Wat betekent de AVG voor jouw werk als onderzoeker?
Vragen?
Heb je vragen over deze cursus? Neem dan contact op met info@cybersaveyourself.nl.
Doel en doorloop
Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie. De Wet bescherming persoonsgegevens (Wbp) geldt vanaf dat moment dan niet meer. De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR).
Wat is er veranderd?
De AVG zorgt onder meer voor:
versterking en uitbreiding van privacyrechten;
meer verantwoordelijkheden voor organisaties;
dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.
Ook voor het werk van onderzoekers heeft de AVG belangrijke consequenties. Deze online module en de aansluitende bijeenkomst op jouw hogeschool of universiteit helpen je om voor jouw specifieke type onderzoek precies te weten welke veranderingen dit betekent, maar vooral ook welke kansen de AVG kan bieden.
Doel
Het doel van deze module is drieledig:
je leert wat de AVG inhoudt
je weet welke aspecten van de AVG voor jouw onderzoek van belang zijn
je bent bekend welke stappen je kunt zetten om aan de AVG te voldoen
Doelgroep
Deze module is ontwikkeld voor onderzoekers die verbonden zijn aan een hogeschool of universiteit.
Doorloop
Deze online module bestaat uit drie delen:
- Je doorloopt drie onderzoek-cases, waarbij je steeds via een korte quiz kunt testen wat je al over de AVG weet.
- Je leert diverse aspecten van de AVG kennen, zoals de DPIA, 'Privacy by design' en de zes vuistregels.
- Via drie scenario's leer je welke criteria een belangrijk deel van de te nemen maatregelen bepalen binnen een onderzoek.
Duur
Het doorlopen van de gehele module duurt ca. 45 minuten.
Drie cases
Wat weet je al over de AVG? Hoe goed kun je inschatten welke technische en organisatorische maatregelen je moet nemen binnen de context van een bepaald onderzoek? Om jezelf te testen bieden we je ter introductie drie cases aan. Lees de casus goed door en probeer daarna de vragen te beantwoorden.
In deze case staat pestgedrag onder jongeren en mogelijke interventies centraal. Lees eerst rustig alle informatie over de case door en probeer daarna de vragen te beantwoorden. Zo ontdek je wat je al weet over de omgang met persoonsgegevens in dit type onderzoek.
Titel onderzoek:
"Pestgedrag onder jongeren tussen 12 - 18 jaar"
Doel onderzoek
In dit onderzoek is gekeken in hoeverre pestgedrag onder jongeren van 12 - 18 jaar op school voorkomt en welke interventies kunnen bijdragen aan het afnemen van het pestgedrag.
Opzet onderzoek
Dit onderzoek is uitgevoerd binnen de faculteit Sociologie van één universiteit.
Dit onderzoek is uitgevoerd binnen Nederland.
Er is in dit onderzoek geen gebruik gemaakt van bestaande datasets.
Uitvoering onderzoek
In deze case wilde de onderzoeker via video-opnames in de klas en interviews met jongeren een dataset opbouwen. Het onderzoek omvatte daarbij op hoofdlijnen de volgende stappen:
Onderzoeker benadert docenten op scholen voor interesse in deelname en licht onderzoek toe.
Onderzoeker vraagt via formulieren aan docenten en ouders welke (minderjarige) leerlingen mogen participeren.
Leerlingen die niet mogen deelnemen krijgen een rode sticker op de kleding, de andere leerlingen een groene.
Onderzoeker maakt de opnames en houdt de 'rode stickers' uit beeld. Tevens worden de interviews afgenomen.
Onderzoeker vervoert met het openbaar vervoer de data naar de universiteit voor verwerking in het onderzoek.
Onderzoeker publiceert het onderzoek en archiveert de data. Op congressen vertoont hij delen van de opnames.
Je hebt nu een globaal beeld van de opzet en uitvoering van dit onderzoek. Check via onderstaande oefening eens in hoeverre je al weet hoe je binnen zo'n type onderzoek met de verwerking van persoonsgegevens moet omgaan:
Oefening: Pestgedrag onder jongeren
0%
Welke maatregelen moet de onderzoeker in deze casus nemen om een goede verwerking van de persoonsgegevens te garanderen? Test eens hoe goed je al op de hoogte bent van de AVG, veel succes!
Klik na afronding van de oefening rechtsonder op 'Volgende' om naar de volgende pagina te gaan.
Case 2: Rijkdom en egoïsme
In deze case staat mogelijk egoïstisch gedrag van vermogende mensen centraal. Lees eerst rustig alle informatie over de case door en probeer daarna de vragen te beantwoorden. Zo ontdek je wat je al weet over de omgang met persoonsgegevens in dit type onderzoek.
Titel onderzoek:
"Zijn rijke mensen egoïstischer dan arme mensen?"
Doel onderzoek
In dit onderzoek is gekeken in hoeverre vermogende mensen egoïstisch gedrag vertonen in vergelijking met minder vermogende mensen.
Opzet onderzoek
Dit onderzoek is uitgevoerd binnen de faculteit van één universiteit.
Dit onderzoek is uitgevoerd binnen Nederland.
Er is in dit onderzoek gebruik gemaakt van een CBS-dataset.
Uitvoering onderzoek
In deze case stuurde de onderzoeker zogenaamd verkeerd verzonden post met daarin contant geld naar vermogende en minder vermogende mensen. De data over de vermogens van de betrokkenen kwam vanuit het CBS. Het onderzoek omvatte daarbij op hoofdlijnen de volgende stappen:
Onderzoeker verdeelt op basis van verkregen CBS-data twee wijken van een stad op in 'arm' en 'rijk'.
Onderzoeker stuurt zonder toestemming vooraf ('covert research') post met contant geld naar alle adressen.
Onderzoeker registreert welk percentage uit beide wijken de 'verkeerd' verzonden post retourneert.
Onderzoeker verwerkt de data op de universiteit.
Onderzoeker publiceert het onderzoek en archiveert de data. Na afloop stelt hij de betrokkenen op de hoogte.
Je hebt nu een globaal beeld van de opzet en uitvoering van dit onderzoek. Check via onderstaande oefening eens in hoeverre je al weet hoe je binnen zo'n type onderzoek met de verwerking van persoonsgegevens moet omgaan:
Oefening: Rijkdom en egoïsme
0%
Welke maatregelen moet de onderzoeker in deze casus nemen om een goede verwerking van de persoonsgegevens te garanderen? Test eens hoe goed je al op de hoogte bent van de AVG, veel succes!
Klik na afronding van de oefening rechtsonder op 'Volgende' om naar de volgende pagina te gaan.
Case 3: Efficiëntie gezondheidszorg
In deze case staat de mogelijke toename van efficiëntie in de gezondheidszorg door de inzet van big data centraal. Lees eerst rustig alle informatie over de case door en probeer daarna de vragen te beantwoorden. Zo ontdek je wat je al weet over de omgang met persoonsgegevens in dit type onderzoek.
Titel onderzoek:
"Een efficiëntere gezondheidszorg binnen de EU door de inzet van big data?"
Doel onderzoek
In dit onderzoek is gekeken in hoeverre het koppelen van grote datasets vanuit zorgverzekeraars, ziekenhuizen en privé-klinieken kan leiden tot een snellere diagnose, effectievere logistiek, lagere wachttijden en minder impact op de patiënt.
Opzet onderzoek
Dit onderzoek is uitgevoerd in samenwerking tussen diverse Europese publieke en private partijen.
Dit onderzoek is uitgevoerd binnen EU en non-EU landen (Noorwegen, Israël).
Het onderzoek is uitsluitend gebaseerd op bestaande datasets.
Uitvoering onderzoek
In deze case speelde het opstellen van contracten tussen alle deelnemende partijen een centrale rol. Wie kreeg toegang tot welke datasets, zowel voorafgaand als na oplevering van de publicatie? Daarbij zijn op hoofdlijnen onderstaande stappen gezet:
Alle partijen hebben gezamenlijk een proposal voor Europese subsidie opgesteld wat toegekend is.
Alle partijen hebben contracten gesloten over de verwerking, toegang, opslag en publicatie van alle data.
Voor het kunnen meten van de efficiëntiewinst worden in verschillende werkpakketten metingen gedaan.
De metingen geven aanleiding tot aanvullende interventies om efficiëntie te vergroten.
Naast de onderzoeksgegevens publiceert men ook de 'lessons learned' en randvoorwaarden uit dit onderzoek.
Het onderzoek wordt gepubliceerd en men archiveert de data.
Je hebt nu een globaal beeld van de opzet en uitvoering van dit onderzoek. Check via onderstaande oefening eens in hoeverre je al weet hoe je binnen zo'n type onderzoek met de verwerking van persoonsgegevens moet omgaan:
Oefening: Efficiëntie gezondheidszorg
0%
Welke maatregelen moet de onderzoeker in deze casus nemen om een goede verwerking van de persoonsgegevens te garanderen? Test eens hoe goed je al op de hoogte bent van de AVG, veel succes!
Klik na afronding van de oefening rechtsonder op 'Volgende' om naar de volgende pagina te gaan.
Quick wins
In de drie cases zie je dat ieder onderzoek specifieke maatregelen behoeft om een juiste omgang met persoonsgegevens te garanderen. Toch zijn er voor onderzoekers ook algemene 'quick wins'; eenvoudige aanpassingen in je werkwijze die voor veel extra veiligheid zorgen. Op deze pagina bieden we je een beknopt overzicht.
Wat kun je nu al doen?
Onderstaand zie je zeven relatief eenvoudige acties die ervoor zorgen dat de kans op een datalek in je onderzoek sterk verkleint. We raden ze iedere onderzoeker aan om waar mogelijk te implementeren.
Privacy filter: een speciaal type folie dat op ieder laptop- of desktopscherm is aan te brengen. Het zorgt ervoor dat de kijkhoek sterk verkleint, waardoor anderen minder makkelijk mee kunnen kijken op je scherm. Handig als je bijvoorbeeld veel mobiel werkt. Zoek op 'privacy filter laptop' om een geschikt type te vinden.
Webcam cover: ook zonder dat je het door hebt kunnen kwaadwillenden via jouw webcam meekijken. Een webcam cover is een eenvoudig te plaatsen 'slotje' dat de webcam indien gewenst volledig afdekt. Zo is meekijken direct verleden tijd. Zoek op 'webcam cover' om een geschikt type te vinden.
Encryptie van de harde schijf: door encryptie zijn de gegevens op de schijf beveiligd tegen ongewenste toegang krijgen tot je gegevens. Deze schijf kan namelijk eenvoudig uit de laptop worden verwijderd en via een pc zonder probleem worden uitgelezen. Voor Windows computers is BitLocker Drive Encryption een goede optie, voor Mac's is dat FileVault.
Terms of service reader: veel online diensten hebben in hun ’terms of service’ bepalingen opgenomen wat ze met jouw gegevens mogen doen. Om deze vaak lange 'terms of service’ documenten makkelijker te kunnen beoordelen zijn er add-ons voor je browser. Deze add-ons geven je snel inzicht in de risico’s die je loopt door het gebruik van de dienst.
Anti virus software: om te voorkomen dat kwaadwillenden toegang krijgen tot je computer of laptop is goede anti virus software en het regelmatig installeren van de updates van belang. Deze software houdt je computer schoon en veilig.
Anti tracking en anti cookie software: er is voor webbrowsers software beschikbaar die cookies voor je analyseert en aan jou aangeeft wat deze cookies doen en schadelijke cookies alvast onschadelijk maakt. Deze software houdt ook voor je bij of een partij jou ‘tracked’ en zo informatie over jou verzamelt en mogelijk zelfs doorspeelt aan derden.
Privacy in onderzoek
Persoonsgegevens. Waarom zou je daar voorzichtig mee om gaan? Kost toch alleen maar extra tijd en moeite om dat allemaal goed te regelen? Nee... Het kan je zelfs veel opleveren. Echt waar. Hier vier redenen waarom een zorgvuldige omgang met persoonsgegevens belangrijk kan zijn.
1. Gedragscode
In de 'Nederlandse Gedragscode Wetenschapsbeoefening' (2014) is het borgen van privacy van mensen betrokken bij het onderzoek expliciet benoemd als een nadere invulling van het principe: 'Eerlijkheid en zorgvuldigheid’. In deze gedragscode staan de principes benoemd waar de Nederlandse wetenschapsbeoefenaars aan gehouden zijn voor de correcte uitoefening van hun taak, en waar zij, indien nodig, op aan kunnen worden gesproken. Er staat:
"Iedere wetenschapsbeoefenaar toont respect voor mensen en dieren die betrokken zijn bij wetenschappelijk onderwijs en onderzoek. Onderzoek met mensen is principieel slechts mogelijk als zij informed consent hebben verleend, de risico’s gering zijn, en de privacy van de betrokkenen afdoende wordt beschermd.”
2. Verantwoordingsplicht
De nieuwe privacy-wetgeving AVG biedt je instrumenten zoals de DPIA (Data Protection Impact Assessment), die je helpen nog pro-actiever naar je onderzoek te kijken. Hiermee weet je precies welke uitdagingen er qua privacy in je onderzoek spelen, kun je sneller anticiperen en ben je beter 'in control' tijdens het onderzoek. Je hebt hierdoor voorafgaand aan het onderzoek duidelijkheid over wat je wanneer moet doen om te voldoen aan de eisen van de AVG.
3. Impact
Onderzoekers streven niet alleen wetenschappelijke impact na, maar beogen ook impact te hebben op de samenleving. Het aantoonbaar borgen van de privacy van alle betrokkenen en transparantie over hoe je dit doet, draagt bij aan het vertrouwen in onderzoek in het algemeen, aan de betrouwbaarheid van de instelling waar je aan verbonden bent. Een datalek schaadt het vertrouwen in onderzoek, de instelling en de onderzoeker.
4. Samenwerking
Ook voor jouw aantrekkelijkheid als betrouwbare (internationale) onderzoekspartner is het borgen van privacy belangrijk, zodat je hiermee naast een inhoudelijke bijdrage ook onderscheidend bent in randvoorwaardelijke zin. Op die manier kun je eenvoudiger participeren in onderzoeksconsortia en zo meedingen naar externe onderzoeksfinanciering.
De AVG
De nieuwe privacywet die op 25 mei 2018 van kracht is heet de Algemene Verordening Gegevensbescherming, ofwel AVG. Deze wet geldt voor alle personen binnen organisaties die persoonsgegevens van Europese burgers verwerken. Dus ook alle medewerkers van hogescholen en universiteiten. Op deze pagina leer je in het kort de AVG kennen en ontdek je wat specifiek voor onderzoekers relevant is.
De AVG in een notendop
Maak je geen gebruik van persoonsgegevens in je onderzoek, dan is de AVG niet van toepassing. Verwerk je wel persoonsgegevens, dan is de AVG wel voor jou van belang.
Zin om je helemaal in de AVG te verdiepen? Dan kun je via deze link de volledige wettekst vinden. Geen tijd voor 88 pagina's? De vijf belangrijkste zaken uit de AVG die iedere onderzoeker moet weten zijn:
Zet de privacyrechten van de betrokken personen centraal, niet je onderzoeksresultaten.
De AVG is gebaseerd op principes en vertelt je alleen dat je zaken rondom privacy moet regelen.
Wat je precies moet doen hangt af van de onderzoeks-context. Zodra je die weet zijn de maatregelen duidelijk.
Doe voordat je onderzoek start en bij grote veranderingen een DPIA (DataProtection Impact Assessment).
Privacy by Design: bouw privacy bevorderende maatregelen in bij de opzet van je onderzoek.
Privacy by Default: zet de standaard instellingen van alle systemen zo dat ze de privacy van de betrokkenen bevorderen
Voorbereiden op de AVG?
De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens. Onder dit toezicht vallen diverse activiteiten, zoals onderzoek.
Een andere belangrijke taak van de AP is het adviseren over nieuwe regelgeving. Vanuit die laatste rol heeft de AP tien stappen beschreven die je kunt zetten om je goed voor te bereiden op de AVG. Onderstaande video legt deze stappen helder uit. Wil je de stappen liever lezen, dan kun je onder de video de stappen als tekstdocument downloaden. We raden je van harte aan deze stappen goed te bekijken.
Video geproduceerd door Karel Roos, ICT- en ICT&O adviseur/coördinator, Universiteit Leiden
In deze module gaan we verder in op wat jij als onderzoeker nou met die AVG moet (en mag). Wil je jezelf nu al verder in de AVG verdiepen, dan raden we je aan op de site hulpbijprivacy.nl te beginnen. Deze website van de Autoriteit Persoonsgegevens biedt heldere informatie over de AVG in het algemeen.
Ook vind je via deze website van SURF een wiki met uitleg over de wet en de interpretatie ervan, plus een vergelijking met de Wet bescherming persoonsgegevens.
Zes vuistregels
De AVG is gebaseerd op zes principes, ook wel de vuistregels genoemd. Deze vuistregels zijn voor onderzoekers belangrijk om in iedere fase van het onderzoek voor ogen te houden. Door deze vuistregels consequent te hanteren verlaag je het risico op fouten in de omgang met persoonsgegevens.
De AVG in een notendop
Onderstaand zie je de zes vuistregels met steeds een bijbehorende vraag. Is tijdens je onderzoek het antwoord op een van deze vragen 'nee', dan zul je een aanpassing in je onderzoek moeten doen. Bijvoorbeeld de betrokkenen informeren ('Transparantie'), de persoonsgegevens vernietigen ('Opslag beperking') of een leeftijdrange in plaats van een geboortejaar vragen ('Dataminimalisatie').
Lees de zes vuistregels eens door en probeer vervolgens onderstaande vragen goed te beantwoorden:
Oefening: Zes vuistregels
0%
Lees steeds eerst de situatieschets en geef vervolgens antwoord op de vraag. Succes!
Privacy by Design. Een van de belangrijkste uitgangspunten voor een goede omgang met persoonsgegevens. Het betekent dat je niet alleen in je onderzoeksplan helder beschrijft hoe je de privacy waarborgt, maar ook dat je bij iedere stap in het onderzoeksproces de juiste technische en organisatorische maatregelen treft. Welke dat kunnen zijn ontdek je in deze oefening.
Oefening 'Privacy by Design'
Ieder onderzoek is anders. Dus zijn de precieze maatregelen die je bij iedere stap in je onderzoek moet treffen ook anders. Het gaat om de 'mindset' dat je gedurende het gehele onderzoek privacy voorop hebt staan.
Onderstaand zie je een onderzoek opgedeeld in zes stappen. Probeer eens te ontdekken welke technische en organisatorische maatregelen je bij iedere stap zou kunnen nemen.
Context
Welke specifieke organisatorische en technologische maatregelen je bij iedere stap in je onderzoek moet regelen hangt af van de context waarin je het onderzoek uitvoert. Hierbij spelen vragen als:
Is er sprake van een samenwerking tussen publieke of private partijen binnen het onderzoek?
Zijn er meerdere landen bij het onderzoek betrokken en zo ja, welke?
Gaat het onderzoek uit van bestaande datasets of creëert het onderzoek alleen een nieuwe dataset?
Maken de onderzoekers gebruik van nieuwe technologieën of zeer omvangrijke datasets binnen het onderzoek?
Om te weten welke maatregelen in jouw of jullie situatie van toepassing zijn kun je voorafgaand aan je onderzoek een DPIA uit. De Nederlandse benaming hiervoor is een 'gegevensbeschermings-effectbeoordeling'. Op de volgende pagina gaan we hier dieper op in.
DPIA
Hoe weet je als onderzoeker nou of je alle maatregelen hebt getroffen om de persoonsgegevens in jouw onderzoek zo goed mogelijk te beschermen? Daarvoor gebruik je een Data Protection Impact Assessment (DPIA). In het Nederlands: een 'gegevensbeschermings-effectbeoordeling'.
Een DPIA kun je het beste vergelijken met een stoplicht. De DPIA omvat een serie vragen die laten zien op welke punten in jouw onderzoeksopzet het licht op groen, oranje of rood gaat qua omgang met persoonsgegevens. Op deze pagina leggen we je uit hoe dat werkt.
Waarom?
Binnen de AVG funcioneert een DPIA als risico-assessment. Het is een gestructureerde manier om risico's met betrekking de omgang met persoonsgegevens binnen een onderzoek naar boven te krijgen. Door alle vragen in de DPIA samen met een privacy-expert in jouw organisatie te beantwoorden krijg je overzicht van potentiële risico's. Zo kun je al in een vroeg stadium treffende maatregelen nemen, wat je later in je onderzoek veel tijd, maar vooral het risico op datalekken kan besparen.
Hoe?
Een DPIA voer je altijd uit als het ontwerp van je onderzoek op hoofdlijnen staat. Samen met een privacy-expert (veelal een 'data-steward') binnen de organisatie doorloop je de vragenlijst. Dit duurt meestal één tot anderhalf uur. Uit de vragenlijst volgt de risico-analyse op basis waarvan je wellicht enkele onderdelen in je onderzoeksplan moet aanpassen. Aansluitend volgt eventueel nog een DPIA, om ook je aangepaste onderzoeksvoorstel te controleren op risico's.
Op hoofdlijnen ziet het proces er als volgt uit:
Voorbeeld
Een DPIA is zoals gezegd een vragenlijst. Wil je alvast zien welke vragen in een DPIA aan bod komen, dan kun je hier een voorbeeld bekijken. Let op: de vragenlijst die jouw organisatie gebruikt kan hiervan afwijken. Vraag bij jullie interne privacy-expert (veelal de 'data-steward') naar de DPIA die jullie hanteren.
Scenario's
Ieder onderzoek is uniek, zoveel is zeker. Gelukkig betekent dat niet dat je voor ieder onderzoek weer helemaal opnieuw moet bepalen welke maatregelen nodig zijn om de privacy van betrokkenen te garanderen. Drie criteria bieden je hierbij houvast: samenwerking, geografie en typedata.
Doel
Het doel voor iedere onderzoeker met betrekking tot de juiste verwerking van persoonsgegevens is helder:
Maar hoe krijg je dat 100% inzicht dan? In de praktijk blijkt dat circa 80% van de technische en organisatorische maatregelen die je moet treffen af te leiden is uit drie aspecten:
1. Welk type samenwerking speelt een rol binnen het onderzoek? Publiek, publiek-publiek of publiek-privaat?
2. Geografie: welke landen participeren in het onderzoek? Alleen landen binnen de EU, landen buiten de EU en de Verenigde Staten in bijzonder?
3. Van welk type data maak je gebruik in het onderzoek? Creeër je een nieuwe dataset, gebruik je een publiek toegankelijke dataset, een private dataset of een combinatie van datasets?
Zodra de privacy-expert in jouw organisatie deze drie aspecten kent zijn de vragen binnen de DPIA al voor circa 80% in te vullen. De overige 20% volgt uit de specifieke context waarbinnen je het onderzoek uitvoert. Bijvoorbeeld welke technische voorzieningen er beschikbaar zijn, wat eisen vanuit een eventuele funder zijn etc.:
Door vaker een DPIA uit te voeren leer je de vaste maatregelen op basis van de drie aspecten samenwerking, geografie en data kennen. In dit hoofdstuk lopen we deze drie aspecten kort even langs.
Samenwerking
De manier waarop je in jouw onderzoek samenwerkt met andere partijen kan consequenties hebben voor de maatregelen die je binnen de AVG moet nemen. Bijvoorbeeld het afsluiten van contracten over wie toegang tot bepaalde data heeft. De privacy-expert in jullie organisatie kan je op basis van jouw situatie de precieze maatregelen vertellen.
Drie scenario's
Op hoofdlijnen zijn er rondom samenwerking in onderzoek drie scenario's te onderscheiden:
1. Binnen de instelling. Je voert het onderzoek uit binnen de instelling zelf. Alle data komt alleen beschikbaar voor medewerkers van dezelfde instelling. Dit scenario vereist de minst verregaande maatregelen.
2. Publiek - publiek. Je voert het onderzoek uit in samenwerking met een andere publieke instelling, zoals een andere hogeschool of universiteit. In dit scenario zul je afspraken moeten maken over wie wanneer bij welke data mag en zal er afstemming nodig zijn over de in te zetten technologieën voor onder andere de opslag en analyse van de data.
3. Publiek - privaat. Dit scenario omvat de meest verregaande maatregelen. Je werkt samen met een private instelling, die naast het onderzoek ook mogelijk andere (commerciële) belangen bij de data kan hebben. Deze samenwerking is ook binnen de AVG prima mogelijk, maar vergt contractuele afspraken over de omgang met data in alle fasen van het onderzoek.
Wees je bewust dat je in vrijwel ieder onderzoek met anderen 'samenwerkt'. Ook in het eerste scenario deel je mogelijk toch al data met partijen buiten de instelling, zonder dat het een formele samenwerking betreft!
Acties
Het concretiseren van de maatregelen die je binnen jouw onderzoek moet treffen omvat drie stappen:
1. DPIA. Samen met de privacy-expert binnen jullie instelling doe je een DPIA, waarmee je mogelijke risico's identificeert.
2. Afspraken. Aansluitend zijn er (sowieso bij scenario 2 en 3) contractuele afspraken nodig over wie bij welke (delen van de) data mag, welke technologie jullie gaan gebruiken, waar bjivoorbeeld servers staan, etc. Deze afspraken maak je in samenwerking met legal- en ICT-experts binnen jouw organisatie.
3. Registratie en controle. Om volledig 'AVG-compliant' te werken zul je een proces voor het registreren van alle data en het controleren van alle contractuele afspraken moeten opstellen. Ook dit doe je in samenwerking met de benodigde expertise binnen jouw organisatie. Als je niet weet wie dat is, vraag het eens na bij de ICT-afdeling, de instellingsjurist en/of het bedrijfsbureau.
Geografie
Ook de geografische afbakening van je onderzoek heeft consequenties voor de maatregelen die je moet treffen. Niet alleen welke landen bij het onderzoek zijn betrokken, maar bijvoorbeeld ook landen waar servers staan waar data uit het onderzoek op terecht komt. De privacy-expert in jullie organisatie kan je op basis van jouw situatie de precieze maatregelen vertellen.
Drie scenario's
Op hoofdlijnen zijn er rondom geografie in onderzoek drie scenario's te onderscheiden:
1. Binnen de instelling. Je voert het onderzoek uit binnen de instelling zelf. Alle data komt alleen beschikbaar voor medewerkers van dezelfde instelling. Dit scenario vereist de minst verregaande maatregelen.
2. Binnen de EU. Je voert het onderzoek uit in samenwerking met organisaties binnen de EU, dat kunnen zowel publieke als private organisaties zijn. In dit scenario zul je afspraken moeten maken over wie wanneer bij welke data mag en zal er afstemming nodig zijn over de in te zetten technologieën voor onder andere de opslag en analyse van de data.
3. Buiten de EU. Dit scenario omvat de meest verregaande maatregelen. Je werkt samen met organisaties buiten de EU, waar andere afspraken over de omgang met persoonsgegevens gelden. Deze samenwerking is ook binnen de AVG prima mogelijk, maar vergt contractuele afspraken over de omgang met data in alle fasen van het onderzoek.
Acties
Het concretiseren van de maatregelen die je binnen jouw onderzoek moet treffen op basis van het scenario dat voor jou relevant is zijn vergelijkbaar met de stappen binnen de 'samenwerking-scenario's'. Door een DPIA uit te voeren krijg je zicht op de te treffen maatregelen.
Data
Maak je geen gebruik van persoonsgegevens in je onderzoek, dan is de AVG dus ook niet van toepassing. Bestaat (een deel van) je data wel uit persoonsgegevens, dan moet je maatregelen treffen. Het type data dat je gebruikt bepaalt daarbij welke maatregelen dit zijn. De privacy-expert in jullie organisatie kan je op basis van jouw situatie de precieze maatregelen vertellen.
Drie scenario's
Op hoofdlijnen zijn er rondom het type data in onderzoek drie scenario's te onderscheiden:
1. Automatisch gegenereerd. Dit omvat data die voortkomen uit bronnen waarbij continu gegevens beschikbaar komen. Zoals wifi-netwerken, fitness-horloges, slimme stroommeters, etc.. De communicatie en toegang tot deze grote hoeveelheden geautomatiseerde data moet passend beschermd zijn (encryptie, opslag, https).
2. Eigen creatie. Dit omvat data die door een inspanning van de onderzoeker tot stand zijn gekomen. Bijvoorbeeld interviews, opnames, gemaakte foto's, etc.. Er zijn hierbij veelal meerdere momenten van dataverzameling; ieder moment en ieder proces moet qua veiligheid goed doordacht worden.
3. Hergebruik. Dit omvat veelal meerdere bestaande datasets die aan elkaar gekoppeld worden, of die een onderzoeker verrijkt met zelf gecreëerde data. Door koppeling van datasets kan data leiden naar individuen. Om dit te voorkomen moet je zorgen dat de toegang tot de data goed beschermd is en je indien mogelijk direct overgaat tot pseudonimisering.
Bijzondere persoonsgegevens
Een speciale categorie van persoonlijke data zijn de bijzondere persoonsgegevens. Dit zijn gegevens die direct naar een bepaald persoon verwijzen, zoals DNA, foto en video-materiaal, biometrische gegevens etc. Veelal betreft het data die niet of moeilijk te anonimiseren is. Bij een interview kun je bijvoorbeeld eenvoudig de naam weglaten van de geïnterviewde persoon, zodat de tekst niet herleidbaar is. Met bijvoorbeeld DNA is dat niet mogelijk.
Indien je met dit type data werkt zul je aanvullende maatregelen moeten treffen.
Acties
Het concretiseren van de maatregelen die je binnen jouw onderzoek moet treffen op basis van het scenario dat voor jou relevant is zijn vergelijkbaar met de stappen binnen de 'samenwerking-scenario's'. Door een DPIA uit te voeren krijg je zicht op de te treffen maatregelen.
Gefeliciteerd!
Je bent aan het einde gekomen van deze online module over 'Privacy in onderzoek'! Hiermee heb je hopelijk een goed beeld gekregen van de onderdelen binnen de AVG en welke rol de AVG binnen jouw onderzoek speelt.
Mocht je na deze online module nog vragen of opmerkingen hebben, dan horen we dat uiteraard graag. Neem dan contact op met de privacy-expert binnen jouw organisatie of met Cybersave Yourself via info@cybersaveyourself.nl.
Overige / English modules
Ook voor diverse andere doelgroepen biedt SURF een e-learning over privacy aan. Op deze pagina vind je een overzicht van alle Nederlands- en Engelstalige modules in de reeks.
SURF also offers e-learning courses about privacy for various other target groups. On this page you will find an overview of all Dutch and English modules in the series.
Nederlandstalige e-learning modules:
Privacy in Onderzoek
doelgroep: onderzoekers in onderwijs en onderzoek in Nederland
duur: ca. 45 minuten
Privacy in Onderzoek Light
doelgroep: onderzoekers in onderwijs en onderzoek in Nederland
duur: ca. 20 minuten
Privacy in Onderwijs
doelgroep: docenten in onderwijs en onderzoek in Nederland
duur: ca. 45 minuten
Het arrangement Privacy in Onderzoek is gemaakt met
Wikiwijs van
Kennisnet. Wikiwijs is hét onderwijsplatform waar je leermiddelen zoekt,
maakt en deelt.
Dit lesmateriaal is gepubliceerd onder de Creative Commons Naamsvermelding-GelijkDelen 3.0 Nederland licentie. Dit houdt in dat je onder de voorwaarde van naamsvermelding en publicatie onder dezelfde licentie vrij bent om:
het werk te delen - te kopiëren, te verspreiden en door te geven via elk medium of bestandsformaat
het werk te bewerken - te remixen, te veranderen en afgeleide werken te maken
voor alle doeleinden, inclusief commerciële doeleinden.
Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie. De Wet bescherming persoonsgegevens (Wbp) geldt vanaf dat moment dan niet meer. De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR).
Wat weet je al over de AVG? Hoe goed kun je inschatten welke technische en organisatorische maatregelen je moet nemen binnen de context van een bepaald onderzoek? Om jezelf te testen bieden we je ter introductie drie cases aan. Lees de casus goed door en probeer daarna de vragen te beantwoorden.
: 
: 
: 
In de drie cases zie je dat ieder onderzoek specifieke maatregelen behoeft om een juiste omgang met persoonsgegevens te garanderen. Toch zijn er voor onderzoekers ook algemene 'quick wins'; eenvoudige aanpassingen in je werkwijze die voor veel extra veiligheid zorgen. Op deze pagina bieden we je een beknopt overzicht.
Privacy filter: een speciaal type folie dat op ieder laptop- of desktopscherm is aan te brengen. Het zorgt ervoor dat de kijkhoek sterk verkleint, waardoor anderen minder makkelijk mee kunnen kijken op je scherm. Handig als je bijvoorbeeld veel mobiel werkt. Zoek op 'privacy filter laptop' om een geschikt type te vinden.
Webcam cover: ook zonder dat je het door hebt kunnen kwaadwillenden via jouw webcam meekijken. Een webcam cover is een eenvoudig te plaatsen 'slotje' dat de webcam indien gewenst volledig afdekt. Zo is meekijken direct verleden tijd. Zoek op 'webcam cover' om een geschikt type te vinden.
Encryptie van de harde schijf: door encryptie zijn de gegevens op de schijf beveiligd tegen ongewenste toegang krijgen tot je gegevens. Deze schijf kan namelijk eenvoudig uit de laptop worden verwijderd en via een pc zonder probleem worden uitgelezen. Voor Windows computers is BitLocker Drive Encryption een goede optie, voor Mac's is dat FileVault.
Terms of service reader: veel online diensten hebben in hun ’terms of service’ bepalingen opgenomen wat ze met jouw gegevens mogen doen. Om deze vaak lange 'terms of service’ documenten makkelijker te kunnen beoordelen zijn er add-ons voor je browser. Deze add-ons geven je snel inzicht in de risico’s die je loopt door het gebruik van de dienst.
Anti virus software: om te voorkomen dat kwaadwillenden toegang krijgen tot je computer of laptop is goede anti virus software en het regelmatig installeren van de updates van belang. Deze software houdt je computer schoon en veilig.
Persoonsgegevens. Waarom zou je daar voorzichtig mee om gaan? Kost toch alleen maar extra tijd en moeite om dat allemaal goed te regelen? Nee... Het kan je zelfs veel opleveren. Echt waar. Hier vier redenen waarom een zorgvuldige omgang met persoonsgegevens belangrijk kan zijn.
De nieuwe privacywet die op 25 mei 2018 van kracht is heet de Algemene Verordening Gegevensbescherming, ofwel AVG. Deze wet geldt voor alle personen binnen organisaties die persoonsgegevens van Europese burgers verwerken. Dus ook alle medewerkers van hogescholen en universiteiten. Op deze pagina leer je in het kort de AVG kennen en ontdek je wat specifiek voor onderzoekers relevant is.
Privacy by Design. Een van de belangrijkste uitgangspunten voor een goede omgang met persoonsgegevens. Het betekent dat je niet alleen in je onderzoeksplan helder beschrijft hoe je de privacy waarborgt, maar ook dat je bij iedere stap in het onderzoeksproces de juiste technische en organisatorische maatregelen treft. Welke dat kunnen zijn ontdek je in deze oefening.
Hoe weet je als onderzoeker nou of je alle maatregelen hebt getroffen om de persoonsgegevens in jouw onderzoek zo goed mogelijk te beschermen? Daarvoor gebruik je een Data Protection Impact Assessment (DPIA). In het Nederlands: een 'gegevensbeschermings-effectbeoordeling'.
De manier waarop je in jouw onderzoek samenwerkt met andere partijen kan consequenties hebben voor de maatregelen die je binnen de AVG moet nemen. Bijvoorbeeld het afsluiten van contracten over wie toegang tot bepaalde data heeft. De privacy-expert in jullie organisatie kan je op basis van jouw situatie de precieze maatregelen vertellen.
Ook de geografische afbakening van je onderzoek heeft consequenties voor de maatregelen die je moet treffen. Niet alleen welke landen bij het onderzoek zijn betrokken, maar bijvoorbeeld ook landen waar servers staan waar data uit het onderzoek op terecht komt. De privacy-expert in jullie organisatie kan je op basis van jouw situatie de precieze maatregelen vertellen.
Maak je geen gebruik van persoonsgegevens in je onderzoek, dan is de AVG dus ook niet van toepassing. Bestaat (een deel van) je data wel uit persoonsgegevens, dan moet je maatregelen treffen. Het type data dat je gebruikt bepaalt daarbij welke maatregelen dit zijn. De privacy-expert in jullie organisatie kan je op basis van jouw situatie de precieze maatregelen vertellen.
