Wat betekent de AVG voor jouw werk als onderzoeker?
Deze online module vormt de verkorte variant van de standaard online module 'Privacy in Onderzoek'. De standaard online module is via deze link te benaderen. Heb je vragen over deze cursus? Neem dan contact op met info@cybersaveyourself.nl.
Doel en doorloop
Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie. De Wet bescherming persoonsgegevens (Wbp) geldt vanaf dat moment dan niet meer. De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR).
Wat verandert er?
De AVG zorgt onder meer voor:
versterking en uitbreiding van privacyrechten;
meer verantwoordelijkheden voor organisaties;
dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.
Ook voor het werk van onderzoekers heeft de AVG belangrijke consequenties. Deze verkorte online module vertelt je in ca. 20 minuten om welke veranderingen het gaat.
Doel
Het doel van deze module is drieledig:
je leert hoe je veilig kunt werken als onderzoeker;
je bent bekend met de stappen die je kunt zetten om aan de AVG te voldoen;
je weet waar je meer training of informatie kunt halen als je verdere verdieping wilt.
Doelgroep
Deze module is ontwikkeld voor onderzoekers die verbonden zijn aan een hogeschool of universiteit.
Doorloop
In deze verkorte module leer je wat je als onderzoeker kunt doen om de privacy van betrokkenen in een onderzoek te verhogen en hoe je dat doet. Uitgebreidere informatie over alle besproken onderwerpen is te vinden in de standaard online module 'Privacy in Onderzoek'.
Duur
Het doorlopen van de gehele module duurt ca. 20 minuten.
1: Wat moet je doen?
Vijf punten
Wat zijn de belangrijkste zaken die je rondom privacy in onderzoek moet onthouden?
De AVG gaat over persoonsgegevens. De eerste vraag is dan ook altijd: verwerk je in het onderzoek persoonsgegevens? Is dat niet het geval, dan is de AVG niet van toepassing. Verwerk je wel persoonsgegevens, dan zijn er vijf punten die je moet onthouden om een maximale bescherming van deze gegevens in jouw onderzoek te garanderen.
WERK VEILIG
Er zijn diverse (vaak eenvoudige) maatregelen die je kunt treffen om de privacy van betrokkenen in jouw onderzoek te maximaliseren. Op de pagina 'Quick wins' vind je een overzicht van deze maatregelen.
GRONDSLAG
Om persoonsgegevens in een onderzoek te mogen verwerken moet er een 'grondslag' voor die verwerking zijn. Bijvoorbeeld dat je toestemming hebt, of dat er een algemeen belang voor de verwerking is. De zes mogelijke grondslagen kun je op deze afbeelding bekijken.
PRIVACY BY DESIGN & PRIVACY BY DEFAULT
Bouw al tijdens het ontwerp van je onderzoeksplan bij iedere stap een maximale borging van de privacy in. Dit heet 'Privacy by design'. En zet waar mogelijk alle standaardinstellingen op de meest privacy-vriendelijke stand. Dit heet 'Privacy by default'.
HANTEER DE PRIVACY PRINCIPES
Bij iedere verwerking van persoonsgegevens voor, tijdens en na het onderzoek dien je de zes privacy-principes te hanteren, zoals 'dataminimalisatie' en 'transparantie'. Deze zes privacy-principes kun je op deze afbeelding bekijken.
DATA PROTECTION IMPACT ASSESSMENT (DPIA)
Wil je precies weten welke technische en organisatorische maatregelen je moet treffen om de juiste omgang met persoonsgegevens in een onderzoek te garanderen, voer dan samen met een interne privacy-expert een DPIA uit. Een DPIA is een vragenlijst die snel alle mogelijke privacyrisico's binnen een onderzoeksplan in kaart brengt. Op de pagina 'DPIA' gaan we hier nader op in.
Meer informatie nodig?
Wil je jezelf nu al verder in de AVG verdiepen, dan raden we je aan op de site hulpbijprivacy.nl te beginnen. Deze website van de Autoriteit Persoonsgegevens biedt heldere en kloppende informatie over de AVG in het algemeen.
2: Hoe doe je dat?
Veilig werken
Wat zijn handige acties die je direct kunt uitvoeren om de privacy tijdens je onderzoek te verhogen?
Voor jou als onderzoeker zijn er enkele algemene 'quick wins'; eenvoudige aanpassingen in je werkwijze die voor veel extra veiligheid zorgen. Onderstaand zie je zes relatief eenvoudige acties die ervoor zorgen dat de kans op een datalek in je onderzoek sterk verkleint. We raden ze iedere onderzoeker aan om waar mogelijk te implementeren.
Privacy filter: een speciaal type folie dat op ieder laptop- of desktopscherm is aan te brengen. Het zorgt ervoor dat de kijkhoek sterk verkleint, waardoor anderen minder makkelijk mee kunnen kijken op je scherm. Handig als je bijvoorbeeld veel mobiel werkt. Zoek op 'privacy filter laptop' om een geschikt type te vinden.
Webcam cover: ook zonder dat je het door hebt kunnen kwaadwillenden via jouw webcam meekijken. Een webcam cover is een eenvoudig te plaatsen 'slotje' dat de webcam indien gewenst volledig afdekt. Zo is meekijken direct verleden tijd. Zoek op 'webcam cover' om een geschikt type te vinden.
Encryptie van de harde schijf: door encryptie zijn de gegevens op de schijf beveiligd tegen ongewenste toegang krijgen tot je gegevens. Deze schijf kan namelijk eenvoudig uit de laptop worden verwijderd en via een pc zonder probleem worden uitgelezen. Voor Windows computers is BitLocker Drive Encryption een goede optie, voor Mac's is dat FileVault.
Terms of service reader: veel online diensten hebben in hun ’terms of service’ bepalingen opgenomen wat ze met jouw gegevens mogen doen. Om deze vaak lange 'terms of service’ documenten makkelijker te kunnen beoordelen zijn er add-ons voor je browser. Deze add-ons geven je snel inzicht in de risico’s die je loopt door het gebruik van de dienst.
Anti virus software: om te voorkomen dat kwaadwillenden toegang krijgen tot je computer of laptop is goede anti virus software en het regelmatig installeren van de updates van belang. Deze software houdt je computer schoon en veilig.
Anti tracking en anti cookie software: er is voor webbrowsers software beschikbaar die cookies voor je analyseert en aan jou aangeeft wat deze cookies doen en schadelijke cookies alvast onschadelijk maakt. Deze software houdt ook voor je bij of een partij jou ‘tracked’ en zo informatie over jou verzamelt en mogelijk zelfs doorspeelt aan derden.
Privacy by Design
Wat houdt 'Privacy by Design' voor jou als onderzoeker precies in?
Privacy by Design. Een van de belangrijkste uitgangspunten voor een goede omgang met persoonsgegevens. Het betekent dat je niet alleen in je onderzoeksplan helder beschrijft hoe je de privacy waarborgt, maar ook dat je bij iedere stap in het onderzoeksproces de juiste technische en organisatorische maatregelen treft. Bekijk eerst onderstaande video en probeer daarna de oefening te maken:
Oefening 'Privacy by Design'
Ieder onderzoek is anders. Dus zijn de precieze maatregelen die je bij iedere stap in je onderzoek moet treffen ook anders. Het gaat om de 'mindset' dat je gedurende het gehele onderzoek privacy voorop hebt staan.
Onderstaand zie je een onderzoek opgedeeld in zes stappen. Probeer eens te ontdekken welke technische en organisatorische maatregelen je bij iedere stap zou kunnen nemen.
Context
Welke specifieke organisatorische en technologische maatregelen je bij iedere stap in je onderzoek moet regelen hangt af van de context waarin je het onderzoek uitvoert. Hierbij spelen vragen als:
Is er sprake van een samenwerking tussen publieke of private partijen binnen het onderzoek?
Zijn er meerdere landen bij het onderzoek betrokken en zo ja, welke?
Gaat het onderzoek uit van bestaande datasets of creëert het onderzoek alleen een nieuwe dataset?
Maken de onderzoekers gebruik van nieuwe technologieën of zeer omvangrijke datasets binnen het onderzoek?
Om te weten welke maatregelen in jouw of jullie situatie van toepassing zijn voer je voorafgaand aan je onderzoek een DPIA uit. De Nederlandse benaming hiervoor is een 'gegevensbeschermings-effectbeoordeling'. Op de volgende pagina gaan we hier dieper op in.
Een DPIA
Wat levert een DPIA je op, hoeveel tijd kost het je en hoe voer je een DPIA uit?
Hoe weet je als onderzoeker nou of je alle maatregelen hebt getroffen om de persoonsgegevens in jouw onderzoek zo goed mogelijk te beschermen? Daarvoor gebruik je een Data Protection Impact Assessment (DPIA). In het Nederlands: een 'gegevensbeschermings-effectbeoordeling'.
Een DPIA kun je het beste vergelijken met een stoplicht. De DPIA omvat een serie vragen die laten zien op welke punten in jouw onderzoeksopzet het licht op groen, oranje of rood gaat qua omgang met persoonsgegevens.
Waarom?
Binnen de AVG funcioneert een DPIA als risico-assessment. Het is een gestructureerde manier om risico's met betrekking de omgang met persoonsgegevens binnen een onderzoek naar boven te krijgen. Door alle vragen in de DPIA samen met een privacy-expert in jouw organisatie te beantwoorden krijg je overzicht van potentiële risico's. Zo kun je al in een vroeg stadium treffende maatregelen nemen, wat je later in je onderzoek veel tijd, maar vooral het risico op datalekken kan besparen.
Hoe?
Een DPIA voer je altijd uit als het ontwerp van je onderzoek op hoofdlijnen staat. Samen met een privacy-expert binnen de organisatie doorloop je de vragenlijst. Dit duurt meestal één tot anderhalf uur. Uit de vragenlijst volgt de risico-analyse op basis waarvan je wellicht enkele onderdelen in je onderzoeksplan moet aanpassen. Aansluitend volgt eventueel nog een DPIA, om ook je aangepaste onderzoeksvoorstel te controleren op risico's.
Op hoofdlijnen ziet het proces er als volgt uit:
Voorbeeld
Een DPIA is zoals gezegd een vragenlijst. Wil je alvast zien welke vragen in een DPIA aan bod komen, dan kun je hier een voorbeeld bekijken. Let op: de vragenlijst die jouw organisatie gebruikt kan hiervan afwijken. Vraag bij jullie interne privacy-expert naar de DPIA die jullie hanteren.
3: Samenvatting en oefenen
Samenvatting
Bekijk als samenvatting nog eens de vijf belangrijkste punten rondom de omgang van privacy in onderzoek.
Bedenk daarbij dat punt 1 t/m 4 zaken zijn die je als onderzoeker zelf kunt uitvoeren. Alleen bij de DPIA heb je de hulp nodig van een interne privacy-expert.
WERK VEILIG
Er zijn diverse (vaak eenvoudige) maatregelen die je kunt treffen om de privacy van betrokkenen in jouw onderzoek te maximaliseren. Op de pagina 'Quick wins' vind je een overzicht van deze maatregelen.
GRONDSLAG
Om persoonsgegevens in een onderzoek te mogen verwerken moet er een 'grondslag' voor die verwerking zijn. Bijvoorbeeld dat je toestemming hebt, of dat er een algemeen belang voor de verwerking is. De zes mogelijke grondslagen kun je op deze afbeelding bekijken.
PRIVACY BY DESIGN & PRIVACY BY DEFAULT
Bouw al tijdens het ontwerp van je onderzoeksplan bij iedere stap een maximale borging van de privacy in. Dit heet 'Privacy by design'. En zet waar mogelijk alle standaardinstellingen op de meest privacy-vriendelijke stand. Dit heet 'Privacy by default'.
HANTEER DE PRIVACY PRINCIPES
Bij iedere verwerking van persoonsgegevens voor, tijdens en na het onderzoek dien je de zes privacy-principes te hanteren, zoals 'dataminimalisatie' en 'transparantie'. Deze zes privacy-principes kun je op deze afbeelding bekijken.
DATA PROTECTION IMPACT ASSESSMENT (DPIA)
Wil je precies weten welke technische en organisatorische maatregelen je moet treffen om de juiste omgang met persoonsgegevens in een onderzoek te garanderen, voer dan samen met een interne privacy-expert een DPIA uit. Een DPIA is een vragenlijst die snel alle mogelijke privacyrisico's binnen een onderzoeksplan in kaart brengt. Op de pagina 'DPIA' gaan we hier nader op in.
Oefencasus
Tijd om te oefenen! Kijk eens hoe goed je op basis van een casus al weet wat de AVG zegt...
In deze case staat pestgedrag onder jongeren en de mogelijke interventies centraal. Lees eerst rustig alle informatie over de case door en probeer daarna de vragen te beantwoorden. Zo ontdek je wat je al weet over de omgang met persoonsgegevens in dit type onderzoek.
Titel onderzoek:
"Pestgedrag onder jongeren tussen 12 - 18 jaar"
Doel onderzoek
In dit onderzoek is gekeken in hoeverre pestgedrag onder jongeren van 12 - 18 jaar op school voorkomt en welke interventies kunnen bijdragen aan het afnemen van het pestgedrag.
Opzet onderzoek
Dit onderzoek is uitgevoerd binnen de faculteit Sociologie van één universiteit.
Dit onderzoek is uitgevoerd binnen Nederland.
Er is in dit onderzoek geen gebruik gemaakt van bestaande datasets.
Uitvoering onderzoek
In deze case wilde de onderzoeker via video-opnames in de klas en interviews met jongeren een dataset opbouwen. Het onderzoek omvatte daarbij op hoofdlijnen de volgende stappen:
Onderzoeker benadert docenten op scholen voor interesse in deelname en licht onderzoek toe.
Onderzoeker vraagt via formulieren aan docenten en ouders welke (minderjarige) leerlingen mogen participeren.
Leerlingen die niet mogen deelnemen krijgen een rode sticker op de kleding, de andere leerlingen een groene.
Onderzoeker maakt de opnames en houdt de 'rode stickers' uit beeld. Tevens worden de interviews afgenomen.
Onderzoeker vervoert met het openbaar vervoer de data naar de universiteit voor verwerking in het onderzoek.
Onderzoeker publiceert het onderzoek en archiveert de data. Op congressen vertoont hij delen van de opnames.
Je hebt nu een globaal beeld van de opzet en uitvoering van dit onderzoek. Check via onderstaande oefening eens in hoeverre je al weet hoe je binnen zo'n type onderzoek met de verwerking van persoonsgegevens moet omgaan:
Oefening: Pestgedrag onder jongeren
0%
Welke maatregelen moet de onderzoeker in deze casus nemen om een goede verwerking van de persoonsgegevens te garanderen? Test eens hoe goed je al op de hoogte bent van de AVG, veel succes!
Ook voor diverse andere doelgroepen biedt SURF een e-learning over privacy aan. Op deze pagina vind je een overzicht van alle Nederlands- en Engelstalige modules in de reeks.
SURF also offers e-learning courses about privacy for various other target groups. On this page you will find an overview of all Dutch and English modules in the series.
Nederlandstalige e-learning modules:
Privacy in Onderzoek
doelgroep: onderzoekers in onderwijs en onderzoek in Nederland
duur: ca. 45 minuten
Privacy in Onderzoek Light
doelgroep: onderzoekers in onderwijs en onderzoek in Nederland
duur: ca. 20 minuten
Privacy in Onderwijs
doelgroep: docenten in onderwijs en onderzoek in Nederland
duur: ca. 45 minuten
Het arrangement Privacy in Onderzoek Light is gemaakt met
Wikiwijs van
Kennisnet. Wikiwijs is hét onderwijsplatform waar je leermiddelen zoekt,
maakt en deelt.
Dit lesmateriaal is gepubliceerd onder de Creative Commons Naamsvermelding 4.0 Internationale licentie. Dit houdt in dat je onder de voorwaarde van naamsvermelding vrij bent om:
het werk te delen - te kopiëren, te verspreiden en door te geven via elk medium of bestandsformaat
het werk te bewerken - te remixen, te veranderen en afgeleide werken te maken
voor alle doeleinden, inclusief commerciële doeleinden.
Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie. De Wet bescherming persoonsgegevens (Wbp) geldt vanaf dat moment dan niet meer. De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR).
De AVG gaat over persoonsgegevens. De eerste vraag is dan ook altijd: verwerk je in het onderzoek persoonsgegevens? Is dat niet het geval, dan is de AVG niet van toepassing. Verwerk je wel persoonsgegevens, dan zijn er vijf punten die je moet onthouden om een maximale bescherming van deze gegevens in jouw onderzoek te garanderen.
Privacy filter: een speciaal type folie dat op ieder laptop- of desktopscherm is aan te brengen. Het zorgt ervoor dat de kijkhoek sterk verkleint, waardoor anderen minder makkelijk mee kunnen kijken op je scherm. Handig als je bijvoorbeeld veel mobiel werkt. Zoek op 'privacy filter laptop' om een geschikt type te vinden.
Webcam cover: ook zonder dat je het door hebt kunnen kwaadwillenden via jouw webcam meekijken. Een webcam cover is een eenvoudig te plaatsen 'slotje' dat de webcam indien gewenst volledig afdekt. Zo is meekijken direct verleden tijd. Zoek op 'webcam cover' om een geschikt type te vinden.
Encryptie van de harde schijf: door encryptie zijn de gegevens op de schijf beveiligd tegen ongewenste toegang krijgen tot je gegevens. Deze schijf kan namelijk eenvoudig uit de laptop worden verwijderd en via een pc zonder probleem worden uitgelezen. Voor Windows computers is BitLocker Drive Encryption een goede optie, voor Mac's is dat FileVault.
Terms of service reader: veel online diensten hebben in hun ’terms of service’ bepalingen opgenomen wat ze met jouw gegevens mogen doen. Om deze vaak lange 'terms of service’ documenten makkelijker te kunnen beoordelen zijn er add-ons voor je browser. Deze add-ons geven je snel inzicht in de risico’s die je loopt door het gebruik van de dienst.
Anti virus software: om te voorkomen dat kwaadwillenden toegang krijgen tot je computer of laptop is goede anti virus software en het regelmatig installeren van de updates van belang. Deze software houdt je computer schoon en veilig.
Privacy by Design. Een van de belangrijkste uitgangspunten voor een goede omgang met persoonsgegevens. Het betekent dat je niet alleen in je onderzoeksplan helder beschrijft hoe je de privacy waarborgt, maar ook dat je bij iedere stap in het onderzoeksproces de juiste technische en organisatorische maatregelen treft. Bekijk eerst onderstaande video en probeer daarna de oefening te maken:
Hoe weet je als onderzoeker nou of je alle maatregelen hebt getroffen om de persoonsgegevens in jouw onderzoek zo goed mogelijk te beschermen? Daarvoor gebruik je een Data Protection Impact Assessment (DPIA). In het Nederlands: een 'gegevensbeschermings-effectbeoordeling'.
In deze case staat pestgedrag onder jongeren en de mogelijke interventies centraal. Lees eerst rustig alle informatie over de case door en probeer daarna de vragen te beantwoorden. Zo ontdek je wat je al weet over de omgang met persoonsgegevens in dit type onderzoek.
