om de werking van het principe te demonstreren:
Principe 1: Rechtmatigheid, behoorlijkheid en transparantie
Het 1e principe in artikel 5 luidt als volgt:
Men dient persoonsgegevens te verwerken op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”).
AVG Recital 39 stelt met betrekking tot de AVG Artikel 5 beginselen nog:
“Elke verwerking van persoonsgegevens dient behoorlijk en rechtmatig te geschieden. Voor natuurlijke personen dient het transparant te zijn dat hen betreffende persoonsgegevens worden verzameld, gebruikt, geraadpleegd of anderszins verwerkt en in hoeverre de persoonsgegevens worden verwerkt of zullen worden verwerkt.
Overeenkomstig het transparantiebeginsel moeten informatie en communicatie in verband met de verwerking van die persoonsgegevens eenvoudig toegankelijk en begrijpelijk zijn, en moet duidelijke en eenvoudige taal worden gebruikt. Dat beginsel betreft met name het informeren van de betrokkenen over de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking, alsook verdere informatie om te zorgen voor behoorlijke en transparante verwerking met betrekking tot de natuurlijke personen in kwestie en hun recht om bevestiging en mededeling te krijgen van hun persoonsgegevens die worden verwerkt.
Natuurlijke personen moeten bewust worden gemaakt van de risico's, regels, waarborgen en rechten in verband met de verwerking van persoonsgegevens, alsook van de wijze waarop zij hun rechten met betrekking tot deze verwerking kunnen uitoefenen. Meer bepaald dienen de specifieke doeleinden waarvoor de persoonsgegevens worden verwerkt, expliciet en gerechtvaardigd te zijn en te zijn vastgesteld wanneer de persoonsgegevens worden verzameld.
De persoonsgegevens dienen toereikend en ter zake dienend te zijn en beperkt te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Dit vereist met name dat ervoor wordt gezorgd dat de opslagperiode van de persoonsgegevens tot een strikt minimum wordt beperkt. Persoonsgegevens mogen alleen worden verwerkt indien het doel van de verwerking niet redelijkerwijs op een andere wijze kan worden verwezenlijkt.
Om ervoor te zorgen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is, dient de verwerkingsverantwoordelijke termijnen vast te stellen voor het wissen van gegevens of voor een periodieke toetsing ervan. Alle redelijke maatregelen moeten worden genomen om ervoor te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist.
Persoonsgegevens moeten worden verwerkt op een manier die een passende beveiliging en vertrouwelijkheid van die gegevens waarborgt, ook ter voorkoming van ongeoorloofde toegang tot of het ongeoorloofde gebruik van persoonsgegevens en de apparatuur die voor de verwerking wordt gebruikt.”
Toelichting:
Met andere woorden: vanuit het perspectief van de onderzoeksdeelnemer bezien moet deze dus door de onderzoeker voorafgaand aan het onderzoek op zo’n manier zijn geïnformeerd dat de deelnemer weet dat de gegevensverwerking binnen het onderzoek rechtmatig is (zoals verder bepaald in AVG Artikel 6), wat er met haar/zijn persoonsgegevens gebeurt en wie de verwerking uitvoert, welke risico’s en voor haar/hem zijn door deel te nemen aan het onderzoek en hoe deze risico’s zo veel mogelijk zijn geminimaliseerd. Ook moeten de rechten aan de deelnemers bekend gemaakt worden en hoe en bij wie zij zich kunnen beroepen indien zij vermoeden dat hier inbreuk aan is gedaan.
Principe 2: Doelbinding
Het 2e principe in artikel 5 luidt als volgt:
Persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”).
AVG Recital 33 stelt over doelbinding in de context van wetenschappelijk onderzoek nog:
“Het is vaak niet mogelijk op het ogenblik waarop de persoonsgegevens worden verzameld, het doel van de gegevensverwerking voor wetenschappelijke onderzoeksdoeleinden volledig te omschrijven. Daarom moet de betrokkenen worden toegestaan hun toestemming te geven voor bepaalde terreinen van het wetenschappelijk onderzoek waarbij erkende ethische normen voor wetenschappelijk onderzoek in acht worden genomen.
Betrokkenen moeten de gelegenheid krijgen om hun toestemming alleen te geven voor bepaalde onderzoeksterreinen of onderdelen van onderzoeksprojecten, voor zover het voorgenomen doel zulks toelaat.”
Toelichting:
Met andere woorden, het legitieme en specifieke doel van een onderzoek is bepalend voor de aard en omvang van persoonsgegevens die vanwege dit doel in dit onderzoek worden verzameld en verwerkt. Echter, om validatie van de onderzoeksgegevens mogelijk te maken of ten behoeve van vervolgonderzoek, is hergebruik van (een deel van) de verzamelde persoonsgegevens vaak wenselijk.
De onderzoeksdeelnemer moet hiervan op de hoogte zijn voorafgaand aan het onderzoek als dit inderdaad het geval is. De deelnemer moet dan weten voor welke doelen andere onderzoekers toegang tot haar/zijn gegevens kan krijgen. Zeker als het om gevoelige gegevens gaat (bijzondere categorieën van persoonsgegevens) zal de deelnemer daartoe expliciet en vrijelijk toestemming voor moeten geven aan de onderzoeker.
Principe 3: Minimale gegevensverwerking
Het 3e principe in artikel 5 luidt als volgt:
Persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”).
AVG Recital 78 stelt over minimale gegevensverwerking nog:
“Ter bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens zijn passende technische en organisatorische maatregelen nodig om te waarborgen dat aan de voorschriften van deze verordening wordt voldaan.
Om de naleving van deze verordening aan te kunnen tonen, moet de verwerkingsverantwoordelijke interne beleidsmaatregelen nemen en maatregelen toepassen die voldoen aan met name de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen.
Dergelijke maatregelen kunnen onder meer bestaan in het minimaliseren van de verwerking van persoonsgegevens, het zo spoedig mogelijk pseudonimiseren van persoonsgegevens, transparantie met betrekking tot de functies en de verwerking van persoonsgegevens, het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking en uit het in staat stellen van de verwerkingsverantwoordelijke om beveiligingskenmerken te creëren en te verbeteren.
Bij de ontwikkeling, de uitwerking, de keuze en het gebruik van toepassingen, diensten en producten die zijn gebaseerd op de verwerking van persoonsgegevens, of die persoonsgegevens verwerken bij de uitvoering van hun opdracht, dienen de producenten van de producten, diensten en toepassingen te worden gestimuleerd om bij de ontwikkeling en de uitwerking van dergelijke producten, diensten en toepassingen rekening te houden met het recht op bescherming van persoonsgegevens en, met inachtneming van de stand van de techniek, erop toe te zien dat de verwerkingsverantwoordelijken en de verwerkers in staat zijn te voldoen aan hun verplichtingen inzake gegevensbescherming.
De beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen moeten ook bij openbare aanbestedingen in aanmerking worden genomen.”
Toelichting:
Met andere woorden: alleen die persoonsgegevens die relevant zijn voor het legitieme en concrete onderzoeksdoel worden verzameld en verwerkt. Dat kunnen overigens nog steeds veel verschillende datapunten zijn, maar dus gerechtvaardigd en gelimiteerd door het onderzoeksdoel en de wijze waarop de persoonsgegevens tijdens en na het onderzoek beschermd worden. In deze poster wordt het beginsel ‘minimale gegevensverwerking’ geadresseerd:
Principe 4: Juistheid
Het 4e principe in artikel 5 luidt als volgt:
Persoonsgegevens moeten juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren („juistheid”).
De ‘verwerking van persoonsgegevens moet ten dienste van de mens staan’ zagen we al eerder (AVG Recital 4). Dat kan alleen als deze gegevens correct zijn. Dit leidt er bijvoorbeeld toe dat een patiënt de juiste behandeling krijgt, of dat bij de beoordeling van een persoon alle, de juiste en ook daadwerkelijk bij de betreffende persoon behorende persoonsgegevens worden gewogen en de kans op bias en dus op unfaire of onbehoorlijke gevolgen voor de betrokkene wordt verkleind. Uit dit juistheidsbeginsel, volgt het ‘recht op rectificatie’ (AVG Artikel 16):
“De betrokkene heeft het recht om van de verwerkingsverantwoordelijke onverwijld rectificatie van hem betreffende onjuiste persoonsgegevens te verkrijgen. Met inachtneming van de doeleinden van de verwerking heeft de betrokkene het recht vervollediging van onvolledige persoonsgegevens te verkrijgen, onder meer door een aanvullende verklaring te verstrekken.”
Principe 5: Opslagbeperking
Het 5e principe in artikel 5 luidt als volgt:
Persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is.
Persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt overeenkomstig artikel 89, lid 1, mits de bij deze verordening vereiste passende technische en organisatorische maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermen („opslagbeperking”).
Normen voor opslag
Hoe lang mag men welke gegevens bewaren na afloop van een onderzoek? Globaal kunnen we hierbij drie doelen onderscheiden, gebaseerd op de Nederlandse gedragscode wetenschappelijke integriteit (VSNU, 2018). Hierbij dienen onderzoekers met betrekking tot het bewaren van onderzoeksgegevens, waaronder persoonsgegevens, bepaalde normen te respecteren bij het ontwerp, de uitvoering, verslaglegging en disseminatie van het onderzoek:
Norm 11 (pg 16, Ontwerp van onderzoek): Maak de onderzoeksgegevens en de onderzoeksdata na afloop van het onderzoek zoveel mogelijk publiek beschikbaar. Leg, als onderzoeksgegevens en/of de onderzoeksdata niet voor het publiek beschikbaar gemaakt kunnen worden, de valide redenen daarvoor vast.
De VSNU gedragscode verwijst in dit verband naar een document van de Raad van de Europese Unie: The transition towards an Open Science system - Council conclusions (adopted on 27/05/2016) waarin op pagina 8 het principe: “as open as possible, as closed as necessary” wordt benoemd, en waarbij als valide redenen voor het niet publiek beschikbaar maken van data wordt benoemd: “personal data protection and confidentiality, security concerns, as well as global economic competitiveness and other legitimate interests”.
Norm 24 (pg 17, Uitvoering van onderzoek): Beheer de verzamelde data zorgvuldig en bewaar zowel de ruwe als de bewerkte versies gedurende een voor de discipline en methodologie passende termijn.
In de 2014 versie van de VSNU gedragscode wetenschappelijke integriteit werd voor het bewaren van onderzoeksgegevens een termijn van 10 jaar genoemd:
“De bewaartermijn van ruwe onderzoeksgegevens is minimaal 10 jaar. Deze gegevens worden op aanvraag ter beschikking gesteld aan andere wetenschapsbeoefenaren, tenzij wettelijke bepalingen zich daartegen verzetten.”
De termijn van 10 jaar is nog steeds gangbaar als uitgangspunt bij veel disciplines.
Norm 25 (pg 17, Uitvoering van onderzoek): Werk er aan mee dat data waarvoor dat gepast is, overeenkomstig de FAIR-beginselen vindbaar, toegankelijk, interoperabel en herbruikbaar zijn (Findable, Accessible, Interoperable, Re-usable).
De gangbare manier om onderzoeksgegevens op passende wijze te bewaren na afloop van het onderzoek is in zogenaamde data archieven, zoals DANSeasy (een instituut van KNAW en NWO), waarin voor een dataset kan worden bepaald of deze voor iedereen publiekelijk toegankelijk is, of dat de aard van de data, zoals persoonsgegevens, aanvullende maatregelen vergen, die deze publiekelijke toegang niet rechtvaardigen.
DANSeasy heeft verschillende maatregelen beschikbaar om data online publiek toegankelijk te maken, dan wel veilig te archiveren en alleen toegankelijk te maken voor bepaalde personen, die een legitieme ‘need to know’ hebben en, na identificatie, toegang krijgen tot deze gegevens.
Door te voldoen aan relevante certificering toont DANS dat zij met DANSeasy een ‘Trustworthy Digital Repository’ dienst biedt ten behoeve van archivering van onderzoeksgegevens.
Het 6e principe in artikel 5 luidt als volgt:
“Persoonsgegevens moeten door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging („integriteit en vertrouwelijkheid”)”
In het bij principe 3 reeds aangehaalde Recital 78 wordt al aangegeven dat de gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen als goede basis geldt voor de adequate waarborgen die de verwerking van persoonsgegevens vereist. Het gaat hier veelal om security maatregelen zoals encryptie, pseudonimiseren en toegang verlenen (bijvoorbeeld met gebruik van multifactor authenticatie) op basis van een vastgestelde toegangsmatrix. Echter, zonder daarbij de kwaliteit van de gegevens aan te tasten en zo te waarborgen dat men met de juiste gegevens ook valide bevindingen kan doen.
Principe 7: Verantwoordingsplicht
Het 7e principe in artikel 5 luidt als volgt:
“De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen („verantwoordingsplicht”).”
Toelichting:
De onderzoeker wordt dus tenslotte niet alleen geacht recht te doen aan de in de principes behandelde beginselen van gegevensverwerking, maar dat aantoonbaar te doen, bijvoorbeeld op verzoek van een Toezichthouder, tijdens diens onderzoek naar de betreffende verwerking van persoonsgegevens.
Hierbij is vanuit de AVG minimaal nodig:
het ontwerp en de registratie van het onderzoek,
in het geval van een hoog risico verwerking: de risico-inschatting (DPIA) en bijbehorende vastgestelde mitigerende maatregelen,
de feitelijke communicatie (helder en begrijpelijk) naar betrokkenen,
de juiste overeenkomsten voor betrokkenen (Consent Formulier) en eventuele onderzoekspartners (vb. Joint Controller Agreements of anderszins (vb. Non Disclosure Agreement).
1972
De artikel 5 principes vormen feitelijk de basis van de AVG. En niet alleen van de AVG; al in het rapport ‘Privacy & Persoonsregistratie’ uit 1972 (pagina 103 en 104) werden deze principes feitelijk al gehanteerd. Ze zaten toen enigszins verstopt in artikel 44, dat aangeeft wanneer een vergunning voor een registratiesysteem geweigerd kan worden. De overeenkomsten zijn treffend:
a. Indien het doel of de te verwachten werkzaamheid van het registratiesysteem in strijd met de wet, de openbare orde of de goede zeden; [vergelijk het “rechtmatigheid” en “behoorlijkheid’ beginsel]
b. Indien het reglement niet in overeenstemming is met de daaraan bij wet of AMvB gestelde eisen; [vergelijk het “rechtmatigheid” beginsel]
c. Indien onvoldoende maatregelen zijn genomen om te voorkomen dat de op te nemen gegevens in verkeerde handen komen; [vergelijk het “integriteit en vertrouwelijkheid” beginsel]
d. en e. Indien onvoldoende waarborgen bestaan voor de juistheid van de op te nemen en te verstrekken gegevens; [vergelijk het “juistheid” beginsel]
f. Indien er zijn volgens het reglement persoonsgegevens in het registratiesysteem mogen voorkomen dan die onvoldoende relevant zijn in verband met het doel van het registratiesysteem; [vergelijk het “doelbinding” en “minimale gegevensverwerking” beginsel]
h. Indien de rechten van de geregistreerde personen op kennisneming, inzage en correctie meer zijn beperkt dan uit een oogpunt van opsporing van strafbare feiten of een goede belastingheffing noodzakelijk is; [vergelijk het “juistheid” beginsel]
Kennis van deze principes zorgt ervoor dat een onderzoeker de bescherming van de privacyrechten van de deelnemers aan haar/zijn onderzoek gaat uitstralen. Dat het bepalen welke maatregelen nodig zijn om persoonsgegevens goed te beschermen niet alleen een ‘moetje’ is, maar dat een onderzoeker begrijpt dat het volgen van deze principes zowel voor de onderzoeker zelf als voor de betrokkenen grote voordelen met zich meebrengt:
Het beschermen van persoonsgegevens en daarmee het borgen van het fundamentele recht op privacy van onderzoeksdeelnemers.
Een aantoonbaar betrouwbare onderzoekspartner zijn voor onderzoeksdeelnemers en andere onderzoeksinstellingen.
Beperken van de aansprakelijkheid voor de instelling.
Voorkomen van reputatieschade van de onderzoeker, het onderzoek en de instelling.
Onderzoek doen conform geldende wet- en regelgeving.
Makkelijk kunnen voldoen aan de eisen van externe financierders (derde geldstroom).
Goed inzicht hebben in de aard van de verwerkte persoonsgegevens en de toegepaste de-identificatie maatregelen maakt het makkelijker om te beoordelen of deze gegevens gedeeld kunnen worden voor onderzoeksdoeleinden volgens de FAIR principes of Open Data principes.
Deze voordelen zijn tevens gevisualiseerd op een 'Privacy Reference Card', die via deze website als PDF-bestand te downloaden is (bron: Domingus, M. (2016). A Researcher's Privacy Reference Card. Why?).
3.3 Metro-kaart
De artikel 5 principes vertellen je wat je moet doen bij de bescherming van persoonsgegevens, maar vertellen je niet precies hoe je dat moet doen. Hoe bepaal je als privacy officer nu welke maatregelen je in een specifiek onderzoek moet nemen? Daar gaat de 'Metro-kaart' die we in dit hoofdstuk behandelen je bij helpen.
Stap voor stap door de 'Metro-kaart'
De artikel 5 principes betekenen voor de onderzoeksdeelnemer en voor de onderzoeker het volgende:
voor de onderzoeksdeelnemers zijn deze beginselen als recht afdwingbaar (het recht op rectificatie volgt bijvoorbeeld uit het beginsel van ‘juistheid’);
voor de onderzoekers geldt dat zij de verplichting hebben om aantoonbaar deze beginselen te voldoen door gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen toe te passen als strategie voor het op adequate wijze beschermen van persoonsgegevens van de onderzoeksdeelnemers.
De principes zijn dus per onderzoek gelijk, de te nemen maatregelen om persoonsgegevens te beschermen kunnen per onderzoek verschillen.
Hoe bepaal je als privacy officer nu welke maatregelen je in een specifiek onderzoek moet nemen? Om op hoofdlijnen te weten welke acties nodig zijn is de ‘Metro-kaart’ opgesteld; een stappenplan dat je aan de hand van concrete vragen van het onderzoeksontwerp tot het afgeven van een AVG-compliant statement door de FG van jouw instelling begeleidt. In onderstaande video zijn alle stappen uitgewerkt:
[Video still, link naar video: https://youtu.be/4eNUODTiRzI ]
Bron: Domingus, M. (2018). The Privacy Impact Assessment (PIA) Route Planner for Academic Research. Inspired by Harry Beck’s London Metro Map. Retrieved from http://hdl.handle.net/1765/128160.
Hoofdpunten
Samengevat zijn de hoofdpunten uit de Metro-kaart:
Slechts een klein deel van de onderzoeken vergt aanvullende of complexere maatregelen. Dit is alleen het geval indien het onderzoek in de categorie ‘hoog-risico’ valt;
Een onderzoek wordt als ‘hoog-risico’ aangemerkt indien dit voldoet aan minimaal twee van de negen criteria uit het Besluit inzake lijst van verwerkingen van persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is, van de Autoriteit Persoonsgegevens;
Middels een pre-DPIA is vast te stellen of een onderzoek hoog of laag risico is;
Het is een verplichting om een volledige DPIA uit te voeren bij een hoog-risico onderzoek;
Is er al een DPIA voor een vergelijkbaar onderzoek gedaan (met andere woorden, valt het uit te voeren onderzoek binnen een bestaande ‘categorie van onderzoek’), dan mogen de maatregelen die uit die DPIA naar voren kwamen overgenomen worden en is geen aanvullende DPIA nodig;
Het merendeel van de onderzoeken volgt de ‘oranje lijn’ in de Metro-kaart; deze onderzoeken zijn AVG-compliant uit te voeren door standaard maatregelen toe te passen.
En wil je weten welke concreten maatregelen je kunt implementeren? Klik dan onderstaand overzicht aan. In de module 'V - Maatregelen' gaan we in detail op iedere maatregel in.
In de spotlight
Mogelijke te nemen maatregelen zijn:
encryptie (versleuteling van opslagmedia en van end-to-end versleuteling van data in transit en in rest),
pseudonimisering,
beheer van de-identificatiesleutels,
toepassing van het vier ogen principe bij pseudonimisering,
toepassen van data minimalisatie,
toepassing van synthetische data,
respecteren van bewaartermijnen,
alleen met gekende en vertrouwde organisaties en personen samenwerken,
toegang verschaffen tot data alleen op basis van ‘need to know’,
fysieke en technische maatregelen voor de bescherming van fysieke en digitale opslag en onderzoekswerkplekken,
waar mogelijk toepassing van Privacy Enhancing Technologies,
waar mogelijk toepassing van ‘zero trust architecture’,
‘zero knowledge’ leveranciers en leveranciers die een geldig ISO 27002 certificaat hebben,
uitsluitend werken binnen online digitale kluizen en het voorkomen van lokale kopieën van data,
toepassing van passende back up en recovery procedures om het risico van verlies van data te mitigeren,
toepassing van multi factor authenticatie bij personen die een need to know hebben tot gevoelige data,
toepassen van een clean desk policy en clean whiteboard policy.
3.4 Maatregelen template
Zijn alle maatregelen goed in kaart gebracht? Dan dien je als privacy officer deze als bewijslast in een overzichtelijk document aan te bieden aan de FG van jouw instelling, zodat deze een AVG-compliant statement met betrekking tot het uit te voeren onderzoek kan afgeven.
Ook is het vastleggen van alle maatregelen een verplichting, conform het zevende principe uit artikel 5 (AVG, 5.2 ‘Verantwoordingsplicht’). Dit principe geeft aan dat het de verplichting van de verwerkingsverantwoordelijke is om aan te kunnen tonen dat de onderzoeker de principes naleeft in het onderzoek.
Hieronder zie je een voorbeeld van te nemen maatregelen per principe.
Een document dat hierop is gebaseerd is hier te downloaden. In dit template zijn links de principes opgenomen en per principe zijn aan de rechterzijde de te nemen maatregelen beschreven. Door dit template in te vullen weet je als privacy officer en als onderzoeker dat er over ieder principe nagedacht is.
Als privacy officer is het je taak om bij iedere stap in het onderzoeksontwerp aan de onderzoeker te vragen “op welke wijze zijn de artikel 5 principes in het onderzoek zichtbaar?” Hoe gaat de onderzoeker bijvoorbeeld om met ‘transparantie’, op welke manier zorgt de onderzoeker voor ‘dataminimalisatie’, enzovoort. De onderzoeker dient bij ieder onderzoek na te denken over de manier waarop de principes terugkomen in het onderzoeksontwerp. En hoe gevoeliger de persoonsgegevens zijn die een rol spelen in het onderzoek, des te sterker dient de borging van de principes in het onderzoek te zijn.
De principes helpen de onderzoeker en jou als privacy officer om voor, tijdens en na het onderzoek ‘in control’ over de persoonsgegevens te zijn. En treedt er onverhoeds toch een keer een datalek op, dan zijn de consequenties voor de onderzoeker en de betrokkenen geminimaliseerd indien de principes middels de genomen maatregelen aantoonbaar gevolgd zijn. Ziet de onderzoeker ook deze voordelen, dan zal de mindset van de onderzoeker veranderen van ‘ik moet allemaal extra werkzaamheden voor de AVG uitvoeren’ naar ‘ik wil de extra werkzaamheden voor de AVG uitvoeren, omdat ik daarmee niet alleen de fundamentele rechten van de betrokkenen bescherm, maar tevens het risico op boetes, vertraging of zelfs stopzetting van mijn onderzoek voorkom!’
3.5 Datalekken
Hoe vaak komt het woord ‘datalek’ in de wettekst van de AVG voor denk je? Let op; dat is precies nul keer. Om te begrijpen waarom dat zo is moeten we eerst beter kijken wat een datalek eigenlijk is.
Het gaat er bij een datalek om dat het principe uit artikel 5.1f („integriteit en vertrouwelijkheid”) is geschonden:
Persoonsgegevens moeten door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.
Je ziet in dit principe dat een datalek dus niet alleen gaat over bijvoorbeeld het verliezen van een USB-stick met persoonsgegevens, maar dat ook de onopzettelijke vernietiging of beschadiging van data en het verliezen van data een schending van het principe (en daarmee in de volksmond een ‘datalek’) betekent. Eigenlijk kun je zeggen dat een ‘datalek’ twee dingen kan betekenen:
Onrechtmatige en ongeoorloofde toegang[MOU2] (schending van de vertrouwelijkheid);
Vernietiging, verlies of beschadiging van data (schending van de integriteit).
Het te lang bewaren van persoonsgegevens is dus geen ‘datalek’ blijkt uit bovenstaande tekst, maar wel een onrechtmatig verwerking van die persoonsgegevens. In het geval een onderzoeker dus met een (sterk) verouderde dataset werkt is deze dus ook niet AVG-compliant. Overkomt je een van deze ‘datalekken’, dan betekent het dat de beveiliging van de data niet voldoende op orde is gebleken. Hier zit een grens aan, want wat nou als een professionele hackersclub met honderden leden zich toegang tot jouw dataset verschaft? In dat geval is principe 5.2 van belang:
De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen („verantwoordingsplicht”).
De verantwoordingsplicht betekent zoals we al eerder bespraken dat de onderzoeker (met ondersteuning van de privacy officers) moet kunnen aantonen dat zij alle proportionele technische en organisatorische maatregelen hebben getroffen om de data zo goed als mogelijk te beschermen. Kan de onderzoeker dat niet aantonen, dan loopt deze het risico op een boete.[MOU3]
Boetes
De boetes voor het niet voldoende beschermen van persoonsgegevens zijn onder te verdelen in twee categorieën (https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN#page=82):
Artikel 83.4: geldboeten tot 10 000 000 EUR of, voor een onderneming, tot 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar.
Artikel 83.5: geldboeten tot 20 000 000 EUR of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar.
De hoogte van de boete is mede afhankelijk van de mate waarin de artikel 5 principes zijn overtreden. Des te meer en des te ernstiger de principes zijn overtreden, des te hoger de boete zal uitvallen. Maar het overtreden van de principes kan nog meer consequenties hebben dan alleen een boete. Zo kunnen betrokkenen zich terug willen trekken uit een onderzoek. Ook kan het gebeuren dat men op grote schaal een verzoek tot inzage in hun data (een ‘data subject request’) doen. En stel je eens voor dat een hacker toegang tot een dataset van een onderzoeker krijgt waardoor blijkt dat de onderzoeker bepaalde data al 30 jaar bewaart. In dat geval heeft de onderzoeker heel wat uit te leggen waarom die data na al die tijd nog bestaat.
Ter afsluiting: het is voor een onderzoeker van groot belang om te weten dat ieder ‘datalek’ een melding behoeft bij jou als privacy officer of direct bij de FG. Een onderzoeker kan en mag nooit zelf een oordeel vellen over de ernst van een datalek; de onderzoeker is alleen verplicht het datalek zo snel als mogelijk te melden.
4 Maatregelen
“Teneinde de veiligheid te waarborgen en te voorkomen dat de verwerking inbreuk maakt op deze verordening, dient de verwerkingsverantwoordelijke of de verwerker de aan de verwerking inherente risico's te beoordelen en maatregelen, zoals versleuteling, te treffen om die risico's te beperken. Die maatregelen dienen een passend niveau van beveiliging, met inbegrip van vertrouwelijkheid, te waarborgen, rekening houdend met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico's en de aard van de te beschermen persoonsgegevens.”
In de vorige modules hebben we gesproken over risico’s, principes, maatregelen en acties. Allemaal zijn ze onderdeel van de AVG, maar hoe verhouden ze zich tot elkaar? En vooral, welke maatregel moet je binnen welk type onderzoek inzetten?
Om even warm te draaien bieden we je weer een korte quiz aan om je voorkennis te testen. De vragen geven je ook meteen een indruk van het type maatregelen die we in deze module gaan behandelen.
[Quiz, 10 vragen, Q1 t/m Q10 – juiste antwoord in vet]
Q1 Moet iedere verwerking van persoonsgegevens in een onderzoek apart in een 'Register van verwerkingen' opgenomen worden?
· Nee. Is de verwerking van persoonsgegevens in het ene onderzoek vergelijkbaar met de verwerking van persoonsgegevens in een onderzoek dat al in het register is opgenomen, dan mag je beide onderzoeken bundelen tot een 'categorie van verwerkingen'.
· Nee. Is de verwerking van persoonsgegevens in het ene onderzoek vergelijkbaar met de verwerking van persoonsgegevens in een onderzoek dat al in het register is opgenomen, dan is het niet nodig dit nieuwe onderzoek nogmaals in het register te noteren.
· Ja. De AVG bepaalt dat alle verwerkingen van persoonsgegevens binnen een half jaar na publicatie van het onderzoek opgenomen dienen te worden in een register van verwerkingen.
· Ja. Ieder onderzoek kent unieke specificaties, waardoor een nieuwe entry in het register van verwerkingen een verplichting binnen de AVG is.
Q2 Op welke manier moet je als instelling een ‘Register van Verwerkingen’ bijhouden?
· Als instelling mag je zelf de structuur en technologie bepalen waarin je het register opbouwt, als maar de relevante aspecten van de verwerking opgenomen worden.
· Als instelling moet je de protocollen van RDNL volgen bij het opstellen van een register.
· Als instelling moet je de protocollen van de AP volgen bij het opstellen van een register.
· Als instelling mag je iedere technologie gebruiken, zolang deze voldoet aan de ISO 9000 norm.
Q3 Is het geoorloofd om een deelnemer aan een onderzoek vooraf niet volledig op de hoogte te brengen van de aard van het onderzoek en de verwerking van persoonsgegevens daarin?
· Nee, dat is niet toegestaan omdat een deelnemer aan een onderzoek ook het recht heeft om de toestemming weer in te trekken.
· Ja, dat is toegestaan in het geval de onderzoeksdeelnemer niet goed in staat is om de precieze inhoud en vorm van het onderzoek te begrijpen.
· Nee, dat is in geen geval toegestaan.
· Nee, tenzij het een ‘heimelijk’ onderzoek (convert research) betreft.
Q4 Wat gebeurt er indien een deelnemer tijdens het onderzoek de toestemming voor de verwerking van persoonsgegevens weer intrekt?
· In dat geval heeft de onderzoeker geen wettelijke grondslag meer voor de (verdere) verwerking van de gegevens van de betreffende onderzoeksdeelnemer.
· Een deelnemer heeft door de toestemmingsverklaring te tekenen het recht opgegeven om de toestemming ook weer in te mogen trekken.
· In dat geval moet de onderzoeker het onderzoek stopzetten aangezien de data nu corrupt is.
· Dit heeft geen verdere effecten voor het vervolg van het onderzoek.
Q5 Is het uitvoeren van een DPIA verplicht indien er in het onderzoek met bijzondere persoonsgegevens gewerkt wordt?
· Nee, het uitvoeren van een DPIA is altijd een vrijwillige keuze van de onderzoeker.
· Nee, het uitvoeren van een DPIA is alleen verplicht indien het een ‘heimelijk’ onderzoek betreft.
· Nee.
· Ja, dat is verplicht indien het om een onderzoek gaat waar meer dan 10 personen aan deelnemen.
Q6 Op welk moment voer je een DPIA uit tijdens het onderzoek?
· Een DPIA wordt uitgevoerd voordat het onderzoek van start gaat.
· Een DPIA wordt uitgevoerd nadat de onderzoeksfinanciering is toegekend.
· Een DPIA wordt uitgevoerd na indienen van het onderzoeksplan.
· Een DPIA wordt uitgevoerd zodra tijdens het onderzoek blijkt dat er toch bijzondere persoonsgegevens verwerkt worden.
Q7 Vallen volledig geanonimiseerde persoonsgegevens binnen de AVG?
· Ja, want deze gegevens zijn makkelijk weer te combineren met andere geanonimiseerde gegevens waardoor er wel unieke personen te identificeren zijn.
· Nee, volledig geanonimiseerde persoonsgegevens zijn niet meer herleidbaar tot een uniek persoon en vallen daarom niet binnen de AVG.
· Ja, want deze gegevens zijn via reverse engineering makkelijk wel weer te de-anonimiseren en daarmee wel weer onderdeel van de AVG.
· Nee, volledig geanonimiseerde persoonsgegevens hebben geen enkele waarde meer en vallen daarom niet binnen de AVG.
Q8 Is een geanonimiseerd persoonsgegeven voor eeuwig anoniem?
· Nee, na 15 jaar vervalt deze anonimiteit en moeten de namen van de onderzoeksdeelnemers bekend gemaakt worden.
· Ja, want alle herleidbare persoonsgegevens moeten voor deze dataset vernietigd worden.
· Nee, door koppeling van nieuwe datasets kunnen ook geanonimiseerde persoonsgegevens toch weer tot unieke personen leiden.
· Ja, als eenmaal alle herleidbare persoonsgegevens zijn verwijderd mag een geanonimiseerd persoonsgegeven voor altijd als zodanig beschouwd worden.
Q9 Is het vervangen van een specifiek geboortejaar door een reeks van jaren (bijvoorbeeld: ‘tussen de 5 en 10 jaar oud’) een vorm van anonimiseren of pseudonimiseren?
· Dit is een vorm van anonimiseren aangezien zonder het specifieke geboortejaar de unieke persoon niet te achterhalen is.
· Dit is een vorm van anonimiseren aangezien leeftijd nooit iets specifieks over een bepaald persoon zegt.
· Dit is een vorm van pseudonimiseren aangezien er slechts enkele minder relevante persoonsgegevens weg worden gelaten.
· Dit is een vorm van pseudonimiseren aangezien de unieke persoon middels het originele geboortejaar wel weer te herleiden is; het is een omkeerbaar proces.
Q10 Wat houdt het ‘vier ogen principe’ in bij pseudonimisering?
· Dat vanwege controleerbaarheid en data integriteit twee personen toegang tot het sleutelbestand hebben.
· Dat slechts twee personen weten waar het sleutelbestand is opgeslagen.
· Dat twee specifieke personen de technische kennis hebben om de pseudonimisering weer op te kunnen heffen.
· Dat tijdens het proces van pseudonimisering altijd in duo’s wordt gewerkt om fouten zoveel mogelijk te voorkomen.
In deze module gaan we aan de slag met de te nemen acties en maatregelen. Want hoe kun je vanuit een risico met betrekking tot persoonsgegevens binnen een onderzoek nou komen tot de juiste maatregelen? En welke acties kun je ondernemen om de betrokkenen zo goed mogelijk te beschermen? In deze module leer je de relatie tussen deze begrippen en kijken we welke acties en maatregelen zinvol zijn om in een bepaalde context te nemen.
De leerdoelen voor deze module zijn:
Je hebt kennis van de verschillende acties die mogelijk of noodzakelijk zijn om ter bescherming van de persoonsgegevens van betrokkenen in te zetten;
Je kent de relatie en afhankelijkheden tussen de verschillende acties;
Je weet welke actie binnen een bepaalde onderzoeks-context relevant of verplicht is om in te zetten.
Want hoe relevant is het eigenlijk dat je de juiste acties bepaalt? Onderstaand voorbeeld over de Covid-19 tests door de GGD in 2020 en 2021 geeft helder het belang weer van een zorgvuldige omgang met persoonsgegevens. Lees dit voorbeeld eens door en probeer voor jezelf steeds te bedenken welke acties men had kunnen en moeten nemen om de persoonsgegevens beter te beschermen.
In de spotlight
Dit artikel van de NOS maakt de impact duidelijk van een onzorgvuldige omgang met persoonsgegevens. Als je de corona-teststraat als een onderzoek ziet waarbij persoonsgegevens worden verwerkt (en zelfs bijzondere categorieën van persoonsgegevens zoals medische gegevens en het BSN) dan is de in het artikel gebleken omgang met deze persoonsgegevens om een aantal redenen niet ingericht volgens de AVG artikel 5 principes die wij kennen:
1. De vertrouwelijkheid van de gegevens is geschonden omdat iedereen die toegang had tot de database van U-Diagnostics tegelijkertijd toegang had tot alle gegevens van alle geteste personen. Tevens bleek het systeem niet goed beveiligd, waardoor derden bij de gegevens konden. Voorts werd er naast de database een WhatsApp groep gebruikt om landelijk informatie uit te wisselen. Dat schond opnieuw de vertrouwelijkheid aangezien nu ook op een ander platform een deel van de gegevens (zoals de foto, het paspoort etc) werd gedeeld met alle 300 gebruikers in de groep.
2. De proportionaliteit van de verzamelde gegevens was ook in het geding. Zo gaf de GGD zelf in hun privacyverklaring aan dat de volgende persoonsgegevens vereist waren ten behoeve van een corona test:
Voornaam & achternaam
Adres, of een andere plaats waar je bent als je niet thuis bent. Bijvoorbeeld op vakantie.
Geboortedatum
Of je man of vrouw bent, niet gespecificeerd of onbekend
Burger Service Nummer (BSN)
Telefoonnummer
E-mailadres
Je klachten
Streepjescode testbuisje
Uitslag van de coronatest
Eventueel: naam van de arts die de test aanvraagt
Of je direct contact hebt gehad met anderen
Of je gewerkt hebt, en zo ja in welke beroepsgroep je werkt
In het artikel van de NOS is te lezen dat kennelijk ook de reisbestemming en de opdrachtgever van de geteste persoon werd geregistreerd. Door deze gegevens te combineren was onder andere duidelijk welke militairen (paspoortnummer, BSN, adres) naar welke landen werden uitgezonden. Bovenstaand voorbeeld geeft aan dat als een organisatie niet de goede maatregelen neemt men in feite dus een datalek creëert: een ‘data breach by design’.
We hebben je uitgenodigd om vanuit het perspectief van ‘de betrokkene’ te kijken naar een voorbeeld van een actueel onderzoek. We gaan nu verder vanuit het perspectief van de onderzoeker en de onderzoeksondersteuner, waarbij we het perspectief van de onderzoeksdeelnemer (de betrokkene) meenemen in onze overwegingen.
Veel succes gewenst met deze module!
4.1 Register van verwerkingen
Het toevoegen van je verwerking van persoonsgegevens in een 'register van verwerkingen' is een van de laatste acties die je in een onderzoek uitvoert. Je ziet dat deze handeling dan ook hoort bij het laatste stationnetje op de Metro-kaart. Op deze pagina lees je alles over wat het register van verwerkingen precies is en wat jij en de onderzoeker er aan hebben.
Dit moet je minimaal weten over het register van verwerkingen:
een register van verwerkingen is verplicht om bij te houden indien je persoonsgegevens in onderzoek verwerkt.
iedere instelling mag zelf de structuur en technologie kiezen waarin het register wordt opgebouwd.
is de verwerking van persoonsgegevens in het ene onderzoek vergelijkbaar met de verwerking van persoonsgegevens in een onderzoek dat al in het register is opgenomen, dan mag je beide onderzoeken bundelen tot een 'categorie van verwerkingen'. Vergelijkbare onderzoeken hoef je dan alleen aan deze categorie te koppelen.
Wil je een uitgebreidere toelichting op wat een register van verwerkingen precies inhoudt en wat de voordelen ervan zijn, lees dan onderstaande teksten rustig door:
Verwerk je persoonsgegevens (bijvoorbeeld in een onderzoek), dan dien je volgens artikel 30 AVG een register van de verwerkingsactiviteiten die onder jouw verantwoordelijkheid plaatsvinden bij te houden. Een organisatie is vrij om dit naar eigen inzicht in te richten; de AVG zegt niets over de technologie of structuur die je daarvoor dient aan te houden. Voor een kleine organisatie met een beperkt budget zou bijvoorbeeld ook een Excel-document kunnen volstaan.
In een register van verwerkingen leg je conform artikel 30.1 a t/m g AVG van iedere verwerking de volgende gegevens vast:
a) de naam en de contactgegevens van de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming;
b) de verwerkingsdoeleinden;
c) een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
d) de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties;
e) indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen;
f) indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
g) indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1.
De AVG geeft in artikel 4 aan wat de wet onder een ‘verwerking’ verstaat:
Een verwerking is een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
Een onderzoek kun je zien als een geheel van bovenstaande verwerkingen. In een onderzoek gaat het om het verzamelen, ordenen, analyseren, structureren, (op termijn) vernietigen, communiceren, etc. van persoonsgegevens. Voor ieder type onderzoek zal dus een registratie in het register van verwerkingen nodig zijn. Het is niet noodzakelijk, maar wel mogelijk, om van elk individueel onderzoek een registratie in het register van verwerkingen op te nemen. De AVG laat namelijk ruimte met betrekking tot de granulariteit van de registratie: op het niveau van 'individuele verwerkingen' dan wel 'categorieën van verwerking’. De grond voor deze zienswijze is te vinden in de artikelen AVG Art 30. 2., AVG art 23. 2.a. en AVG art 23. 2.f.
Wat heb je er aan?
Een gestructureerd register van verwerkingen, waarin je als privacy officer snel de gewenste data terug kunt vinden, heeft als voordeel dat:
Indien er bij de Autoriteit Persoonsgegevens een klacht binnenkomt, er vanuit het register van verwerkingen direct in te zien is welke afwegingen er binnen een specifiek onderzoek gemaakt zijn. Ook is daarbij direct te zien welke waarborgen en maatregelen er met betrekking tot de bescherming van persoonsgegevens zijn genomen. Met een goed functionerend register van verwerkingen toon je direct aan dat je als organisatie ‘in control’ bent over alle verwerkingen van persoonsgegevens die onder jullie verantwoordelijkheid plaats hebben gevonden.
Bij veranderende wetgeving het register van verwerkingen direct inzicht kan bieden binnen welke onderzoeken bepaalde persoonsgegevens verwerkt zijn. Verandert bijvoorbeeld de wetgeving rondom BSN-nummers, dan moet je als privacy officer in een goed functionerend register van verwerkingen direct terug kunnen vinden binnen welke onderzoeken BSN-nummers gebruikt zijn. Zo ben je niet alleen voor de Autoriteit Persoonsgegevens, maar ook voor de eigen organisatie volledig ‘in control’ over alle verwerkte persoonsgegevens.
Indien de opzet van een onderzoek identiek is aan een al eerder uitgevoerd onderzoek (dus de aard van de verwerking is hetzelfde) dat valt dat onderzoek binnen een ‘categorie van verwerkingen’. Ieder vervolgonderzoek dat qua opzet binnen deze categorie valt hoeft daarmee in het register alleen het onderzoek te koppelen aan de al bestaande categorie; er hoeft geen volledig nieuwe registratie plaats te vinden, de genomen maatregelen en waarborgen komen immers overeen met de al eerder uitgevoerde onderzoek binnen de categorie. Dit versnelt het proces van registratie en scheelt veel werkzaamheden.
Zie hiertoe de granulariteit die de AVG hanteert met betrekking tot waarborgen tav 'individuele verwerkingen' dan wel 'categorieën van verwerking':
AVG art 23. 2.a. "de doeleinden van de verwerking of van de categorieën van verwerking”.
AVG art 23. 2.f "de opslagperiodes en de toepasselijke waarborgen, rekening houdend met de aard, de omvang en de doeleinden van de verwerking of van de categorieën van verwerking”.
AVG art 30. 2. "een register van alle categorieën van verwerkingsactiviteiten".
Grond 110 "doorgifte of categorieën van doorgiften van persoonsgegevens”.
Zo’n scenario kan er bijvoorbeeld als volgt uit zien, waarbij aan de hand van enkele aspecten van de verwerking een scenario ontstaat. Het bestand dat hieronder als afbeelding is weergegeven, is hier te downloaden.
In veel gevallen, zeker bij extern gefinancierd onderzoek, bestaat er voor de onderzoeker al de verplichting om een data management plan op te stellen voor het onderzoek. Een deel van de informatie die geregistreerd dient te worden in het register van verwerkingen staat ook al in het data management plan. Het verdient dus aanbeveling om met de data stewards en de privacy officers binnen de instelling te kijken waar overlap en dus dubbel werk voor de onderzoeker kan worden voorkomen. Hetzelfde speelt voor onderzoek dat door een ethische commissie of een internal review board wordt beoordeeld; deels wordt hier informatie verzameld die ook wordt gevraagd ten behoeve van een adequate registratie in het register van verwerkingen.
4.2 Toestemmingsverklaring
Een toestemmingsverklaring, ook wel 'consent form' genoemd, heb je in drie fasen van de voorbereiding van een onderzoek nodig. Op onderstaande Metro-kaart benoem je bij het station 'Toon naleving van de artikel 5 principes aan' dat je een toestemmingsverklaring nodig hebt, stel je bij het station 'Implementeer de benodigde technische en organisatorische maatregelen' de toestemmingsverklaring op en pas je bij het station 'Voer het onderzoek uit' de toestemmingsverklaring toe.
Op deze pagina lees je alles over wat de toestemmingsverklaring precies is en wat jij en de onderzoeker er aan hebben.
Dit moet je minimaal weten over de toestemmingsverklaring:
In het algemeen geldt voor het verwerken van bijzondere categorieën van persoonsgegevens dat de onderzoeksdeelnemer hiertoe vooraf toestemming voor dient te geven.
De toestemming in de zin van de AVG dient gebaseerd te zijn op daadwerkelijke “vrije” keuze.
De onderzoeksdeelnemer dient eerlijke, volledige en begrijpelijke informatie te ontvangen voorafgaand aan deelname aan het onderzoek en mag de toestemming ook weer intrekken gedurende het onderzoek.
Na intrekking van de toestemming door een onderzoeksdeelnemer heeft de onderzoeker geen wettelijke grondslag meer voor de (verdere) verwerking van de gegevens van de betreffende onderzoeksdeelnemer.
De onderzoeksdeelnemer dient actief zelf expliciet toestemming te gegeven door bijvoorbeeld het aanklikken of aankruisen van een vakje (online of op papier) of het mondeling uitspreken van toestemming.
In het geval van covert research of heimelijk onderzoek is het binnen bepaalde kaders toegestaan om de onderzoeksdeelnemer niet vooraf (volledig) over het doel van het onderzoek te informeren.
Wil je een uitgebreidere toelichting op wat een toestemmingsverklaring precies inhoudt en wat de voordelen ervan zijn, lees dan onderstaande teksten eens rustig door:
In het algemeen geldt voor het verwerken van bijzondere categorieën van persoonsgegevens dat hiertoe vooraf toestemming dient te worden gegeven door de onderzoeksdeelnemer. De UAVG Artikel 24 lid c (Uitzonderingen voor wetenschappelijk of historisch onderzoek of statistische doeleinden) stelt in dit geval duidelijk dat voor de verwerking van bijzondere categorieën van persoonsgegevens voor wetenschappelijk of historisch onderzoek of statistische doeleinden, het vragen van uitdrukkelijke toestemming aan onderzoeksdeelnemers de geijkte weg is of dat je als onderzoeker echt moet kunnen aantonen dat toestemming vragen aan onderzoeksdeelnemers onmogelijk is of een onevenredige inspanning kost.
Een voorbeeld van de onmogelijkheid van toestemming vragen is bijvoorbeeld als de persoon niet meer leeft (bijvoorbeeld bij een onderzoek naar de kwaliteit van een bepaalde medische behandeling, in relatie tot de kosten en de duur van de behandeling, waarbij een deel van de populatie zal zijn overleden), de contactgegevens niet te achterhalen zijn omdat iemand vaak is verhuisd of dakloos is.
Er is over het begrip “toestemming” een bekend misverstand, namelijk in de betekenis van de WGBO (Wet Geneeskundige Behandelovereenkomst) en in de betekenis van de AVG. Zie ook deze website van de AVG Helpdesk Zorg, waar men dieper ingaat op wanneer er aanvullende toestemming nodig is in de zorg. In de WGBO gaat het om toestemming voor een behandelplan of voor het delen van informatie uit het medisch dossier met derden (doorbreking medisch beroepsgeheim). Dit wordt ook wel ‘informed consent’ genoemd. In de AVG gaat het om “toestemming” als wettelijke grondslag voor de verwerking van persoonsgegevens en wordt vaak ten onrechte de WGBO term “informed consent” gebruikt.
De toestemming in de zin van de AVG (dus als wettelijke grondslag voor de verwerking van persoonsgegevens) dient gebaseerd te zijn op daadwerkelijke “vrije” keuze. Om die reden is het niet wenselijk om de onderzoeksdeelnemer grote vergoedingen in het vooruitzicht te stellen voor deelname aan een onderzoek. Dit is bijvoorbeeld ook de reden waarom er geen tegenprestatie of vergoeding is voor donaties aan de bloedbank in Nederland. Om ethische redenen wil je voorkomen dat bepaalde groepen, bijvoorbeeld financieel armlastige personen, zich ‘gedwongen’ zien om als deelnemer aan onderzoeken mee te doen, puur voor de geldelijke tegenprestatie.
Men acht toestemming ook niet geheel 'vrij' te kunnen geven in een hiërarchische relatie, bijvoorbeeld tussen werkgever en werknemer. De vraag is namelijk hoe vrij de werknemer zich echt voelt om ‘nee’ te zeggen tegen de werkgever en welke negatieve gevolgen dat kan hebben voor de werkrelatie. Hetzelfde geldt voor kwetsbare groepen: personen die afhankelijk zijn van anderen of van een behandeling kunnen redelijkerwijs niet vrij geacht worden verzoeken van deze derden of van de behandelaar te kunnen weigeren.
Er moet verder ook echt sprake zijn van een “keuze”, hetgeen betekent dat iemand eerlijke, volledige en begrijpelijke informatie dient te ontvangen voorafgaand aan deelname aan het onderzoek, op zo’n manier dat deze in de gelegenheid is om hier goed kennis van te nemen en op basis van die informatie te besluiten om al dan niet deel te nemen aan het onderzoek. De onderzoeksdeelnemer mag deze “keuze” gaandeweg ook aanpassen en dus de toestemming intrekken.
Bovenstaande heeft gevolgen voor de rechtmatigheid van de verwerking van de persoonsgegevens van deze onderzoeksdeelnemer. De gegevens die verwerkt zijn vanaf het moment van consent tot intrekking van dit consent zijn rechtmatig verwerkt, maar vanaf het moment van intrekking van dit consent is er geen wettelijke grondslag meer voor de (verdere) verwerking van de gegevens van de betreffende onderzoeksdeelnemer. Indien de wettelijke grondslag voor de verwerking van persoonsgegevens bijvoorbeeld ‘algemeen belang’ is, en niet toestemming, ontslaat dit de onderzoeker niet van het verstrekken van transparantie over doel van het onderzoek, wie toegang heeft tot de persoonsgegevens en hoe lang en welke risico’s er redelijkerwijs zijn voor de deelnemer.
Tenslotte dient de onderzoeksdeelnemer toestemming expliciet te gegeven door bijvoorbeeld het aanklikken of aankruisen van een vakje (online of op papier) of het mondeling uitspreken van toestemming, hetgeen kan worden opgenomen (audio) om desgevraagd bewijs te kunnen overleggen van het daadwerkelijk verleend hebben van toestemming. Er zijn, bijvoorbeeld in antropologisch onderzoek, verschillende contexten bekend waarbij onderzoeksdeelnemers niet geletterd zijn of vanwege wantrouwen jegens autoriteiten niet geneigd zijn om papieren te ondertekenen. Ook kan het zijn dat onderzoeksdeelnemers vanwege de vertrouwelijke en gevoelige aard van het onderwerp geen bewijs willen achterlaten van bijvoorbeeld overtuiging, gezindheid, seksuele geaardheid of lidmaatschap van een vakbond, dat door derden tegen hen kan worden gebruikt.
Een toestemmingsverklaring is een manier om toestemming te krijgen van deelnemers aan je onderzoek om hun persoonsgegevens te mogen verwerken. Hier zijn voorwaarden aan verbonden, zoals hierboven al uiteengezet. De AVG stelt hier in Grond 32 over:
Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Hiertoe zou kunnen behoren het klikken op een vakje bij een bezoek aan een internetwebsite, het selecteren van technische instellingen voor diensten van de informatiemaatschappij of een andere verklaring of een andere handeling waaruit in dit verband duidelijk blijkt dat de betrokkene instemt met de voorgestelde verwerking van zijn persoonsgegevens.
Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden. De toestemming moet gelden voor alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doeleinden dienen. Indien de verwerking meerdere doeleinden heeft, moet toestemming voor elk daarvan worden verleend. Indien de betrokkene zijn toestemming moet geven na een verzoek via elektronische middelen, dient dat verzoek duidelijk en beknopt te zijn en niet onnodig storend voor het gebruik van de dienst in kwestie.
De definitie van ‘toestemming’ is in de AVG te lezen in artikel 4.11:
„Toestemming” van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.
Met een toestemmingsverklaring geef je de betrokkenen inzage in het doel van het onderzoek, hoe je het onderzoek gaat aanpakken en hoe je omgaat met hun persoonsgegevens. Een toestemmingsverklaring is pas op te stellen nadat alle te nemen maatregelen in beeld zijn.
‘Toestemming’ is één van de zes rechtsgronden op basis waarvan een onderzoeker rechtmatig persoonsgegevens kan verwerken. De betrokkenen dienen dan ook voorafgaand aan een onderzoek de toestemmingsverklaring te lezen en ondertekenen, anders schaadt de onderzoeker de principes rechtmatigheid, behoorlijkheid en transparantie (AVG art 5.1.).
In bepaalde gevallen kan het vooraf moeten invullen van een toestemmingsverklaring het onderzoek schaden. In het geval van covert research of misleiding (zoals dit bij experimenteel onderzoek soms van belang is) waarbij men natuurlijk gedrag van betrokkenen bestudeerd en dit gedrag niet wil beïnvloeden is het niet wenselijk dat betrokkenen vooraf het doel van het onderzoek kennen. De risico’s voor betrokkenen in dergelijke onderzoeken dienen echter nog steeds te zijn geminimaliseerd en achteraf kan alsnog aan de verplichting tot transparantie worden voldaan door uitkomsten van het onderzoek met de betrokkenen te delen en hierbij helder te communiceren over doel en opzet van het onderzoek.
Bovenstaande betekent dat er voor onderzoek uitzonderingen zijn in het vastleggen van de toestemming van betrokkenen. Deze uitzonderingen zijn terug te vinden in Grond 33 AVG:
Het is vaak niet mogelijk op het ogenblik waarop de persoonsgegevens worden verzameld, het doel van de gegevensverwerking voor wetenschappelijke onderzoeksdoeleinden volledig te omschrijven. Daarom moet de betrokkenen worden toegestaan hun toestemming te geven voor bepaalde terreinen van het wetenschappelijk onderzoek waarbij erkende ethische normen voor wetenschappelijk onderzoek in acht worden genomen. Betrokkenen moeten de gelegenheid krijgen om hun toestemming alleen te geven voor bepaalde onderzoeksterreinen of onderdelen van onderzoeksprojecten, voor zover het voorgenomen doel zulks toelaat.
4.3 Gegevensbeschermingseffectbeoordeling (DPIA)
Een Gegevensbeschermingseffectbeoordeling (in het Engels een DPIA - Data protection impact assessment - genaamd) geeft je voorafgaand aan een onderzoek waarin persoonsgegevens worden verwerkt een beeld van de risico’s en stelt je in de gelegenheid deze risico’s te mitigeren, door passende technische en organisatorische maatregelen te nemen.
Op deze pagina lees je wat een DPIA is, wanneer je deze moet uitvoeren en wat je er aan hebt.
Een DPIA geeft je voorafgaand aan een onderzoek waarin persoonsgegevens worden verwerkt, een beeld van de risico’s en stelt je in de gelegenheid deze risico’s te mitigeren door passende technische en organisatorische maatregelen te nemen.
Zie ook: 2.17. Verplichting 2: 'Gegevensbeschermingseffectbeoordeling'.
Je kunt altijd een DPIA doen, maar in sommige gevallen moet je een DPIA doen. De Autoriteit Persoonsgegevens heeft in een Besluit inzake lijst van verwerkingen van persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is een aantal verwerkingen benoemd waarbij een DPIA verplicht is.
Een voorbeeld is “heimelijk onderzoek”. Normaliter doe je een DPIA wanneer en waarschijnlijk sprake is van een zogenaamde hoog risico verwerking. Hiervan is sprake als van de onderstaande 9 criteria 2 of meer van toepassing zijn op de voorgenomen verwerking (bron: pg 1 Besluit inzake lijst van verwerkingen van persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is):
1. Evaluatie of scoretoekenning
2. Geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg
3. Stelselmatige monitoring
4. Gevoelige gegevens of gegevens van zeer persoonlijke aard
5. Op grote schaal verwerkte gegevens
6. Matching of samenvoeging van datasets
7. Gegevens met betrekking tot kwetsbare betrokkenen
8. Innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische oplossingen
9. de situatie waarin als gevolg van de verwerking zelf “betrokkenen [...] een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst”;
Het doorlopen van deze negen criteria wordt ook wel eens een “pre-DPIA” genoemd. Hier vind je een voorbeeld van hoe zo’n pre-DPIA er in de praktijk beknopt uit kan zien, gecombineerd met het opvragen van informatie ten behoeve van het register van verwerkingen:
Een voorbeeld van een DPIA, uitgewerkt in een LCRDMtaakgroep voor onderzoek in de Social Sciences is hier online beschikbaar. Gevisualiseerd op een smartphone:
4.4 Anonimiseren
Naast maatregelen als encryptie en pseudonimisering is het anonimiseren van datasets een mogelijke maatregel om risico’s in de omgang met (gevoelige) persoonsgegevens te verminderen. Echter, bij het volledig anonimiseren van persoonsgegevens is er geen enkele mogelijkheid meer om een uniek persoon te identificeren en daarmee zijn de gegevens geen persoonsgegevens meer. Deze gegevens vallen daarmee nu ook niet meer binnen de kaders van de AVG, die alleen handelt over persoonsgegevens.
Je ziet op de Metro-kaart dat anonimiseren als maatregel op verschillende plekken in een onderzoekstraject terugkomt. Op deze pagina lees je wanneer een dataset daadwerkelijk 'anoniem' is en waar je rekening mee dient te houden indien je een dataset wilt anonimiseren.
Dit moet je minimaal weten over anonimiseren:
In een volledig geanonimiseerde dataset is een uniek persoon niet meer identificeerbaar.
Als een gegeven niet een geïdentificeerde of identificeerbare persoon betreft, dan is dat gegeven geen persoonsgegeven.
De bewijslast van wanneer gegevens ‘werkelijk anoniem’ zijn is een zware last, omdat gegevens in de loop van de tijd minder anoniem kunnen worden, bijvoorbeeld door een koppeling met een nieuwe dataset.
In de spotlight:
In de meeste gevallen betekent het volledig anonimiseren van persoonsgegevens een dusdanige verzwakking van de waarde van de dataset dat veel onderzoekers in overleg met de privacy officer kiezen voor alternatieve maatregelen, zodat de waarde van de dataset zoveel als mogelijk in stand blijft. In een volledig geanonimiseerde dataset is een uniek persoon niet meer identificeerbaar.
De AVG geeft in Grond 26 inzicht in hoe identificeerbaarheid gezien moet worden:
De beginselen van gegevensbescherming moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Gepseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, moeten als gegevens over een identificeerbare natuurlijke persoon worden beschouwd.
Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken. Om uit te maken of van middelen redelijkerwijs valt te verwachten dat zij zullen worden gebruikt om de natuurlijke persoon te identificeren, moet rekening worden gehouden met alle objectieve factoren, zoals de kosten van en de tijd benodigd voor identificatie, met inachtneming van de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen.
Als een gegeven niet een geïdentificeerde of identificeerbare persoon betreft, dan is dat gegeven geen persoonsgegeven. Omdat de AVG de verantwoorde omgang en bescherming van persoonsgegevens behelst, vallen anonieme gegevens, die niet herleidbaar zijn tot een natuurlijke persoon, dus buiten de scope van de AVG. Dit geldt dus ook voor persoonsgegevens die onomkeerbaar zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is. De AVG heeft derhalve geen betrekking op de verwerking van dergelijke anonieme gegevens, onder meer voor statistische of onderzoeksdoeleinden.
De bewijslast van wanneer gegevens ‘werkelijk anoniem’ zijn is een zware last, omdat gegevens in de loop van de tijd minder anoniem kunnen worden. Doordat namelijk meer bronnen beschikbaar komen die, aan elkaar gekoppeld, een bredere context kunnen schetsen van een groep, kan groepsontsluiting en re-identificatie van natuurlijke personen alsnog mogelijk worden. Gegegevens kunnen nu, op dit moment anoniem zijn, maar dat is geen garantie voor de anonimiteit van diezelfde gegevens over 5 jaar. De gezaghebbende Artikel 29-werkgroep (volledige naam 'De werkgroep voor de bescherming van personen in verband met de verwerking van persoonsgegevens') was een adviesorgaan dat bestond uit een vertegenwoordiger van de gegevensbeschermingsautoriteit van elke EU-lidstaat, de Europese Protection Supervisor en de Europese Commissie. Deze Artikel 29-werkgroep heeft in haar opinie, als nadere uitleg van de AVG, over anonimiseren de lastigheid met betrekking tot anonimiseertechnieken aangegeven:
Data controllers should consider that an anonymised dataset can still present residual risks to data subjects. Indeed, on the one hand, anonymisation and re-identification are active fields of research and new discoveries are regularly published, and on the other hand even anonymised data, like statistics, may be used to enrich existing profiles of individuals, thus creating new data protection issues. Thus, anonymisation should not be regarded as a one-off exercise and the attending risks should be reassessed regularly by data controllers.
Vandaar dat veiligheidshalve hier de algemene regel geldt dat onderzoekers bij twijfel direct contact op dienen te nemen met hun privacy officer binnen de instelling, om vervolgens gezamenlijk te bepalen of de genomen maatregelen daadwerkelijk tot anonieme gegevens hebben geleid en of daarmee de onderzoeksresultaten nog voldoende waarde bevatten. Het gaat hierbij steeds om de twee perspectieven die voor een onderzoeker gelden: aan de ene kant wil de onderzoeker een zo rijk mogelijke dataset en aan de andere kant dient de onderzoeker de verzamelde (gevoelige) persoonsgegevens zo goed als mogelijk te beschermen. Een onderzoeker kan dit mogelijk als een sterk contrast ervaren.
Een extreem voorbeeld hierbij kan een onderzoek betreffen waarbij de onderzoeker technologie voor gezichtsherkenning gebruikt. Indien de onderzoeker deze data wil anonimiseren door bijvoorbeeld alle gezichten te ‘blurren’, is daarmee de gehele dataset irrelevant. In zo’n geval is de onderzoeker meer gebaat bij maatregelen als het beperken van de toegang tot de dataset na afloop van het onderzoek en het duidelijk opnemen van specificaties met betrekking tot deze toegang in een toestemmingsformulier (‘consent form’), zodat ook voor de betrokken deelnemers vooraf duidelijk is wie na afloop van het onderzoek bij de data kan.
In dit voorbeeld bespreken we een onderzoek naar de werkelijke kosten van zorg wanneer patiënten aan twee of meer – vaak chronische – ziekten lijden (multimorbiditeit). In dit soort onderzoek gaat het er niet om welke persoon welke ziektebeelden heeft, maar dat een patiënt meerdere ziektebeelden heeft en bijbehorende behandelingen ondergaat. Er wordt dan gewerkt met voor de onderzoeker niet-herleidbare pseudoniemen van patiënten, bepaalde zorgprofielen, deelname aan bepaalde ketenzorgprogramma’s, gecodeerde gegevens voor bijvoorbeeld instellingen die bij de behandeling betrokken zijn en data over daadwerkelijk zorggebruik.
Met zo’n beschrijving van een onderzoek worden mensen vaak zenuwachtig en wordt al snel geroepen dat hier sprake is van medische gegevens en dus van bijzondere categorieën van persoonsgegevens die een verhoogd regime van bescherming vereisen. Als echter goed is nagedacht over hoe privacy al is meegenomen in het ontwerp van het onderzoek, zoals hier met niet-herleidbare (!) pseudoniemen, dan hebben we te maken met anonieme gegevens en gerelateerde gecodeerde gegevens.
Anonieme gegevens zijn geen persoonsgegevens en vallen buiten de AVG. Je wilt dus vooral goede afspraken maken om de risico’s van re-identificatie op basis van koppelingen van datasets te voorkomen. Voor dit onderzoek past het dus om ‘normale’ maatregelen in plaats te hebben voor de verwerking van gegevens.
Je zou bijvoorbeeld ook kunnen besluiten van de patiëntendata een synthetische dataset te maken, die statistisch gezien dezelfde eigenschappen heeft en dus even geschikt is voor het onderzoek, maar dus geen persoonsgegevens betreft. Dit voorbeeld laat daarmee zien dat een goede risicoanalyse voorafgaand aan het onderzoek al direct de juiste, proportionele maatregelen in kaart brengt.
Er worden dus geen Excel-bestanden met persoonsgegevens en behandelgegevens verzameld bij instellingen die betrokken zijn bij zorg van bepaalde patiënten, waarbij de onderzoeker zelf data koppelt op basis van bijvoorbeeld het BSN-nummer van de patiënt. Dat zou namelijk een voorbeeld zijn van onverantwoorde omgang met persoonsgegevens. En een onderzoeker kan, zoals we eerder zagen, niet rechtmatig het BSN verwerken.
4.5 Pseudonimiseren
Pseudonimisering is een van de maatregelen die een onderzoeker kan nemen om persoonsgegevens te transformeren tot een dataset die niet meer direct herleidbaar is tot een persoon. Het is een maatregel die op verschillende momenten in een onderzoekstraject een rol speelt, zoals je in onderstaande Metro-kaart kunt zien.
Op deze pagina lees je wat pseudonimisering precies is, hoe je het kunt toepassen en bieden we je een overzicht van interessante bronnen voor verdere verdieping.
Dit moet je minimaal weten over pseudonimiseren:
Gepseudonimiseerde persoonsgegevens zijn binnen de AVG 'persoonsgegevens' indien ze door het gebruik van aanvullende gegevens aan een natuurlijke persoon te koppelen zijn.
Bij pseudonimiseren van gegevens wordt in de regel gebruik gemaakt van een bronbestand met persoonsgegevens en een doelbestand, dat door middel van bepaalde statistische bewerkingen of andere pseudonimiseringstechnieken is gepseudonimiseerd. Er is in de regel een zogenaamd sleutelbestand op basis waarvan de onderzoeker van het gepseudonimiseerde bestand altijd terug kan naar het bronbestand.
Bij pseudonimisering wordt in de regel het zogenaamde ‘vier ogen principe’ toegepast. Hierbij hebben altijd twee personen toegang tot het sleutelbestand, om zo voldoende transparantie te kunnen bieden en aan te kunnen tonen dat in het onderzoek geen inbreuk op de wetenschappelijke integriteit heeft plaatsgevonden.
In de spotlight:
Gepseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, moeten als gegevens over een identificeerbare natuurlijke persoon worden beschouwd. (AVG recital 26).
De toepassing van pseudonimisering op persoonsgegevens kan de risico's voor de betrokkenen verminderen en de verwerkingsverantwoordelijken en de verwerkers helpen om hun verplichtingen inzake gegevensbescherming na te komen. De uitdrukkelijke invoering van 'pseudonimisering' in deze verordening is niet bedoeld om andere gegevensbeschermingsmaatregelen uit te sluiten. (AVG recital 28).
In de praktijk worden bij het pseudonimiseren van gegevens, bepaalde persoonsgegevens weggelaten of vervangen. Er zijn veel verschillende technieken om dit laatste te doen, afhankelijk van de vraag of deze gegevens nog voor statistische doeleinden dienen te worden gebruikt. Zo kan een specifieke leeftijd (dag/maand/jaar) door te veralgemeniseren worden vervangen door een reeks van jaren (geboren in jaar x tot x+5), waardoor het datapunt ‘geboortejaar’ wel voor statistische doeleinden behouden blijft.
Je kunt bijvoorbeeld ook randomiseren, bijvoorbeeld door de waarde voor ‘achternaam’ willekeurig te vervangen door een andere achternaam. Of door de achternaam te vervangen door een reeks getallen. Ook kun je bijvoorbeeld waarden vervangen door een zogenaamde ‘hash’; het toepassen van een berekening (cryptografische hashfunctie) om gegevens van verschillende omvang te veranderen naar gegevens met dezelfde omvang. Hierdoor kun je niet raden wat de invoer was.
In de ISO standaard: ISO/IEC STANDARD 20889: Privacy enhancing data de- identification terminology and classification of techniques worden de volgende de-identificatie technieken onderscheiden:
1. Statistical tools (Sampling, Aggregation),
2. Cryptographic tools (Deterministic encryption, Order-preserving encryption, Format-preserving encryption, Homomorphic encryption, Homomorphic secret sharing),
3. Suppression techniques (Masking, Local suppression, Record suppression)
4. Pseudonymization techniques (Selection of attributes, Creation of pseudonyms)
5. Anatomization
6. Generalization techniques (Rounding, Top and bottom coding, Combining a set of attributes into a single attribute, Local generalization)
7. Randomization techniques (Noise addition, Permutation, Microaggregation)
8. Synthetic data
Bij pseudonimiseren van gegevens wordt in de regel gebruik gemaakt van een bronbestand met persoonsgegevens en een doelbestand dat door middel van bepaalde statistische bewerkingen of andere pseudonimiseringstechnieken is gepseudonimiseerd. Er is in de regel een zogenaamd sleutelbestand op basis waarvan de onderzoeker van het gepseudonimiseerde bestand altijd terug kan naar het bronbestand. Bijvoorbeeld omdat een deelnemer aan het onderzoek heeft aangegeven te willen worden geïnformeerd, als uit het onderzoek blijkt dat er sprake kan zijn van een erfelijke afwijking.
Voor het onderzoek zelf is de verwerking van gepseudonimiseerde gegevens het meest geschikt, vanuit het oog van zowel de analyse zelf (de naam van de betrokkene is voor de analyse niet nodig) als de bescherming van de persoonsgegevens (personen die de analyse uitvoeren hebben niet per definitie het recht om toegang te krijgen tot de persoonsgegevens van de betrokken onderzoeksdeelnemer). De hoofdonderzoeker (die bijvoorbeeld in een toestemmingsformulier de mogelijkheid heeft aangeboden om informatie te verstrekken aan de betreffende onderzoeksdeelnemer) moet echter vanuit de gepseudonimiseerde gegevens weer kunnen herleiden wie de betreffende onderzoeksdeelnemer was. Bijvoorbeeld ten behoeve van de afgesproken gerichte communicatie.
Vanuit het belang van bescherming van persoonsgegevens is de toegang tot het hierboven genoemde ‘sleutelbestand’ zeer beperkt. Vanuit het perspectief van wetenschappelijke integriteit wordt in de regel het zogenaamde ‘vier ogen principe’ toegepast, waarbij nooit alleen één persoon maar twee personen toegang hebben tot dit sleutelbestand. Dit om zo voldoende transparantie te kunnen bieden en aan te kunnen tonen dat in het onderzoek (bijvoorbeeld bij de dataverzameling) geen sprake is geweest van een inbreuk op de wetenschappelijke integriteit.
1. Zie deze infographic ‘basisstappen pseudonimiseren bij kleinschalig kwantitatief onderzoek’, van de LCRDM Taakgroep Pseudonimisering van het Landelijk Coördinatiepunt Research Data Management (LCRDM). Het Landelijk Coördinatiepunt Research Data Management is een landelijk netwerk van experts op het gebied van research data management (rdm).
2. Zie deze handreiking met betrekking tot de ‘Omgang met pseudonimisering en sleutelbestanden bij kleinschalig onderzoek’, van de LCRDM Taakgroep Pseudonimisering van het Landelijk Coördinatiepunt Research Data Management (LCRDM). Het Landelijk Coördinatiepunt Research Data Management is een landelijk netwerk van experts op het gebied van research data management (rdm).
3. Zie deze white paper over het Five Safes framework, van Privacy Analytics, dat ook ten grondslag lag aan de handreiking onder (2) hierboven.
4. Zie deze aanbevelingen van ENISA: Recommendations on shaping technology according to GDPR provisions. An overview on data pseudonymisation. 2018. Het Agentschap van de Europese Unie voor cyberbeveiliging, (European Union Agency for Cybersecurity (ENISA)), streeft ernaar een hoog niveau van cyberbeveiliging in heel Europa te bereiken.
5. Zie deze ISO standaard: ISO/IEC STANDARD 20889: Privacy enhancing data de- identification terminology and classification of techniques.
5. AVG
“Deze verordening eerbiedigt alle grondrechten alsook de vrijheden en beginselen die zijn erkend in het Handvest zoals dat in de Verdragen is verankerd, met name de eerbiediging van het privéleven en het familie- en gezinsleven, woning en communicatie, de bescherming van persoonsgegevens, de vrijheid van gedachte, geweten en godsdienst, de vrijheid van meningsuiting en van informatie, de vrijheid van ondernemerschap, het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht, en het recht op culturele, godsdienstige en taalkundige verscheidenheid.”
Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Een wet met een lange geschiedenis die men ook wel eens de 'privacy-wet' noemt. Maar is dat wel terecht, want wat is privacy eigenlijk? En hoe verhoudt ‘privacy’ zich tot ‘gegevensbescherming’? In deze module ontdek je hoe de AVG aansluit op het fundamentele recht op privacy en leer je wanneer en hoe de AVG van kracht is.
Een bijzondere wet dus, die AVG! Om te ontdekken welke onderwerpen in deze module allemaal aan bod komen en om je voorkennis te testen starten we weer met een korte quiz. Succes!
[Quiz – 15 vragen, Q1 t/m Q15 – juiste antwoord in vet]
Q1 Wat betekent het begrip ‘informationele privacy’?
· Het recht om informatie over jouw privacy op te kunnen vragen
· Het recht om zelf te kunnen beslissen over je eigen persoonsgegevens
· Het recht om persoonsgegevens digitaal in te kunnen zien indien je dat wenst
· Het recht om je persoonsgegevens te laten verwijderen bij een organisatie
Q2 Privacy is een fundamenteel mensenrecht. Welke wet gaat NIET over de bescherming van onze privacy?
· Het Handvest van de grondrechten van de Europese Unie (2012)
· De Universele Verklaring van de Rechten van de Mens (1948)
· De Wet op het Hoger Onderwijs en Wetenschappelijk Onderzoek (WHW)
· De Uitvoeringswet Algemene verordening gegevensbescherming (2020)
Q3 Betekenen de begrippen ‘privacy’ en ‘gegevensbescherming’ hetzelfde?
· Nee. Privacy komt in de AVG hoofdtekst niet als begrip voor
· Ja. In de AVG worden deze begrippen door elkaar gebruikt
· Ja. Privacy is een onderdeel van gegevensbescherming
· Nee. Gegevensbescherming is slechts een onderdeel van het bredere begrip privacy
Q4 Wat is het verschil tussen ‘klassieke’ en ‘sociale’ grondrechten?
· Klassieke grondrechten zijn alle grondrechten zoals deze in 1848 zijn vastgelegd en sociale grondrechten omschrijven de rechten van burgers op zorg
· Klassieke grondrechten beperken de macht van de overheid en sociale grondrechten zijn verplichtingen die de overheid heeft ten opzichte van de burger
· Klassieke grondrechten beperken de macht van de overheid en sociale grondrechten omschrijven de rechten van burgers op zorg
· Klassieke grondrechten zijn alle grondrechten zoals deze in 1848 zijn vastgelegd en sociale grondrechten omvatten alle rechten op een sociaal vangnet
Q5 EU-Lidstaten worden geacht om aanvullend op de AVG, nationale implementatiewetgeving vast te stellen, met daarin opgenomen nadere bepalingen, geldend in de betreffende Lidstaat. Hoe heet deze wet in Nederland?
· De SAVG (Sleepwet AVG)
· De IAVG (Implementatiewet AVG)
· De NAVG (Nationale wet AVG)
· De UAVG (Uitvoeringswet AVG)
Q6 Welke hiërarchie in onze wetgeving geldt er m.b.t. de bescherming van persoonsgegevens?
· 1. de AVG, 2. de Nederlandse Grondwet, 3. de UAVG, 4. Handvest van de grondrechten van de Europese Unie
· 1. de Nederlandse Grondwet, 2. Handvest van de grondrechten van de Europese Unie, 3. de AVG, 4. de UAVG
· 1. Handvest van de grondrechten van de Europese Unie, 2. de AVG, 3. de Nederlandse Grondwet, 4. de UAVG
· 1. de Nederlandse Grondwet, 2. de UAVG, 3. Handvest van de grondrechten van de Europese Unie, 4. de AVG
Q7 Welk risico loopt een onderzoeker indien deze (bijvoorbeeld bij een klacht van een betrokkene) geen gedegen bewijslast m.b.t. de genomen maatregelen ter bescherming van de persoonsgegevens in het onderzoek kan aanleveren bij de Autoriteit Persoonsgegevens?
· Een boete en mogelijk stopzetting van het onderzoek
· Een boete en mogelijk het ontslag van de onderzoeker
· Een boete en een tijdelijke ontneming van de titels van de onderzoeker
· Stopzetting van het onderzoek en mogelijk het ontslag van de onderzoeker
Q8 Wat is het doel van de AVG?
· Het stimuleren van het vrije verkeer van gegevens, inclusief persoonsgegevens en de bescherming van deze persoonsgegevens.
· De bescherming van persoonsgegevens van alle EU-burgers
· De bescherming van persoonsgegevens en het optimaliseren van de privacy van alle EU-burgers
· Het stimuleren van het vrije verkeer van gegevens, inclusief persoonsgegevens en daarmee het maximaliseren van de privacy van alle EU-burgers
Q9 Het recht op privacy is een fundamenteel mensenrecht. Is het recht op privacy daarmee ook een ‘absoluut’ recht?
· Nee. Alleen tijdens een GRIP-5 situatie mag het grondrecht op privacy terzijde geschoven worden ten gunste van andere grondrechten
· Ja. Het grondrecht op privacy prevaleert boven alle andere grondrechten
· Nee. Er moet altijd een afweging ten aanzien van andere grondrechten zijn. Zo kan de nationale veiligheid in sommige situaties bijvoorbeeld prevaleren boven het recht op privacy
· Ja. Er kunnen geen zwaarwegende redenen zijn om het grondrecht op privacy te beperken, zoals aangegeven in artikel 7 van het Handvest van de grondrechten van de Europese Unie
Q10 De AVG is een ‘algemene verordening’. Wat betekent dit?
· De AVG is techniekneutraal en zegt niks over technische standaarden en normen
· De AVG algemeen van strekking en zegt niks over nationale wetgeving
· De AVG stelt hoe het in het algemeen zou moeten zijn maar nationale wetgeving kan daarvan afwijken
· De AVG is opgesteld op basis van open normen en is techniekneutraal
Q11 De AVG is een ‘principe gebaseerde wet’. Wat betekent dit?
· Dat een onderzoeker vanuit de geformuleerde principes steeds moeten kijken welke maatregelen nodig zijn om de persoonsgegevens binnen een specifieke onderzoekscontext zo goed als mogelijk te beschermen
· Dat een onderzoeker geen houvast aan de AVG heeft, aangezien deze alleen algemene principes beschrijft
· Dat een onderzoeker de in de AVG geformuleerde principes moet volgen om een onderzoek succesvol af te kunnen ronden
· Dat een onderzoeker iedere maatregelen om persoonsgegevens te beschermen mag implementeren, zolang deze de principes uit de AVG niet schaadt
Q12 De AVG is ‘techniekneutraal’. Wat[MOU5] betekent dit?
· De AVG is techniekneutraal aangezien iedere onderzoeksinstelling verschillende technologieën gebruikt
· De ontwikkeling van de technologie gaat zo snel, dat iedere concretisering van welk type technologie men zou moeten inzetten zou betekenen dat een onderzoeksinstelling regelmatig hun ICT zou moeten upgraden
· De AVG is techniekneutraal aangezien men anders specifieke commerciële partijen een concurrentievoordeel zou bieden
· De ontwikkeling van de technologie gaat zo snel, dat iedere concretisering van welk type technologie men zou moeten inzetten, vanwege die technologische ontwikkeling, per definitie achterhaald zal zijn
Q13 Wat zegt de AVG over nieuwe technologieën zoals kunstmatige intelligentie en machine learning?
· De AVG is dan wel techniekneutraal, maar beschrijft wel duidelijk de richting qua maatregelen bij ontluikende nieuwe technologieën
· Niks. Door jurisprudentie op deze gebieden zal blijken hoe deze nieuwe technologieën zich verhouden tot de principes uit de AVG
· De AVG geeft bij deze nieuwe technologieën duidelijk aan welke technische en organisatorische maatregelen nodig zijn om persoonsgegevens zo goed mogelijk te beschermen
· De AVG is een ‘algemene verordening’ en beschrijft daarmee ook alleen in algemene termen hoe om te gaan met deze nieuwe technologieën
Q14 Welk onderscheid in landen maakt de AVG met betrekking tot internationale samenwerking?
· 1. EU-lidstaten, 2. Zwitserland, Noorwegen en de UK, 3. landen buiten de EU
· 1. EU-lidstaten, 2. landen buiten de EU, landen buiten de VN
· 1. EU-lidstaten, 2. landen in de Europese Economische Ruimte (EER), 3. landen buiten de EU en de EER
· 1. Landen in de Europese Economische Ruimte (EER), 2. landen buiten de EU en de EER, 3. landen buiten de VN
Q15 Wat betekent het ‘adequaatheidsbesluit’ in de context van internationale samenwerking binnen de AVG?
· Dat alleen landen die een dergelijk ‘besluit’ hebben ontvangen persoonsgegevens van EU-burgers mogen verwerken
· Dat alleen landen die een dergelijk ‘besluit’ hebben ontvangen in aanmerking komen om binnen de Europese Economische Ruimte opgenomen te worden
· Dat overdrachten van persoonsgegevens naar landen die van de EU een ‘adequaatheidsbesluit’ hebben ontvangen aan minder strenge regelgeving onderhevig zijn
· Dat overdrachten van persoonsgegevens naar het land in kwestie door de Europese Commissie zijn gelijkgesteld met de overdracht van persoonsgegevens binnen de EU
Leerdoelen
De AVG omvat ruim 150 pagina's waarin 99 artikelen de juridische omgang met onze persoonsgegevens beschrijven. In deze module leer je de belangrijkste principes en artikelen uit de AVG met betrekking tot het uitvoeren van wetenschappelijk onderzoek kennen en gaan we dieper in op:
het verschil tussen privacy en gegevensbescherming;
het doel en de werking van de AVG, ook in een internationale context;
de redenen waarom de AVG 'techniekneutraal' is.
Veel succes!
5.1 De scope van de AVG
De AVG kent een drietal beperkingen als het gaat om persoonsgegevens: de toepasbaarheid op levende personen, de 'huishoudelijke exceptie' en het territoriale toepassingsgebied. In dit laatste hoofdstuk bespreken we deze beperkingen in het kort.
1. De toepasbaarheid op levende personen
De AVG geldt alleen voor levende natuurlijke personen; de AVG is niet van toepassing op personen die overleden zijn of op gegevens over organisaties. Dus voor historisch onderzoek, archiefonderzoek etc. waarin overleden personen een rol spelen, geldt de AVG niet.
De AVG is echter wel weer van toepassing op bijvoorbeeld historische medische gegevens met betrekking tot erfelijkheid. Deze gegevens kunnen mogelijk toch iets zeggen over unieke levende personen. Een ander voorbeeld zijn gegevens uit een dagboek van iemand die overleden is; deze informatie uit het dagboek kan mogelijk toch iets zeggen over levende familieleden.
2. De huishoudelijke exceptie
De AVG kent een ‘Huishoudelijke exceptie’: alle persoonsgegevens die je in de privésfeer opslaat en deelt, vallen niet onder de AVG (Artikel 2.2c):
Deze verordening is niet van toepassing op de verwerking van persoonsgegevens: door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit.
Zou je dus per ongeluk een lijst met e-mailadressen van familieleden naar een verkeerd persoon sturen, dan is dat geen datalek dat melding bij de Autoriteit Persoonsgegevens behoeft. Andere voorbeelden van de huishoudelijke exceptie zijn bijvoorbeeld een beveiligingscamera van je huis, een telefoonboekje met adresgegevens van familieleden, een post-it op een thuiscomputer met telefoonnummers van vrienden erop en een lijst met e-mailadressen van alle trainers van de voetbalclub die je op je eigen computer bewaart. Deze persoonsgegevens vallen niet onder de AVG. De AVG is echter wel weer van toepassing indien de voetbalclub zelf de lijst met e-mailadressen binnen de organisatie bewaart.
Zie ook de nadere toelichting op de website van de Autoriteit Persoonsgegevens.
3. Het territoriale toepassingsgebied
Bovenstaande twee punten hebben betrekking op het materiële toepassingsgebied zoals benoemd in artikel 2 AVG: de betrokkene leeft en de verwerking van persoonsgegevens gebeurt in de werksfeer. Naast het materiële toepassingsgebied is er ook nog het territoriale toepassingsgebied, zoals omschreven in artikel 3 AVG. Dit artikel zegt dat gegevens van EU-ingezetenen zijn beschermd door de AVG, ongeacht wie die verwerking doet. Een bedrijf uit Japan dat bijvoorbeeld Europese klanten heeft, moet zich dus ook aan de AVG houden, zoals omschreven in Grond 23 AVG:
Om te waarborgen dat natuurlijke personen niet de bescherming wordt onthouden waarop zij krachtens deze verordening recht hebben, dient deze verordening van toepassing te zijn op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden, door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker wanneer de verwerking verband houdt met het aanbieden van goederen of diensten aan deze betrokkenen, ongeacht of dit verband houdt met een betaling.
Verder zegt dit artikel dat organisaties die persoonsgegevens verwerken in de EU zijn gevestigd onder de AVG vallen, ook als die verwerkingen zelf buiten de EU plaatsvinden. Tenslotte zegt dit artikel dat wanneer een organisatie gedrag van EU-ingezetenen monitort, ‘dat verband houdt met het controleren van het gedrag van de betrokkenen voor zover zich dat binnen de Unie situeert’ (AVG Grond 24),
Dus ook voor een EU-ingezetene die bijvoorbeeld gebruik maakt van diensten als Facebook of Google en via die diensten gemonitord wordt, geldt bescherming van de AVG. Om die reden krijgen bijvoorbeeld deze organisaties, die hun hoofdkantoor buiten de EU hebben gevestigd, ook boetes toegekend. Bedrijven als Google en Facebook hebben in verschillende EU-landen al hoge boetes moeten betalen naar aanleiding van uitspraken van nationale privacy autoriteiten.
5.2 Privacy en gegevensbescherming
“Ik heb niks te verbergen!” Het is een veelgehoorde uitspraak als het om privacy gaat. Het lijkt ook te blijken uit de grote hoeveelheid persoonlijke informatie die zowel jongeren als ouderen in woord en beeld op bijvoorbeeld sociale media plaatsen. Kijk maar eens hoe makkelijk mensen allerlei gevoelige informatie prijsgeven:
[Video still, link naar video https://youtu.be/YNPI6B-BUW4)
Aan de andere kant geven mensen aan veel waarde aan hun privacy te hechten. De discussie rondom de ‘Corona-app’, waarmee mensen een melding krijgen indien zij in de buurt van een besmet persoon zijn geweest, laat zien dat privacy als onderwerp nog steeds springlevend is. Dit wordt de ‘privacy-paradox’ genoemd: een interessant fenomeen om dit hoofdstuk over de AVG mee te starten.
5.2.1 Privacy paradox
De ‘privacy-paradox’ is het fenomeen waarbij mensen zeggen dat ze privacy hoog in het vaandel hebben staan, maar in hun gedrag hun persoonsgegevens zonder veel afwegingen inruilen voor ‘gratis’ producten en diensten of geen maatregelen nemen om hun privacy te beschermen.
Hoogleraar Rechten aan de George Washington University Law School Daniel J. Solove noemt de ‘privacy-paradox’ echter een mythe die is ontstaan door een verkeerde logica. Solove geeft aan dat mensen beslissingen nemen over persoonlijke privacy-risico's in zeer specifieke contexten. Hij stelt dat de opvattingen over privacy-risico’s of over de waarde die men aan privacy hecht vaak juist veel algemener van aard zijn. Deze twee niveaus - risico’s in specifieke context en in het algemeen - lopen bij de privacy-paradox dus door elkaar, stelt Solove.
Het recht om zelf te kunnen beslissen over je eigen persoonsgegevens, het recht zelf te kunnen bepalen welke persoonlijke gegevens we met wie delen, voor welk doel en voor hoe lang; dat heet de ‘informationele privacy’. En als dat voor de ene persoon betekent dat hij dagelijks video’s met gevoelige persoonsgegevens op social media plaatst, dan is dat prima. Hiermee heeft deze persoon niet meer of minder recht op ‘privacy’; juist het feit dat deze persoon zelf keuzes kan maken in wat hij of zij wel of niet deelt met anderen is ‘privacy’. Ieder mens bepaalt dus zelf de mate van privacy die men wenst. Er ontstaan privacy-issues indien mensen niet weten dat hun persoonsgegevens buiten hun eigen keuzes om worden verzameld of gedeeld.
In de spotlight:
Een tot de verbeelding sprekend voorbeeld is de Koppie Koppie website waar je koffiemokken kon bestellen met random foto’s van minderjarige kinderen die afkomstig zijn van Flickr. Koppie Koppie is een project van ontwerper Yuri Veerman en journalist Dimitri Tokmetzis. Het maakt onderdeel uit van de bewustwordingscampagne Iedereen Spion, een initiatief van SETUP Utrecht.
Formeel hadden de mensen die foto’s van hun kinderen hebben gepost op Flickr, als zij de terms of service van Flickr zouden hebben gelezen, die echter zo zijn geschreven dat ze in de praktijk niet gelezen worden (lang, technisch taalgebruik) dat foto’s op Flickr mogen worden hergebruikt door derden, ook voor commerciële doeleinden. Het Koppie Koppie voorbeeld toont aan dat een gebrek aan transparantie over privacyrisico's bij de dienst Flickr kan leiden tot een privacy-issue. De ouders stellen deze foto’s niet bewust ter beschikking voor de verkoop van koffiemokken door derden met foto’s van hun minderjarige kind.
In september 2020 ontstond er commotie toen testmateriaal, verzameld door de GGD’s, naar Abu Dhabi, in de Verenigde Arabische Emiraten, werd gestuurd omdat de labs in Nederland de werkdruk niet meer aankonden. Uiteindelijk bleek de verwerking in Abu Dhabi ook niet geheel in orde te zijn, maar werd met het argument 'overmacht' toch doorgezet.
Het testmateriaal zelf zijn geen gegevens, maar leiden tot persoonsgegevens. Zelfs tot gezondheidsgegevens, dus een bijzondere categorie van persoonsgegevens betreft die extra bescherming vereist. Het afnemen van het testmateriaal is een privacy onderwerp in bredere zin, dus breder dan alleen de ‘informationele’ kant er van. Het valt in eerste instantie onder Artikel 11 van de Nederlandse Grondwet: Onaantastbaarheid lichaam. Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op onaantastbaarheid van zijn lichaam. In de uitleg van dit artikel staat duidelijk:
Dit artikel hoort bij artikel 10 (Recht op privacy). Iedereen is de baas over zijn eigen lichaam. De overheid mag niets met je lichaam doen, als je dat niet wilt. Ook anderen mogen niets met je lichaam doen, als je dat niet wilt. Niemand mag je bijvoorbeeld pijn doen. Ook mag niemand je medicijnen geven, als je dat niet wilt. Zelfs medische keuring, of het knippen van je haren mag niet, als je daarvoor geen toestemming geeft.
Voor de verdere bescherming van het ‘respect voor en de waarborg van de menselijke waardigheid’ is onder andere de Wet op de geneeskundige behandelingsovereenkomst (WGBO) opgesteld.
5.2.2 Rechten van de mens
Waarom maken we ons eigenlijk druk om privacy en de bescherming van onze persoonsgegevens? Omdat mensen fundamentele rechten hebben, zoals het recht op privacy. Dit recht is onder andere vastgelegd in de Nederlandse Grondwet.
De Grondwet legt de grondrechten van burgers vast, zoals je kunt zien in deze video:
[Video still, link naar video https://youtu.be/sVJaAt9mupg]
Waarom maken we ons eigenlijk druk om privacy en de bescherming van onze persoonsgegevens? Omdat mensen fundamentele rechten hebben, zoals het recht op privacy. Dit recht is onder andere vastgelegd in de Nederlandse Grondwet.
De Grondwet legt de grondrechten van burgers vast, zoals je kunt zien in deze video:
Informationele privacy is het recht om zelf te bepalen welke gegevens je hoe en met wie deelt, voor welk doel en voor hoe lang. Dit zelfbeschikkingsrecht voor de verwerking van jouw persoonsgegevens kan alleen bestaan indien dat recht beschermd wordt. Daartoe is de Algemene verordening gegevensbescherming (AVG) in het leven geroepen. Men gebruikt privacy en gegevensbescherming vaak als synoniem, maar gegevensbescherming is maar één onderdeel van privacy en alleen gerelateerd aan de verwerking van persoonsgegevens.
Privacy is een fundamenteel mensenrecht, zoals opgenomen in:
Artikel 7 De eerbiediging van het privé-leven en van het familie- en gezinsleven
Eenieder heeft recht op eerbiediging van zijn privé-leven, zijn familie- en gezinsleven, zijn woning en zijn communicatie.
Artikel 8 De bescherming van persoonsgegevens
1. Eenieder heeft recht op bescherming van zijn persoonsgegevens.
2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht van inzage in de over hem verzamelde gegevens en op rectificatie daarvan.
3. Een onafhankelijke autoriteit ziet erop toe dat deze regels worden nageleefd.
(bron)
Artikel 10: Privacy
1. Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer.
2. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens.
3. De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens.
(bron)
Het onderscheid tussen het bredere onderwerp “privacy” en het specifieke deel “gegevensbescherming” daarbinnen, is duidelijk te zien in het onderscheid dat wordt gemaakt in artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie; alleen het laatste artikel gaat over bescherming van persoonsgegevens.
In de Algemene Verordening Gegevensbescherming is vervolgens vastgelegd hoe iemand zijn of haar privacy rechten kan uitoefenen en welke verantwoordelijkheden daar tegenover staan bij de verwerking van persoonsgegevens. Verder benoemt de AVG de principes die hierbij gehanteerd dienen te worden: de Beginselen inzake verwerking van persoonsgegevens - zie: Artikel 5 AVG. Vervolgens kan een EU lidstaat, aanvullend op de AVG in bepaalde gevallen nadere regels opstellen, in zogenaamde nationale implementatiewetgeving. In Nederland is dit ook gebeurd en deze nationale implementatiewetgeving is per 01-01-2020 van kracht en heet Uitvoeringswet AVG, ook wel UAVG genoemd.
In de hier volgende hoofdstukken gaan we dieper in op het algemene en fundamentele recht op privacy en het deel daarbinnen dat ook wel informationele privacy wordt genoemd en is beperkt tot bescherming van persoonsgegevens.
In de spotlight:
Een recent voorbeeld in dit kader zijn de kritische geluiden van de Raad van State op de door de overheid voorgenomen noodmaatregelen en de beperking, door die maatregelen, van grondrechten door de wereldwijde Covid-19 pandemie (zie: Raad van State: beperken grondrechten verdedigbaar, maar nu wettelijke grondslag vereist). De Raad van State is onafhankelijke adviseur van de regering over wetgeving en bestuur en hoogste algemene bestuursrechter van het land. De Raad van State vond dat de voorgestelde noodmaatregelen verdedigbaar waren door de levensbedreigende aanvangsfase van het coronavirus:
Maar de juridische houdbaarheid van de voorgestelde noodverordeningen neemt af naarmate de situatie langer duurt. Er moet daarom snel een tijdelijke noodwet komen, die de noodmaatregelen vervangt. De Raad van State is met name kritisch over de beperkingen op bijeenkomsten in privésfeer. Daarnaast is de democratische controle op de maatregelen beperkt, doordat deze zijn ondertekend door ongekozen voorzitters van de veiligheidsregio's.
De bescherming van het grondrecht op privacy blijkt uit dit voorbeeld doordat van de overheid wordt geëist dat voor de voorgenomen noodmaatregelen die dit grondrecht beperken, een noodwet dient te worden opgesteld, die vervolgens democratisch wordt getoetst door de Tweede Kamer en de Eerste Kamer. De overheid, of een minister, kan dus niet zelfstandig een besluit nemen dat dit grondrecht beperkt.
Zie hier voor het doorlopen wetgevingsproces van de Tijdelijke wet maatregelen Covid-19.
5.3 De AVG als ‘wet’
Gegevensbescherming is dus een grondrecht zoals verwoord in het Handvest in artikel 8. De AVG biedt het wettelijk kader voor die bescherming van de verwerking van persoonsgegevens.
De AVG doet dit onder meer door:
principes te benoemen (Beginselen inzake verwerking van persoonsgegevens, bijvoorbeeld: ‘rechtmatigheid’, ‘behoorlijkheid’ en ‘transparantie’),
rollen (‘verwerkingsverantwoordelijke’, ‘verwerker’) en
verantwoordelijkheden te benoemen.
En niet in de laatste plaats de ‘rechten van betrokkenen’ - de personen van wie de persoonsgegevens verwerkt worden. De AVG geeft de lidstaten de mogelijkheid om nadere invulling te geven aan bepaalde open normen, bijvoorbeeld het verwerken van een nationaal identificatienummer - zie bijvoorbeeld: AVG Art 87, "Verwerking van het nationaal identificatienummer":
De lidstaten kunnen de specifieke voorwaarden voor de verwerking van een nationaal identificatienummer of enige andere identificator van algemene aard nader vaststellen. In dat geval wordt het nationale identificatienummer of enige andere identificator van algemene aard alleen gebruikt met passende waarborgen voor de rechten en vrijheden van de betrokkene uit hoofde van deze verordening.
Deze nationale bepalingen zijn vervat in nationale implementatiewetgeving van de AVG, voor Nederland bekend onder de naam: Uitvoeringswet AVG, ook wel 'UAVG' genaamd.
Voorbeelden
Onderstaande voorbeelden illustreren goed hoe de UAVG af kan wijken van de AVG:
In Nederland mag het Burgerservicenummer alleen onder strikte voorwaarden worden verwerkt. Zie hiertoe bijvoorbeeld: Artikel 46 UAVG.
Zie voor een voorbeeld van verschillen op dit punt tussen lidstaten: https://www.twobirds.com/en/in-focus/general-data-protection-regulation/gdpr-tracker/national-identification-numbers.
De leeftijd waarop kinderen geacht worden om zelf toestemming te kunnen geven verschilt sterk tussen de lidstaten (bron: https://fra.europa.eu/en/publication/2017/mapping-minimum-age-requirements/use-consent). Onderstaande afbeelding laat deze verschillen goed zien:
Hiërarchie en relaties
Om de AVG als 'wet' goed te begrijpen is inzicht nodig in de hiërarchishe positie van de AVG en in de relatie van de AVG tot het Handvest van de grondrechten van de Europese Unie. In onderstaande kaders lees je precies hoe dit zit:
Hiërarchie van wetgeving
Het recht op privacy is in verschillende soorten van wetgeving dus op verschillende manieren geborgd. Er geldt voor wetgeving de volgende hiërarchie (bron: https://www.wetrecht.nl/lex-specialis/):
‘Verordeningen’ bevatten regels die direct gelden in alle lidstaten van de Europese Unie. Dit wordt 'rechtstreekse werking' genoemd. Verordeningen hebben daarmee een vergelijkbare status als nationale wetten in de lidstaten, maar in geval van strijdigheid gaat de verordening boven de nationale wet (bron: https://www.europa-nu.nl/id/vh7bhpblc5za/verordening).
Voor gegevensbescherming geldt dus de hiërarchie:
Artikel 8 in het Handvest van de grondrechten van de Europese Unie beschrijft in algemene termen het Europese grondrecht op bescherming van persoonsgegevens (bron: https://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:12012P/TXT&from=NL).
Artikel 5 in de AVG beschrijft de principes waaraan de bescherming van persoonsgegevens moet voldoen, waarmee zij de bescherming borgen van de algemene principes uit Artikel 8 in het EU Handvest (bron: https://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32016R0679&from=en).
De Nederlandse Grondwet beschrijft in artikel 10 voor Nederland het grondrecht op privacy en gegevensbescherming (bron: https://www.denederlandsegrondwet.nl/id/via0icz1lvv8/artikel_10_privacy).
De uitvoeringswet UAVG beschrijft specifiek voor de Nederlandse context en aanvullend op de AVG de kaders, rollen en verantwoordelijkheden voor de bescherming van persoonsgegevens (bron: https://wetten.overheid.nl/BWBR0040940/2020-01-01).
Indien een onderzoeker de privacy-principes uit artikel 5 (AVG) niet naleeft, schendt deze daarmee dus het fundamentele mensenrecht uit artikel 8 van het EU Handvest.
De relatie tussen het Handvest en de AVG
De relatie tussen het Handvest van de grondrechten van de Europese Unie en de AVG beginselen inzake verwerking van persoonsgegevens is nader weergegeven in onderstaande afbeelding (klik op de afbeelding om deze te vergroten):
De binnenste blauwe cirkel bevat de artikel 8 principes in het EU Handvest. Zij worden beschermd door de artikel 5.1 principes uit de AVG en de aanvullende wetgeving uit de UAVG voor de Nederlandse context, zoals te zien in de binnenste donkergroene cirkel. De buitenste lichtgroene cirkel omhelst het principe ‘Verantwoordingsplicht’ uit AVG Artikel 5.2 AVG:
5.2 De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen ("verantwoordingsplicht").
Dit principe 5.2 geeft aan dat een onderzoeker volgens de AVG met bewijs moet kunnen aantonen dat de onderzoeker alle benodigde maatregelen genomen heeft om de (gevoelige) persoonsgegevens zo goed als mogelijk te beschermen.
Het vereist tevens van een onderzoeker dat deze niet alleen gedegen kennis van de artikel 5 principes in de AVG heeft, maar dat de onderzoeker ook moet weten welke technische en organisatorische maatregelen en waarborgen nodig zijn binnen een bepaalde context. Ook moet de onderzoeker (in samenwerking met een privacy officer) weten hoe de bewijslast voor de genomen maatregelen en waarborgen indien nodig te verstrekken is. Dit is van belang, aangezien de Autoriteit Persoonsgegevens bij een klacht van een betrokkene een onderzoek kan opstarten waarbij men om deze bewijslast zal vragen. Het niet kunnen aanleveren van deze bewijslast kan mogelijk resulteren in een boete en het stopzetten van het onderzoek.
Maar welke technische en organisatorische maatregelen moet een onderzoeker nu in een specifieke context nemen om ‘AVG compliant’ een onderzoek op te starten en uit te voeren? In 'Module 4 - Acties' gaan we dieper in op verschillende maatregelen die hierbij te nemen zijn. Eerst duiken we dieper in de wetgeving AVG en de principes uit artikel 5 in de AVG.
5.3.1 Het doel van de AVG
De AVG gaat niet over privacy. Het woord ‘privacy’ komt slechts één keer voor in de AVG, namelijk als verwijzing naar een op de AVG aanvullende richtlijn van het Europees Parlement betreffende privacy. Maar wat is dan wel het doel van de AVG...?
De formele titel van de Algemene verordening gegevensbescherming (AVG) luidt als volgt:
VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD
Betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).
De twee doelen van de AVG zijn dus:
Het stimuleren van het vrije verkeer van gegevens, inclusief persoonsgegevens,
De bescherming van deze persoonsgegevens.
De AVG geeft op een ‘techniekneutrale’ manier aan (vandaar het ‘algemene’ open-normenkarakter van de AVG) dat er rechten en verplichtingen gelden voor de verwerking van persoonsgegevens en beschrijft hierin rollen en bijbehorende verantwoordelijkheden. De AVG beschrijft hoe men deze rechten kan uitoefenen, hoe het toezicht hierop is geregeld en welke sancties er zijn. Een veelgehoorde uitspraak rondom de AVG is “dat er niks meer mag met persoonsgegevens.” Het tegenovergestelde is echter waar: door de principes uit de AVG goed te hanteren is er juist heel veel mogelijk, sterker nog, het vrije verkeer van persoonsgegevens is zelfs de bedoeling!
Laten we dit eens bekijken vanuit het perspectief van een onderzoeker. In onderstaand voorbeeld zijn de mentale denkstappen omschreven die iedere onderzoeker idealiter maakt van 'AVG-compliant' zijn tot 'privacy als tweede natuur' omarmen.
In de spotlight
Een onderzoeker en haar onderzoeksondersteuning die voor het eerst kennis maken met de AVG zullen ‘typisch’ vaak gericht zijn op het ‘AVG-compliant’ uitvoeren van het onderzoek. Logisch, want het veroorzaken van een onrechtmatigheid, bijvoorbeeld in de vorm van een datalek zorgt niet alleen voor reputatieschade van de onderzoeker, de onderzoeksgroep of de instelling, maar ook voor het mogelijk moeten stopzetten van het onderzoek. In deze fase ziet de onderzoeker de AVG vaak als een noodzakelijke externe verplichting, die voornamelijk extra werkzaamheden en kosten met zich meebrengt.
Na enkele onderzoeken wordt de risicogebaseerde logica van de AVG met geïdentificeerde risico’s en bijbehorende mitigerende maatregelen duidelijk. Dus wanneer voor bekende privacyrisico’s voor de onderzoeksdeelnemers eenmaal passende maatregelen zijn vastgesteld, dan zijn deze maatregelen passend in vergelijkbare situaties, afgezien van relevante ontwikkelingen in de techniek, die bijvoorbeeld om een heroverweging van de maatregelen vragen.
Meer en meer raakt de onderzoeker en de onderzoeksondersteuning bedreven in het praktisch en concreet toepassen van de juiste technische en organisatorische maatregelen met betrekking tot het beschermen van de persoonsgegevens. En daarmee kan de onderzoeker ook meer en meer ‘hoge risico’ onderzoeken doen. Onderzoeken waarin bijvoorbeeld ‘machine learning’, kunstmatige intelligentie of ‘big data’ een rol spelen. Of onderzoeken waarin kwetsbare doelgroepen onderwerp van onderzoek zijn.
Doordat privacy en de bescherming van persoonsgegevens voor de onderzoeker inmiddels een tweede natuur zijn, heeft deze onderzoeker een mate van volwassenheid bereikt die in deze snel veranderende maatschappij toegang biedt tot nieuwe mogelijkheden voor onderzoek. En zo wordt ‘privacy’ geen obstakel voor onderzoekers, maar een voorwaarde om innovatieve ‘high risk’ onderzoeken te doen.
De AVG is goed samen te vatten via onderstaande afbeelding. Hier staan de rechten van een onderzoeksdeelnemer tegenover de verplichtingen van de onderzoeker, voor wat betreft verantwoorde omgang met persoonsgegevens en de passende bescherming daarvan.
De AVG is zoals gezegd een wet die gebaseerd is op principes. Het gaat daarbij steeds om het zoeken naar de twee doelstellingen uit de wet:
Het stimuleren van het vrije verkeer van persoonsgegevens;
Het zo goed mogelijk beschermen van diezelfde persoonsgegevens.
Die afweging en de daaruit voortvloeiende maatregelen verschillen van onderzoek tot onderzoek. Het gaat om het maken van een redelijke inschatting van risico’s voor de onderzoeksdeelnemers, en de afweging van deze risico’s en het bepalen van de juiste, proportionele maatregelen om die risico’s in te perken. Bijvoorbeeld door niet meer persoonsgegevens te verzamelen dan noodzakelijk is voor het doel van het onderzoek. Daarbij kan een onderzoeker zichzelf vragen stellen als:
Welke (gevoelige) gegevens zou ik willen verzamelen van de onderzoeksdeelnemers?
Wat betekent het als een derde partij ongeoorloofd toegang tot deze data zou krijgen?
Wat voor kwaad zou iemand met deze persoonsgegevens kunnen doen?
Wat betekent het voor de betrokkenen als hun persoonsgegevens in de verkeerde handen vallen?
Er zijn veel voorbeelden te bedenken waarbij het zeer ernstig zou zijn als ongeoorloofden toegang tot bepaalde persoonsgegevens zouden krijgen, zoals onderzoeken waarbij interviews met pedofielen, oorlogsmisdadigers of coupplegers in een dictatuur, onderdeel uitmaken van de onderzoeksgegevens. Maar de meeste onderzoeken bevatten dit type gevoelige informatie helemaal niet, zodat de te nemen maatregelen ook navenant beperkter kunnen zijn.
Tenslotte kunnen onderzoeksdeelnemers ook schade ondervinden van stigmatisering en groepsonthulling. Bijvoorbeeld wanneer door publicatie van onderzoeksresultaten duidelijk wordt dat bij observatieonderzoek van vaders uit dorp X, waarbij de kwaliteit van de interactie met hun minderjarige kinderen is onderzocht, voor de meerderheid van deze vaders geldt dat er veel belangrijke verbeterpunten zijn voor deze interactie.
De AVG - geen absoluut recht
Maar let op: het recht op privacy is geen absoluut recht. Grond 4 in de AVG verwoordt dit als volgt:
De verwerking van persoonsgegevens moet ten dienste van de mens staan.
Het recht op bescherming van persoonsgegevens heeft geen absolute gelding, maar moet worden beschouwd in relatie tot de functie ervan in de samenleving en moet conform het evenredigheidsbeginsel tegen andere grondrechten worden afgewogen.
Deze verordening eerbiedigt alle grondrechten alsook de vrijheden en beginselen die zijn erkend in het Handvest zoals dat in de Verdragen is verankerd, met name de eerbiediging van het privéleven en het familie- en gezinsleven, woning en communicatie, de bescherming van persoonsgegevens, de vrijheid van gedachte, geweten en godsdienst, de vrijheid van meningsuiting en van informatie, de vrijheid van ondernemerschap, het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht, en het recht op culturele, godsdienstige en taalkundige verscheidenheid.
Hoewel privacy een fundamenteel mensenrecht is, kunnen in bepaalde contexten andere rechten dus zwaarder wegen. Bijvoorbeeld in het geval van een pandemie, zoals de Covid-19 crisis. In dat geval kan het belang van de volksgezondheid prevaleren boven het fundamentele recht op privacy, bijvoorbeeld doordat een overheid een bepaalde tracking-app voor coronabesmettingen verplicht stelt. Hiermee schaadt de overheid het recht op privacy, maar ten dienste van een (op dat moment) grotere prioriteit: de volksgezondheid.
De AVG kan in dit voorbeeld wel als leidraad dienen om de tracking-app alsnog zo privacy-vriendelijk te ontwerpen, door ‘privacy’ al in het ontwerp van de app in te bouwen. Het doel zou daarbij zijn om te komen tot een ‘positive sum’, waarbij de privacy in de app goed geregeld is en men tegelijkertijd de volksgezondheid verhoogt. En wellicht dat vanuit het privacy standpunt blijkt dat een digitale app helemaal niet de beste oplossing is om mensen te registreren, maar dat het veiliger voor onze persoonsgegevens is om gewoon je naam en telefoonnummer op een papieren briefje te noteren bij ieder bezoek aan horeca of andere gelegenheden.
De AVG is dus een belangrijke wet, maar niet in iedere context de belangrijkste wetgeving. Er zijn situaties waarbij andere belangen zwaarder wegen dan onze privacy, zoals de AVG zelf dus al expliciet in Grond 4 aangeeft.
5.3.2 De werking van de AVG
De werking van de AVG
Om de werking van de AVG goed te begrijpen is het van belang te weten dat de AVG een ‘algemene verordening’ en een principe-gebaseerde wet is.
De AVG is een algemene verordening om twee redenen:
De AVG is generiek opgesteld en geeft alleen in algemene termen en principes weer hoe te handelen met betrekking tot persoonsgegevens; voor specifieke beleidsterreinen bestaat er specifieke wetgeving (zoals de Nieuwe Wet op de inlichtingen- en veiligheidsdiensten (WIV) of de Wet medisch-wetenschappelijk onderzoek met mensen (WMO); deze specifieke wetgeving heeft voorrang boven algemene wetgeving (zoals de AVG);
De AVG is techniekneutraal; in de wettekst staan geen specifieke technologieën, of specificaties daarvan, zoals bijvoorbeeld de sleutellengte (128, 192 of 256 bits) van een vercijfering - bij encryptie van gegevens. In hoofdstuk 4 (Maatregelen) zijn de mogelijke technische - en organisatorische maatregelen al besproken.
Sommige wetten zijn gebaseerd op principes en zogenaamde ‘open normen’; andere wetten kennen duidelijke objectieve criteria en dus zogenaamde ‘gesloten normen’. Een voorbeeld van dit laatste is de aanduiding van de ‘maximumsnelheid 100 kilometer per uur tussen 06 en 19 uur':
Je weet precies op welk tijdstip welke maximumsnelheid geldt op een snelweg wanneer verkeerstekens zoals hierboven weergegeven, de snelheid aangeven. Bij een principe gebaseerde wet zoals de AVG is er niet sprake van objectieve criteria en worden begrippen gebruikt zoals:
een niet onverenigbaar doel
een vitaal belang
passende waarborgen
een hoog risico
noodzakelijk
proportioneel
behoorlijk
Het voordeel van open normen is dat de wetgever niet voor elke concrete situatie, of voor elke technische ontwikkeling regels hoeft op te stellen (reduceert regeldruk). Het gaat bij de AVG namelijk om de beschreven doelen (doelregelgeving). Zie ook: Jaarverslag Raad van State 2018: Open normen en rechtszekerheid. Een nadeel van open normen, zoals ook in dit jaarverslag benoemd, is rechtsonzekerheid:
Open normen bevatten het risico dat over de invulling ervan verschil van mening ontstaat. Als de wetgever niet voldoende houvast biedt, dan zal de rechter uiteindelijk de beslissing moeten nemen over de invulling van een norm.
Dus zal een onderzoeker vanuit de geformuleerde principes steeds moeten kijken welke maatregelen nodig zijn om de geformuleerde doelen van onder andere bescherming van persoonsgegevens binnen een onderzoek zo goed als mogelijk te beschermen. Hierbij geven beleidsregels (vroeger: richtsnoeren) van de nationale toezichthouder, de Autoriteit Persoonsgegevens, nadere betekenis aan open normen, zie bijvoorbeeld voor een overzicht hier.
Verder geven uitspraken van rechters nadere duiding, bijvoorbeeld hier, waarin de voorzieningenrechter heeft bepaald dat een universiteit online surveillancesoftware (proctoring) mag inzetten bij het afnemen van tentamens, en waarbij deze bevestigt dat de betreffende universiteit heeft voldaan aan alle regels en beginselen van de AVG.
Tenslotte geeft het Hof van Justitie van de Europese Unie met de hoogste autoriteit duiding aan de AVG. Zo heeft het hof, op 16 juli 2020, in haar beroemde ‘Schrems 2’ arrest zelfs een besluit van de Europese Commissie ongeldig verklaard, namelijk de zogenaamde ‘adequaatheidsbeslissing’ van de VS op basis van het ‘Privacy Shield’.
Jurisprudentie speelt dus een belangrijke rol bij principe gebaseerde wetgeving met open normen, omdat op basis van het geheel van rechterlijke uitspraken gaandeweg duidelijkheid ontstaat over deze normen en bepaalde contexten.
Andere voorbeelden van principe gebaseerde wetten zijn bijvoorbeeld de wet op kartelvorming, wetten voor financiële markten, integriteit, fraude, etc. Bij dat type wetten is het onmogelijk om in de wettekst bijvoorbeeld specifieke financiële producten te noemen, dat assortiment verandert vrijwel dagelijks. Om die reden zijn dit type wetten gebaseerd op principes waarbinnen men moet opereren.
Vaak is bij dit type wetgeving een toezichthouder betrokken die oordeelt over de mate waarin de principes uit de wet geschonden zijn. Jurisprudentie speelt een belangrijke rol bij dit type wetgeving, omdat men op basis van eerder uitspraken de risico’s en de te nemen maatregelen of acties in kan schatten.
Lex generalis en lex specialis
Naast het feit dat de AVG een principe gebaseerde wet is, is het van belang om de relatie tussen een algemene verordening (een ‘lex generalis’, zoals de AVG) en sectorspecifieke wetten (‘lex specialis’) te kennen. Indien er binnen een bepaalde casus sprake is van een sectorspecifieke wet (lex specialis) en de AVG (een algemene verordening, lex generalis) dan geldt het principe 'lex specialis derogat legi generali’, het specialiteitsbeginsel, waarbij de specifieke wetgeving voorrang krijgt op algemene wetgeving. Bijvoorbeeld: de uitvoeringswet UAVG is specifiek nationale wetgeving, die gaat dus vòòr op de AVG.
Maar bij conflicten tussen deze lex specialis en lex generalis geldt weer een ander principe: ‘lex superior derogat legi inferiori’, de hiërarchie tussen ‘hogere’ en ‘lagere’ wetgeving. De ‘hogere’ wetgeving, van de hoogste wetgever, wint. Dus als de specifieke en algemene wet conflicteren ‘wint’ dus toch de algemene wetgeving (AVG) boven de specifieke wetgeving (UAVG). Het punt is dat in de specifieke wetgeving in de regel meer specifieke bepalingen staan. Alleen als er daardoor sprake is van een conflict, wint de hogere wetgeving. Dat komt voor, maar is meer uitzondering.
Onderstaande afbeelding laat de hiërarchie tussen de verschillende wetten nogmaals duidelijk zien:
Zie tenslotte ook dit bericht, waarin de hiërarchie wordt uitgelegd van de AVG en de Wet politiegegevens (Wpg) in de context van de Nationale Politie:
Wet politiegegevens
De politie moet net als elke andere organisatie voldoen aan de regels van de AVG. Bij het verwerken van gegevens in het kader van vervolging of opsporing geldt echter een andere wet: de Wet politiegegevens (Wpg). Deze wet geldt naast de AVG als een ‘Lex specialis’. Dat betekent dat de regels in de AVG niet gelden wanneer de Wpg van toepassing is. Daarvan is sprake wanneer het taken betreft voor de opsporing en vervolging van strafbare feiten en tenuitvoerlegging van straffen. Voor persoonsgegevens die bij de politie worden verwerkt in het kader van normale bedrijfsvoering is de AVG gewoon van toepassing. Toch heeft de politie ook te maken met de AP, wanneer de Wpg van toepassing is. In de Wpg is namelijk opgenomen dat de AP het toezichthoudende orgaan is dat toeziet op naleving van de bepalingen in de Wpg.
Aanvullende bepalingen en uitzonderingen voor wetenschappelijk onderzoek
De AVG geeft zelf expliciet aan dat lidstaten een mate van vrijheid hebben om van de AVG af te wijken. Een bijvoorbeeld hiervan is AVG Artikel 9 (Verwerking van bijzondere categorieën van persoonsgegevens), lid 2, onderdeel j. Daar stelt de AVG dat lidstaten aanvullende bepalingen kunnen opstellen:
“De verwerking is noodzakelijk met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89, lid 1, op grond van Unierecht of lidstatelijk recht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de belangen van de betrokkene.”
In onze nationale wetgeving de UAVG zijn onder andere aanvullende bepalingen opgesteld ten behoeve van wetenschappelijk onderzoek. Hierover stelt de UAVG vervolgens meer specifiek Artikel 24:
Uitzonderingen voor wetenschappelijk of historisch onderzoek of statistische doeleinden
Gelet op artikel 9, tweede lid, onderdeel j, van de verordening, is het verbod om bijzondere categorieën van persoonsgegevens te verwerken niet van toepassing, indien:
a.de verwerking noodzakelijk is met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89, eerste lid, van de verordening; en
b.het onderzoek, bedoeld in onderdeel a, een algemeen belang dient; en
c.het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost; en
d.bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.
Hoe dit te lezen? De UAVG krijgt hier zoals we zagen (lex specialis) dus voorrang op de algemene regel uit de AVG. In UAVG Artikel 22 zien we dus nader gepreciseerd voorgeschreven dat men in Nederlandbijzondere categorieën van persoonsgegevens ten behoeve van onderzoek alleen rechtmatig kan verwerken, als men kan aantonen dat het vragen om toestemming aan onderzoeksdeelnemers ‘onmogelijk blijkt of een onevenredige inspanning kost’.
De UAVG schrijft hier dus feitelijk ‘comply or explain’ als uitgangspunt voor: vraag uitdrukkelijke toestemming aan onderzoeksdeelnemers, wanneer bijzondere categorieën van persoonsgegevens in onderzoek worden verwerkt, of leg uit waarom dit niet - met evenredige inspanning - kan.
Op sommige plekken geeft de AVG duidelijk aan dat nationale implementatiewetgeving nadere invulling kan geven aan een bepaalde AVG verplichting, zoals bijvoorbeeld in het geval van het BSN (nationaal identificatienummer (AVG Artikel 87)): “De lidstaten kunnen de specifieke voorwaarden voor de verwerking van een nationaal identificatienummer of enige andere identificator van algemene aard nader vaststellen”.
5.3.3 Techniekneutraal
De AVG reguleert de bescherming van persoonsgegevens; het is een algemene wet die techniekneutraal is. Maar wat betekent dit precies?
Technologieën
De AVG schrijft niet voor met welke technologieën men ‘passende waarborgen’ kan inzetten, bijvoorbeeld ten behoeve van encryptie of pseudonimisering binnen een onderzoek.
De AVG stelt in recital 78 alleen in algemene zin:
Ter bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens zijn passende technische en organisatorische maatregelen nodig om te waarborgen dat aan de voorschriften van deze verordening wordt voldaan. Om de naleving van deze verordening aan te kunnen tonen, moet de verwerkingsverantwoordelijke interne beleidsmaatregelen nemen en maatregelen toepassen die voldoen aan met name de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen.
Dergelijke maatregelen kunnen onder meer bestaan in het minimaliseren van de verwerking van persoonsgegevens, het zo spoedig mogelijk pseudonimiseren van persoonsgegevens, transparantie met betrekking tot de functies en de verwerking van persoonsgegevens, het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking en uit het in staat stellen van de verwerkingsverantwoordelijke om beveiligingskenmerken te creëren en te verbeteren.
Bij de ontwikkeling, de uitwerking, de keuze en het gebruik van toepassingen, diensten en producten die zijn gebaseerd op de verwerking van persoonsgegevens, of die persoonsgegevens verwerken bij de uitvoering van hun opdracht, dienen de producenten van de producten, diensten en toepassingen te worden gestimuleerd om bij de ontwikkeling en de uitwerking van dergelijke producten, diensten en toepassingen rekening te houden met het recht op bescherming van persoonsgegevens en, met inachtneming van de stand van de techniek, erop toe te zien dat de verwerkingsverantwoordelijken en de verwerkers in staat zijn te voldoen aan hun verplichtingen inzake gegevensbescherming. De beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen moeten ook bij openbare aanbestedingen in aanmerking worden genomen.
Zelfregulerend vermogen
Men doet hier dus een beroep op het zelfregulerend vermogen van de verwerkingsverantwoordelijke, waarbij men rekening houdt met wat binnen de betreffende sector gangbaar en passend is. Dit leidt bijvoorbeeld tot een gedragscode, die, - AVG artikel 40 lid 1 parafraserend - :
(...) met inachtneming van de specifieke kenmerken van de diverse gegevensverwerkingen binnen een sector, rekening houdend met de specifieke behoeften van het type instelling, moet bijdragen tot de juiste toepassing van de AVG.
Voor onderzoek betekent dit dus (AVG recital 78 volgend, zie citaat hierboven) dat het CvB van een instelling, als verwerkingsverantwoordelijke, interne beleidsmaatregelen neemt en voor onderzoekers maatregelen beschikbaar stelt die voldoen aan met name de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen (respectievelijk ‘Privacy by Design’ en ‘Privacy by Default’).
Waarom techniekneutraal?
De ontwikkeling van de technologie gaat zo snel, dat iedere concretisering - in een wet - van het specifieke type technologie die men als ‘passende waarborg’ zou moeten inzetten, per definitie achterhaald zal zijn. Dat zou betekenen dat men de wet regelmatig moet aanpassen, wat alleen al om praktische redenen onwenselijk is.
Algemeen en principe gebaseerd
Om die reden is de AVG ‘algemeen’ en ‘principe gebaseerd’. Door de principes in artikel 5 van de AVG toe te passen weet een onderzoeker dat er technische en organisatorische maatregelen nodig zijn die de genoemde principes beschermen. De voortschrijdende technologische ontwikkeling brengt geheel nieuwe vraagstukken rondom de bescherming van onze persoonsgegevens met zich mee.
Denk ter illustratie eens aan het fenomeen ‘machine learning’: wie is dan verantwoordelijk voor het evoluerende (zelflerende) algoritme? Wie is in die situatie de verwerker ('processor') en wie is de verwerkingsverantwoordelijke ('controller')? Door jurisprudentie die ook op dit gebied gaat ontstaan krijgen we steeds beter zicht op hoe de principes uit de AVG zich ook tot deze nieuwe technologische ontwikkelingen verhouden.
Als actueel voorbeeld kunnen we eens kijken naar de toepassing van algoritmes:
We zien namelijk dat algoritmes vaak fouten maken en mensen benadelen, soms ook kwetsbare groepen. Voor enkele bekende voorbeelden hiervan zie dit artikel in de NewScientist: Discriminating algorithms: 5 times AI showed prejudice.
Is de maker van het algoritme verantwoordelijk voor de discriminatie? Is de partij die de algoritmes toepast verantwoordelijk voor de discriminatie? Valt de leverancier van het algoritme iets te verwijten als de algoritmes zijn ontwikkeld met te kleine of verouderde testsets? Hoe voorkom je eigenlijk bias in algoritmes - is dat wel te voorkomen?
Op veel van deze vragen kun je geen specifiek antwoord vinden in de artikelen van de AVG, maar in de principes van de AVG wordt wel duidelijk dat techniek en de verwerking van persoonsgegevens ten dienste moeten staan van de mens (zie de AVG Artikel 5 principes: rechtmatigheid, behoorlijkheid en transparantie).
Wel stelt de AVG in Artikel 22 dat:
“Geautomatiseerde individuele besluitvorming, waaronder profilering” bepaalde grenzen aan de inzet van algoritmes stelt, door namelijk te bepalen in lid 1.: “De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft.”
Artikel 22 geeft in combinatie met de beginselen uit Artikel 5 dus voldoende basis om maatregelen te selecteren en te implementeren die de verwerking van persoonsgegevens passend waarborgen. Voorts heeft de ICO, de Britse nationale toezichthouder in 2019 nuttige guidance opgesteld voor DPIAs en AI.
Tenslotte gebeurt er veel in de sector op het gebied van assessments van AI, ook door de Europese Commissie, bijvoorbeeld door het werk van door de EC ingestelde High-Level Expert Group on Artificial Intelligence. De HLEG leverde zo handzame documenten voor ethische richtsnoeren, aanbevelingen voor beleid en een self assessment check voor ontwikkelaars.
De EC heeft voorts een whitepaper opgesteld over AI, heeft AI opgenomen in haar visie en heeft specifieke AI wetgeving aangekondigd.
Het bovenstaande geeft aan dat de context van sommige technische ontwikkelingen, zoals in het geval van Machine Learning en Artificial Intelligence, soms een eigen aanpak en zelfs wetgeving vereist, naast de AVG, voor de inzet van deze technologieën waarbij persoonsgegevens worden verwerkt.
5.3.4 Internationale samenwerking
Steeds meer onderzoeken vinden plaats in een internationale context, waarbij onderzoeksteams van verschillende internationale publieke en private partijen met elkaar samenwerken. De datasets die men binnen deze onderzoeken verzamelt, kunnen dan zowel op servers binnen als buiten de EU staan. De specifieke regelgeving waaraan het uitwisselen van data tussen EU-lidstaten en landen buiten de EU onderhevig is, behandelen we in dit hoofdstuk.
Allereerst is het van belang om het onderscheid te maken tussen drie type landen:
Op de verwerking van persoonsgegevens binnen deze landen is de AVG van toepassing. De EU is één rechtsgebied bij de bescherming van persoonsgegevens. Geeft een organisatie gegevens door van Nederland naar een ander EU-land? Dan hoeft die organisatie alleen te voldoen aan de algemene eisen uit de AVG.
Dit zijn Noorwegen, Liechtenstein en IJsland. Deze drie landen kennen een gelijkwaardig niveau van bescherming van persoonsgegevens. Geeft een organisatie gegevens door vanuit Nederland naar Noorwegen, Liechtenstein en IJsland? Dan hoeft die organisatie alleen te voldoen aan de algemene eisen uit de AVG.
Voor doorgifte van persoonsgegevens vanuit Nederland naar landen buiten de EU en de EER, zogeheten ‘derde landen’, gelden aparte regels (dit heet een ‘cross border data transfer’). De hoofdregel is dat een organisatie persoonsgegevens alleen mag doorgeven naar derde landen met een passend beschermingsniveau dat in essentie gelijkwaardig is met de waarborgen binnen de EU; het niveau van gegevensbescherming mag niet ondermijnd worden.
Als er geen sprake is van een passend beschermingsniveau, is doorgifte slechts toegestaan op grond van een van de wettelijke bepalingen uit de AVG (bron: Hoofdstuk 5 - Doorgiften van persoonsgegevens aan derde landen of internationale organisaties).
Grensoverschrijdende gegevensoverdrachten
De AVG erkent de noodzaak van grensoverschrijdende gegevensoverdrachten voor de uitbreiding van internationale handel en internationale samenwerking. Doorgifte aan derde landen en internationale organisaties mag in ieder geval alleen plaatsvinden in volledige overeenstemming met de AVG. De gegevensbescherming van de EU stopt dus niet bij de EU-grenzen.
Van belang is om steeds te bepalen wat de risico’s van uitwisseling van persoonsgegevens zijn in relatie tot de impact die deze uitwisseling kan hebben op de vrijheden van EU-burgers. Is er geen risico in de uitwisseling van gegevens, dan is er ook geen gegevensbescherming nodig: de uitwisseling valt dan onder ‘free movement of data’.
Het criterium voor gegevensbescherming is de mate waarin de fundamentele rechten van EU-burgers worden aangetast. Het gaat hierbij altijd om de balans tussen de bescherming van de fundamentele mensenrechten (artikel 7 en 8, EU Handvest) en de vrijheden van mensen. Hierbij is zoals we al eerder zagen ‘privacy’ niet altijd het hoogste recht; in sommige situaties kan het belang van de nationale veiligheid bijvoorbeeld prevaleren. De AVG vergemakkelijkt de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens en het vrije verkeer van dergelijke gegevens en specificeert in Overweging 3: 'om het vrije verkeer van persoonsgegevens te waarborgen tussen de lidstaten'.
Samengevat, in één afbeelding (bron):
Adequaatheidsbesluit
Sommige landen bieden echter waarborgen die een passend beschermingsniveau garanderen, in essentie gelijkwaardig aan het beschermingsniveau binnen de Europese Unie. Met betrekking tot een dergelijk land stelt de Europese Commissie een zogenaamd 'adequaatheidsbesluit' op. Met andere woorden: ‘grensoverschrijdende stromen van persoonsgegevens’ vanuit de EER naar het land in kwestie zijn gelijkgesteld met overdracht van gegevens binnen de EU.
Als een land echter geen deel uitmaakt van de EU, EER en ook geen adequaatheidsbesluit heeft ontvangen dan noemen we dit een ‘derde land’:
Zie voor EU landen: https://www.rijksoverheid.nl/onderwerpen/europese-unie/vraag-en-antwoord/welke-landen-horen-bij-de-europese-unie-eu
Zie voor EER landen: https://www.rijksoverheid.nl/onderwerpen/europese-unie/vraag-en-antwoord/welke-landen-horen-bij-de-europese-economische-ruimte-eer
Zie voor landen die een adequaatheidsbesluit hebben ontvangen: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
De AVG beschrijft in dat geval een aantal wettige mechanismen om deze ‘grensoverschrijdende gegevensoverdrachten’ te legitimeren. Een van deze wettige mechanismen is bijvoorbeeld het afsluiten van zogenaamde Standard Contractual Clauses (SCC):
In de spotlight:
Een standaardcontractbepalingen (SCC) is bijvoorbeeld nodig bij EU-verwerkingsverantwoordelijken die persoonsgegevens doorgeven aan verwerkers in derde landen zonder passend niveau van gegevensbescherming. In deze SCC's creëren beide organisaties (de exporterende en de importerende organisatie van persoonsgegevens) door ondertekening van de SCC elk een wettelijke verplichting waaraan zij beiden gehouden zijn. Deze verplichting wordt geacht voldoende waarborgen te bieden voor de bescherming van de privacy en fundamentele rechten en vrijheden van individuen en met betrekking tot de uitoefening van de overeenkomstige rechten. De SCC als juridisch mechanisme is alleen geldig als beide partijen in de praktijk ook daadwerkelijk voldoen aan de gedefinieerde set van wettelijke verplichtingen.
Onderdeel van de SCC is de afspraak dat nationale gegevensbeschermingsautoriteiten in de EU het recht hebben om hun bevoegdheden uit te oefenen. Bijvoorbeeld door gegevensstromen naar een derde land (waarin de importerende organisatie is gevestigd) te verbieden of op te schorten wanneer wordt vastgesteld dat de wet waaraan de gegevensimporteur onderworpen is hem eisen oplegt die afwijken van de verplichtingen in de SCC.
Voor samenwerking met een ‘derde land’ met persoonsgegevens geldt bij het aangaan van een SCC, dat dit land redelijkerwijs geacht wordt te kunnen voldoen aan de eisen die in de SCC worden gesteld. Voor samenwerking met de VS is dit sinds de zogenaamde ‘Schrems 2’ uitspraak van het Europese Hof moeilijker geworden.
6. Complexe zaken
In module 4 ('Beginselen verwerking persoonsgegevens') hebben we de 'Metro-kaart' behandeld. Het merendeel van alle wetenschappelijke onderzoeken doorloopt op deze kaart de reguliere 'oranje' lijn; in deze onderzoeken is het over het algemeen snel duidelijk welke maatregelen nodig zijn om een goede bescherming van persoonsgegevens te garanderen.
En daarom zijn juist de bijzondere onderzoeken interessant; daar kun jij als onderzoeksondersteuner echt het verschil maken! Want welke maatregelen zijn nodig indien helemaal niet zo duidelijk is met welke persoonsgegevens je eigenlijk werkt? Of indien het onderzoek meerdere 'hoog risico' criteria bevat?
Dit soort onderzoeken noemen we 'complexe zaken'. Ze vormen de perfecte oefenstof om al het geleerde uit de voorgaande modules nu zelf in de praktijk te testen.
Tijd dus om de praktijk in te stappen! De hier volgende pagina's bevatten ieder één 'complexe zaak'. Aan jou de taak om per zaak te bepalen hoe men de zeven principes uit AVG artikel 5 dient te borgen en welke technische en organisatorische maatregelen men moet nemen om de persoonsgegevens zo goed mogelijk te beschermen.
De opzet van iedere complexe zaak is als volgt:
Je leest eerst een beknopte opzet van het onderzoek door;
Met deze informatie beantwoord je de vraag welke persoonsgegevens men in het onderzoek verwerkt, wat de grondslag is en of het onderzoek een hoog risico bevat;
Aansluitend krijg je zeven vragen over de AVG artikel 5 principes. Geef per principe aan hoe de onderzoeker(s) in het onderzoek dit principe hebben geborgd;
Als laatste geef je antwoord op de vraag welke technische en organisatorische maatregelen men volgens jou in het onderzoek moet implementeren.
Alle vragen bestaan uit een goed en een fout antwoord. Nadat je aangegeven hebt wat jouw keuze zou zijn zie je direct of dat de juiste keuze is. Zo kun je aan de hand van concrete voorbeelden jouw opgedane kennis meteen in de praktjik toetsen.
Veel succes!
6.1 #1 Misbruik netwerk
Dagelijks reizen er vele terrabytes aan data over onze universiteitsnetwerken. Maar waar is die data eigenlijk allemaal voor bedoeld? Zijn het online activiteiten die gericht zijn op leren en werken, of zitten er ook minder vriendelijke activiteiten tussen? Een universiteit in Nederland ging op onderzoek uit en inspecteerde gedurende langere tijd al het verkeer op hun netwerk.
Lees onderstaand de opzet van hun onderzoek eens door en probeer aansluitend de vragen goed te beantwoorden. Welke keuzes zou jij als privacy officer maken?
Titel van het onderzoek
‘Vaststellen omvang en aard van misbruik van het universiteitsnetwerk’
Doel van het onderzoek
Het onderzoek betreft het inspecteren van datapakketten op netwerkniveau van de gehele universiteit, om daarmee te onderzoeken of en welke kwaadaardige activiteiten er op het netwerk plaatsvinden.
Doelgroep van het onderzoek
Alle personen (medewerkers, studenten, bezoekers, mensen woonachtig in de omgeving van de universiteit die gebruik maken van het open netwerk) die gebruik maken van het open netwerk van de universiteit.
Locatie van het onderzoek
Het onderzoek vindt plaats op een Nederlandse universiteit.
Opslaglocatie data
On site.
Deelnemende partijen in het onderzoek
Onderzoekers van de universiteit met een specialisme in cybersecurity
Gecontracteerde externe netwerkpartner van de universiteit
Gebruikte data in het onderzoek
IP-adressen van personen die gebruik maken van het netwerk
Bezochte URL’s van personen die gebruik maken van het netwerk
Volledige browser gegevens worden verzameld
Initieel ontwerp van het onderzoek
In deze casus gaat het om onderzoek waarbij de IP-adressen en bezochte URL’s van alle personen die contact maken met het open universiteitsnetwerk op grote schaal worden verzameld. Het onderzoek betreft het inspecteren van datapakketten op netwerkniveau van de gehele TU Delft. Dit doen de onderzoekers in samenwerking met een externe partner - gecontracteerd door de TU Delft - die zelf wel toegang geeft tot de data, maar geen toegang heeft tot de persoonsgegevens.
[Quiz – 11 vragen, Q1 t/m Q11 – juiste antwoord in vet]
Q1 Welke (gevoelige) persoonsgegevens worden in dit onderzoek verwerkt?
· Het gaat hier puur om IP-adressen en URL’s die niet naar personen zijn terug te herleiden, dus het gaat om persoonsgegevens. Deze zijn gehasht dus gepseudonimiseerd. Geen gevoelige persoonsgegevens worden verzameld.
· De persoonlijke gegevens zijn in dit geval het IP-adres en de bijbehorende browsegegevens. Doel van het onderzoek is niet de verwerking van bijzondere categorieën van persoonsgegevens of kwetsbare individuen. Deze gevoelige gegevens, zoals bijvoorbeeld, gegevens over gezondheid, het lidmaatschap van een vakbond, of sexuele geaardheid, kunnen evenwel worden afgeleid uit de bezochte pagina's, maar deze gegevens worden niet als zodanig opgeslagen.
Het hashen van de IP-adressen en het feit dat de onderzoeksvraag alleen naar kwaadwillige handelingen zoekt, op basis van een vastgestelde set aan indicatoren, rechtvaardigt de grondslag gerechtvaardigd belang voor de verwerking. Kwetsbare individuen, zoals kinderen woonachtig in de omgeving van de instelling, kunnen verbinding maken via het netwerk van de instelling, maar het doel van het onderzoek is niet het verzamelen van gegevens van de personen die het netwerk gebruiken, maar het borgen van de veiligheid van het netwerk van de instelling.
Q2 Wat is de wettelijke grondslag voor deze verwerking?
· De grondslag is hier ‘algemeen belang’. Het dient namelijk een breder, algemeen belang wanneer bekend is hoe cybersecurity kan worden toegepast en hoe dit kan worden gedetecteerd. Universiteiten hebben als onderwijsinstelling ook een publieke taak en worden met publieke middelen gefinancierd, dus wat aan inzichten uit universiteiten komt, zoals bij onderzoek, is altijd ten dienste van het algemeen belang. Toestemming vragen lukt namelijk niet.
· De grondslag voor verwerking is in dit geval "gerechtvaardigd belang". De grondslag ‘toestemming’ is niet mogelijk, want deze staat het doel van het onderzoek in de weg.
Een mogelijke andere grondslag zou kunnen zijn ‘algemeen belang’, maar deze grondslag is moeilijk te rechtvaardigen, omdat het geen directe wettelijke taak is van de publieke instelling, zoals onderzoek of onderwijs, maar waarborgen biedt voor een veilige omgeving om onderwijs en onderzoek te kunnen verzorgen.
Q3 Is het een hoog risico onderzoek en zo ja, welke risico’s spelen er dan?
· De combinatie van het verzamelen van alleen IP-adressen en URL's, hashing van de IP's en vernietiging van de gegevens zodra het onderzoek is voltooid, betekent dat er geen risicovolle verwerking zal plaatsvinden. Echter het feit dat er sprake is van heimelijk onderzoek, betekent, conform de richtlijn van de AP, dat een DPIA dient te worden gedaan en dat er sprake is van een hoog risico-verwerking.
· De combinatie van het verzamelen van alleen IP-adressen en URL's, hashing van de IP's en vernietiging van de gegevens zodra het onderzoek is voltooid, betekent dat er geen risicovolle verwerking zal plaatsvinden.
Q4 Hoe gaan de onderzoekers om met artikel 5 principe 1: Rechtmatigheid, behoorlijkheid en transparantie?
· Het onderzoek gaat precies om rechtmatig en eerlijk handelen in het universitair netwerk, dus daar draagt dit onderzoek behoorlijk aan bij. De uitkomsten van het onderzoek worden gepubliceerd, dus daar zijn de onderzoekers transparant over, zeker als de publicatie in een open access tijdschrift wordt gepubliceerd, waar steeds vaker om gevraagd wordt door onderzoeksfinanciers.
· De verwerking heeft “rechtmatigheid, eerlijkheid en transparantie” – de grond voor verwerking is een legitiem belang. Vanwege de schaal (duizenden mensen op het netwerk) is het niet mogelijk om toestemming te krijgen. Transparantie wordt geboden in het privacy statement van de instelling, waarin staat voor welke doelen welke persoonsgegevens door de instelling worden verwerkt.
Q5 Hoe gaan de onderzoekers om met artikel 5 principe 2: Doelbinding?
· Doelbeperkingen worden bereikt doordat alleen die gegevens worden opgeslagen en gebruikt die relevant zijn om te onderzoeken of er malafide acties plaatsvinden, d.w.z. veiligheid / cyberbeveiliging.
· De onderzoekers proberen zich te concentreren op de hoofdvraag van het onderzoek en verder geen onderzoek te doen naar de oorzaken en de bron van dit onrechtmatig gebruik van het universitaire netwerk.
Q6 Hoe gaan de onderzoekers om met artikel 5 principe 3: Dataminimalisatie?
· Dataminimalisatie wordt bereikt door alleen het IP-adres en de URL's te verzamelen. Deze twee datapunten zijn nodig voor de onderzoeksvragen van het onderzoek en er worden geen andere gegevens verzameld, geanalyseerd of opgeslagen die theoretisch gezien uit het netwerk kunnen worden verzameld.
· De onderzoekers hopen dat cybercrime niet zo veel voorkomt op het universitaire netwerk en dat het probleem dus minimaal is en de data die daarbij hoort ook. Verder is het goed om tijdens het onderzoek niet te veel data te delen met andere onderzoekers, dus dat moet echt minimaal zijn.
Q7 Hoe gaan de onderzoekers om met artikel 5 principe 4: Juistheid?
· Specifieke nauwkeurigheidsproblemen doen zich niet voor, aangezien de volledige netwerkgegevens (zoals hierboven beschreven, IP en URL's) worden verzameld en niet aan een persoon worden gekoppeld. De IP-adressen worden regelmatig geautomatiseerd gehasht.
· Onderzoekers gebruiken door de internal review board geaccepteerde methodes om tot de juiste conclusies te komen. Hierbij wordt gekeken naar methodes die in het vakgebied gangbaar zijn en bekend zijn. Daardoor kunnen de conclusies ook beter gecontroleerd worden door collega’s die het onderzoek willen verifiëren.
Q8 Hoe gaan de onderzoekers om met artikel 5 principe 5: Opslagbeperking?
· Opslag van data lijkt goedkoop, maar als van elke bewerking alle versies wordt opgeslagen vind je vaak de juiste data niet meer en moet er ook veel data gemetadateerd worden (voorzien worden van labels om terug te kunnen worden gevonden). Dit zorgt er voor dat er zo weinig mogelijk data wordt opgeslagen; alleen de belangrijke data.
· De data wordt gedurende de onderzoeksperiode bewaard in beveiligde faciliteiten op de universiteit. Om redenen van wetenschappelijke integriteit zullen deze gegevens voor verificatiedoeleinden tot 5 jaar na afronding van het onderzoek, voor uitsluitend dat doel, worden bewaard in beveiligde faciliteiten op de universiteit.
Hoewel de onderzoeksresultaten kunnen worden gebruikt voor toekomstig onderzoek, zullen deze gegevens niet beschikbaar worden gemaakt voor vervolgonderzoek door de eigen onderzoeksgroep of derden, maar na het verstrijken van de bewaartermijn van 5 jaar worden vernietigd.
Q9 Hoe gaan de onderzoekers om met artikel 5 principe 6: Integriteit en vertrouwelijkheid?
· Wetenschappelijke integriteit is erg belangrijk voor het doen van onderzoek. Om die reden onderschrijven alle onderzoekers de gedragscode wetenschappelijke integriteit en vinden hierover vaak bijeenkomsten plaats met de vakgroep of binnen de faculteit. Niemand wil meer die wetenschappelijke fraudeschandalen van een decennium geleden. Want de samenleving moet kunnen vertrouwen op de integriteit en de vertrouwelijkheid van de onderzoekers.
· De integriteit en vertrouwelijkheid worden geborgd door het ondertekenen van een geheimhoudingsovereenkomst door de dataprovider - het gecontracteerde netwerkbeheerbedrijf dat de universiteit gebruikt - en alleen de onderzoekers die aan het project werken, hebben fysiek en technisch toegang tot de gegevens. Er is tot de persoon herleidbare logging van de toegang tot, en de mutaties in de dataop basis van persoonlijke accounts, die regelmatig wordt gemonitord door de hoofdonderzoeker.
Per rol van de onderzoeker in het onderzoek is bepaald wat de adequate toegangsrechten zijn mbt de data en deze rechten zijn technisch en voor de duur van het onderzoeksproject toegekend. Verder wordt het vier ogen principe toegepast; nooit heeft iemand alleen toegang tot de verzamelde data, maar altijd samen met een collega, die dezelfde toegangsrechten heeft.
Het regelmatig hashen van de gegevens is een aanvullende maatregel die de vertrouwelijkheid van de gegevens borgt.
Q10 Welke technische maatregelen zijn in dit onderzoek nodig om de persoonsgegevens in voldoende mate te beschermen?
· Als de data maar versleuteld is kan er niet zoveel mis gaan. Er wordt al heel weinig data verzameld. Door de hashing vindt ook al pseudonimisering plaats. Dus daarmee voldoen de onderzoekers al aan de AVG.
· Om de privacy te beschermen en als onderdeel van best practices worden de persoonlijke gegevens periodiek gehasht, de tijdschaal varieert tussen dagelijks en wekelijks. Dit betekent dat de persoonlijk identificerende kenmerken in de gegevens, zoals het ip-adres, worden vervangen door een willekeurige tag en ook deze wordt periodiek gewijzigd.
De onderzoekers volgen best practices om de IP-adressen regelmatig en willekeurig te hashen. De universitaire voorzieningen zorgen samen met de expertise van de onderzoekers (cybersecurity) voor de nodige technische en organisatorische maatregelen om veilig met de data om te gaan. Aandachtspunt is het technisch filteren van verkeer van omwonenden (huisartsen? kinderen?).
Data kan niet worden gedownload op usb sticks of media en mee naar huis genomen oid. Gegevens kunnen niet worden geëxporteerd vanuit het systeem naar een exportbestand of een printbestand en op die manier buiten de bescherming van het systeem komen.
Q11 Welke organisatorische maatregelen zijn in dit onderzoek nodig om de persoonsgegevens in voldoende mate te beschermen?
· Alleen de bij het onderzoek betrokken wetenschappers hebben toegang de data. Het vier ogen principe wordt toegepast en er vindt monitoring van de loggings plaats. Er zijn goede afspraken met de leverancier over de vertrouwelijkheid van de gegevens en deze afspraken zijn contractueel vastgelegd.
· De onderzoekers kijken qua organisatorische maatregelen goed met welke organisaties ze samenwerken en maken daar goede afspraken mee. Met partijen met wie al een lange vertrouwensband is, kun je beter en veiliger samenwerken. Dat komt de bescherming van de persoonsgegevens ten goede.
6.2 #2 Een kosteneffectief model
Als inwoners van Nederland betalen we allemaal onze zorgpremies. Met al dat geld werken zorgverleners en mensen binnen diverse zorgdisciplines iedere dag samen om de best mogelijke zorg te bieden. Een universiteit en een zorgverzekeraar besloten de handen in een te slaan om te onderzoeken welke bekostigingsopties er allemaal mogelijk zijn voor persoonsgerichte zorg voor mensen met chronische ziektes.
Lees onderstaand de opzet van hun onderzoek eens door en probeer aansluitend de vragen goed te beantwoorden. Welke keuzes zou jij als privacy officer maken?
Titel van het onderzoek
'Ontwikkeling van een kosteneffectief model voor persoonsgerichte zorg voor mensen met chronische ziektes.'
Doel van het onderzoek
Op basis van analyse van de werkelijke integrale zorgkosten wordt een model ontwikkeld dat borgt dat goede interdisciplinaire zorg wordt geboden aan patiënten en dat deze zorg kosteneffectief is. De gewenste en ongewenste prikkels in de zorg en de bijbehorende integrale zorgkosten worden onderzocht.
Doelgroep van het onderzoek
Individuele patiënt-level data van alle volwassenen die in 2020 aan een of meer ketenzorgprogramma’s deelnamen.
Locatie van het onderzoek
Binnen de beveiligde omgeving van de universiteit op basis van gegevens van een zorgverzekeraar.
Opslaglocatie data
Binnen de (end-to-end) beveiligde omgeving van de universiteit op basis van gegevens van een zorgverzekeraar. Er wordt standaard software gebruikt voor beschrijvende statistiek, clusteranalyses en regressieanalyse, zoals door de instelling op basis van licenties beschikbaar gesteld.
Deelnemende partijen in het onderzoek
Een universiteit
Een zorgverzekeraar
Gebruikte data in het onderzoek
De data die nodig is om inzicht in het volledige zorggebruik van patiënten in een van de keten-dbc’s (diagnose-behandelcombinaties) te krijgen. Onder meer:
Een betekenisloze unieke identifier, niet te herleiden tot een BSN
Leeftijd
Geslacht
Overleden in dat jaar (J/N)
Versleutelde huisartspraktijkcode
Een set van indicatoren met betrekking huisartsenzorg en paramedische zorg.
Initieel ontwerp van het onderzoek
De verschillende bekostigingsopties worden gebaseerd op een combinatie van kwalitatief en kwantitatief onderzoek. In het kwantitatieve onderzoek willen we de bekostigingsopties onderbouwen met data over daadwerkelijk zorggebruik en kosten van patiënten die in 2017 aan een of meer vooraf gedefinieerde ketenzorgprogramma’s (aangeduid met codes) deelnamen.
[Quiz – 11 vragen, Q1 t/m Q11 – juiste antwoord in vet]
Q1 Welke (gevoelige) persoonsgegevens worden in dit onderzoek verwerkt?
· De verzekeraar levert de gegevens zo aan dat de deze voor de onderzoekers niet te herleiden is tot natuurlijke personen. Feitelijk gaat het dus om anonieme gegevens. Bij de data wordt bijvoorbeeld ook geen namen, adressen en postcodes verwerkt.
Het gaat in het onderzoek ook niet over de individuele zorg van personen, maar over het zorggebruik, en de kosten daarvan, op basis van de geregistreerde diagnose-behandelcombinaties.
· De verzekeraar levert de gegevens zo aan dat de deze voor de onderzoekers niet te herleiden is tot natuurlijke personen. Op basis van de bredere context, zou een re-identificatierisico kunnen ontstaan, dus de gegevens worden als persoonsgegevens beschouwd.
Omdat de gegevens inzicht geven in de gezondheid van de betrokkenen, is er tevens sprake van gevoelige gegevens. Het gaat hier om de indirecte afleidbaarheid op basis van de genoten huisartsenzorg en paramedische zorg.
Q2 Wat is de wettelijke grondslag voor deze verwerking?
· Het doel van het onderzoek dient het algemeen belang. De verwerking van persoonsgegevens door de universiteit voor dit onderzoek is noodzakelijk voor de vervulling van een taak van algemeen belang.
· De zorgverzekeraar heeft op haar website vermeld onder het privacy statement vermeld: “Zorgverzekeraars krijgen regelmatig verzoeken van bijvoorbeeld universitaire ziekenhuizen om persoonsgegevens (over gezondheid) te mogen gebruiken voor wetenschappelijk onderzoek of statistiek.
Deze gegevens worden alleen verstrekt voor zover niet volstaan kan worden met anonieme gegevens, het onderzoek in het algemeen belang is, en toestemming vragen niet mogelijk was.”. Patiënten hebben kennis kunnen nemen van dit privacy statement en hebben er dus mee ingestemd. Grondslag is dan ook ‘toestemming’.
Q3 Is het een hoog risico onderzoek en zo ja, welke risico’s spelen er dan?
· Omdat de gegevens zijn geanonimiseerd, is er eigenlijk geen risico. De onderzoeksgegevens zijn feitelijk geen persoonsgegevens. Ook wordt “statistische beveiliging” toegepast, bijvoorbeeld door rekening te houden met ‘outliers’, die uit de dataset worden verwijderd, omdat op basis daarvan mogelijk toch een re-identificatie risico kan spelen, of bijvoorbeeld groepsonthulling.
· Doordat dataminimalisatie en pseudonimisering is toegepast, achten we de risico’s voor betrokkenen verwaarloosbaar. Er is geen herleidbaarheid naar personen in de dataset die de universiteit krijgt aangeleverd. De technische en organisatorische waarborgen zien toe op de passende gegevensbescherming gedurende en na het onderzoek.
Q4 Hoe gaan de onderzoekers om met artikel 5 principe 1: Rechtmatigheid, behoorlijkheid en transparantie?
· Het onderzoek heeft een geldige juridische grondslag en op de site van de zorgverzekeraar wordt al transparant gecommuniceerd naar de patiënten hoe de gegevens voor het doel van wetenschappelijk onderzoek, ter beschikking wordt gesteld. Het is de minst privacy invasieve manier, en dus ‘behoorlijk’, om bij de zorgverzekeraar gegevens op de halen in plaats van deze bijvoorbeeld via een survey op te halen bij patiënten.
· De verwerking van persoonsgegevens is rechtmatig en methodologisch getoetst. In het onderzoek wordt transparantie naar de betrokken patiënten geborgd door communicatie vanuit de project website. De zorggroepen communiceren de ontwikkelingen rond het onderzoek naar de ketenzorgpartners (o.a. huisartsen, diëtisten, fysiotherapeuten).
Q5 Hoe gaan de onderzoekers om met artikel 5 principe 2: Doelbinding?
· De persoonsgegevens die worden verwerkt, worden niet voor een ander doel verwerkt dan hierboven beschreven bij ‘doel van het onderzoek’.
· Het onderzoek heeft eigenlijk maar een duidelijk doel en daar zijn de onderzoekers aan gebonden. Dat doel is hierboven beschreven bij ‘doel van het onderzoek’.[MOU6]
Q6 Hoe gaan de onderzoekers om met artikel 5 principe 3: Dataminimalisatie?
· In het ontwerp van het onderzoek is de keuze gemaakt om bepaalde behandelingen te analyseren en niet alles, ook nog binnen een bepaalde regio en alleen van volwassenen. Door deze selecties is de onderzoeksdata maximaal geminimaliseerd.
· De persoonsgegevens die worden verwerkt zijn strikt noodzakelijk voor het doel van het onderzoek. De motivering van de benodigde data, per gegevensveld, staat beschreven in het datamanagement plan van het onderzoek. Er worden gepseudonimiseerde gegevens gebruikt (huisartspraktijkcodes, versleuteld BSN), voor de onderzoeker de gegevens niet herleidbaar zijn tot personen.
Q7 Hoe gaan de onderzoekers om met artikel 5 principe 4: Juistheid?
· De verwerking van persoonsgegevens vindt plaats op basis van relevante data uit de desbetreffende bronsystemen, waardoor de juistheid van de gegevens geborgd is.
· De verwerking van persoonsgegevens vindt plaats op basis van door de zorgverzekeraar aangeleverde gegevens. Het is een gerenommeerd bedrijf dat z’n zaakjes echt wel op orde heeft; daar hebben we als onderzoekers tot nu toe altijd op kunnen vertrouwen.
Q8 Hoe gaan de onderzoekers om met artikel 5 principe 5: Opslagbeperking?
· De persoonsgegevens worden voor verificatiedoeleinden bewaard in de daartoe geschikte end-to-end encrypted omgeving waarin gegevens veilig gearchiveerd worden voor de duur van 10 jaar.
· Omdat het hier gaat om geanonimiseerde gegevens en dus eigenlijk niet om persoonsgegevens, kunnen deze onbeperkt worden gearchiveerd voor onderzoeksdoeleinden.
Q9 Hoe gaan de onderzoekers om met artikel 5 principe 6: Integriteit en vertrouwelijkheid?
· De persoonsgegevens zijn onder de verantwoordelijkheid van de universiteit goed beschermd door onderzoekers die regelmatig trainingen krijgen over wetenschappelijke integriteit. Zo geven de onderzoekers geen vergoedingen aan de deelnemers om te voorkomen dat patiënten om de verkeerde redenen meedoen aan het onderzoek. De onderzoekers gaan ook vertrouwelijk met de gegevens om omdat ze willen voorkomen dat anderen eerder dan zij zelf publiceren over hun gegevens.
· De persoonsgegevens zijn onder de verantwoordelijkheid van de universiteit in algemene zin adequaat beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. De hoofdonderzoeker ziet toe op de correcte toepassing van de organisatorische en technische waarborgen met betrekking tot de bescherming van de persoonsgegevens binnen het onderzoek.
Q10 Welke technische maatregelen zijn in dit onderzoek nodig om de persoonsgegevens in voldoende mate te beschermen?
· De dataverzameling, analyse en publicatie van de gegevens kan niet elders dan binnen de beveiligde omgeving plaatsvinden; downloaden van deze gegevens of deze versturen vanuit het systeem is technisch dichtgetimmerd. Slechts twee personen hebben toegang tot de data, op basis van een persoonlijk account en er vindt logging en monitoring plaats van toegang tot en mutatie van de data.
· Het onderzoek is ingericht volgens de principes van privacy by design, waarbij passende waarborgen zijn opgenomen in het ontwerp van het onderzoek voor wat betreft de versleutelde opslag van de gegevens. Zelfs de communicatie met de beveiligde omgeving is encrypted (SSL) en er is een sleutel registratiesysteem met camera om in de betreffende onderzoekskamer te komen. Voor identificatie om toegang te krijgen tot de kamer wordt gebruik gemaakt van een irisscan en in de kamer zelf alleen van usb sticks met het logo van de universiteit, zodat de data niet snel kwijt raakt.
Q11 Welke organisatorische maatregelen zijn in dit onderzoek nodig om de persoonsgegevens in voldoende mate te beschermen?
· Het onderzoek vindt plaats onder de verantwoordelijkheid van de hoofdonderzoeker die ervaren is met dit type onderzoek. De gegevens verlaten nimmer de end-to-end encrypted analyse-omgeving. Er is daartoe een clean desk policy en een clean whiteboard policy en er vinden regelmatig (tas)controles plaats bij binnenkomst en vertrek om te voorkomen dat data, of aantekeningen, mee naar buiten gaan.
· Het onderzoek vindt plaats op de bovenste etage, waar niemand komt die daar niets heeft te zoeken. Er staat ook geen koffiemachine om te voorkomen dat dit allerlei mensen aantrekt. Ook slaan de schoonmakers deze etage over om te voorkomen dat anderen dan de onderzoekers in de onderzoekskamer komen. Er wordt regelmatig gecontroleerd of de back ups van die dag veilig staan en of de bestanden niet beschadigd zijn. Dit voorkomt dat wanneer een backup moet worden gebruikt, zo’n bestand corrupt is. Al deze werkzaamheden worden goed gelogd door de hoofdonderzoeker die als enige weet waar het logboek ligt.
7. Relevante literatuur
Zin om verder te lezen? Op deze pagina bieden we je een overzicht van aanvullende relevante literatuur rondom de AVG in onderzoek.
A. Wetteksten
1. De Verordening (EU) 2016/679 van het Europees Parlement en de Raad. Betreffende De Bescherming Van Natuurlijke Personen in Verband Met De Verwerking Van Persoonsgegevens en Betreffende Het Vrije Verkeer Van Die Gegevens en Tot Intrekking Van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming) (AVG). 2016.
Online: https://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32016R0679&from=en
2. De Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG). 2020.
Online: https://wetten.overheid.nl/BWBR0040940/2020-01-01
3. De Nederlandse Grondwet. 2018.
4. Wet Bescherming Persoonsgegevens (vervallen per 25-05-2018)
Online: https://wetten.overheid.nl/BWBR0011468/2018-05-01
5. Handvest van de Grondrechten van de Europese Unie. 2012.
Online: https://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:12012P/TXT&from=NL
B. Autoriteit Persoonsgegevens (en voorgangers: College Bescherming Persoonsgegevens en Registratiekamer)
1. Beveiliging van persoonsgegevens. G.W. van Blarkom, drs. J.J. Borking. Registratiekamer. Achtergrondstudies en Verkenningen 23. 2001.
Online: https://autoriteitpersoonsgegevens.nl/sites/default/files/downloads/av/av23.pdf
2. Privacy Bij Wetenschappelijk Onderzoek en Statistiek. Kader voor een gedragscode. mr. drs. T.F.M. Hooghiemsta. 2002
3. CBP Richtsnoeren: Beveiliging van persoonsgegevens. Staatscourant Nr. 5174. 2013.
4. Besluit inzake lijst van verwerkingen van persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is. Autoriteit Persoonsgegevens. Staatscourant Nr. 64418. 2019.
Online: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/stcrt-2019-64418.pdf
C. The European Union Agency for Cybersecurity (ENISA)
1. Privacy and Data Protection by Design. January 12, 2015.
Online: https://www.enisa.europa.eu/publications/privacy-and-data-protection-by-design
2. Privacy by design in big data. December 17, 2015.
Online: https://www.enisa.europa.eu/publications/big-data-protection
3. Handbook on Security of Personal Data Processing. January 29, 2018.
Online: https://www.enisa.europa.eu/publications/handbook-on-security-of-personal-data-processing
4. Recommendations on shaping technology according to GDPR provisions - Exploring the notion of data protection by default. January 28, 2019.
5. Data Pseudonymisation: Advanced Techniques and Use Cases. January 28, 2021.
Online: https://www.enisa.europa.eu/publications/data-pseudonymisation-advanced-techniques-and-use-cases
D. European Data Protection Supervisor
1. Preliminary Opinion on data protection and scientific research. 2020.
Online: https://edps.europa.eu/sites/edp/files/publication/20-01-06_opinion_research_en.pdf
Colofon
De training 'Beyond Essentials 4 Data Support' is tot stand gekomen met de hulp van verschillende personen en organisaties:
Inhoudelijke expertise
Marlon Domingus (FG - Erasmus University Rotterdam - eindverantwoordelijk voor de inhoud)
Santosh Ilamparuthi (Data steward - TU Delft)
René van Horik (Onderzoeker - DANS)
Femmy Admiraal (Informatiekundige - DANS)
Emilie Kraaikamp (Data manager - DANS)
RDNL Stuurgroep - Opdrachtgever
Marta Teperek (Directeur - 4TU.ResearchData)
Ellen Leenarts (Projectleiding - DANS)
Hylke Koers (Projectleiding - SURF / RDNL)
Mark Huijs (Projectleiding - SURF / RDNL)
Carlos Teijeiro Barjas (Projectleiding - SURF / RDNL)
Concept en ontwikkeling content
Sander van Acht (Eigenaar - Flooow - eindverantwoordelijke didactisch ontwerp)
Image credits [MOU7]
https://unsplash.com/@scienceinhd
https://unsplash.com/@markusspiske
https://unsplash.com/@micheile
https://unsplash.com/@chrisliverani
https://unsplash.com/@vanillabearfilms
https://unsplash.com/@neonbrand
Licentie informatie: https://unsplash.com/license