Data

Maak je geen gebruik van persoonsgegevens in je onderzoek, dan is de AVG dus ook niet van toepassing. Bestaat (een deel van) je data wel uit persoonsgegevens, dan moet je maatregelen treffen. Het type data dat je gebruikt bepaalt daarbij welke maatregelen dit zijn. De privacy-expert in jullie organisatie kan je op basis van jouw situatie de precieze maatregelen vertellen.


Drie scenario's

Op hoofdlijnen zijn er rondom het type data in onderzoek drie scenario's te onderscheiden:

1. Automatisch gegenereerd. Dit omvat data die voortkomen uit bronnen waarbij continu gegevens beschikbaar komen. Zoals wifi-netwerken, fitness-horloges, slimme stroommeters, etc.. De communicatie en toegang tot deze grote hoeveelheden geautomatiseerde data moet passend beschermd zijn (encryptie, opslag, https).

2. Eigen creatie. Dit omvat data die door een inspanning van de onderzoeker tot stand zijn gekomen. Bijvoorbeeld interviews, opnames, gemaakte foto's, etc.. Er zijn hierbij veelal meerdere momenten van dataverzameling; ieder moment en ieder proces moet qua veiligheid goed doordacht worden.

3. Hergebruik. Dit omvat veelal meerdere bestaande datasets die aan elkaar gekoppeld worden, of die een onderzoeker verrijkt met zelf gecreëerde data. Door koppeling van datasets kan data leiden naar individuen. Om dit te voorkomen moet je zorgen dat de toegang tot de data goed beschermd is en je indien mogelijk direct overgaat tot pseudonimisering.

Bijzondere persoonsgegevens

Een speciale categorie van persoonlijke data zijn de bijzondere persoonsgegevens. Dit zijn gegevens die direct naar een bepaald persoon verwijzen, zoals DNA, foto en video-materiaal, biometrische gegevens etc. Veelal betreft het data die niet of moeilijk te anonimiseren is. Bij een interview kun je bijvoorbeeld eenvoudig de naam weglaten van de geïnterviewde persoon, zodat de tekst niet herleidbaar is. Met bijvoorbeeld DNA is dat niet mogelijk.

Indien je met dit type data werkt zul je aanvullende maatregelen moeten treffen.

Acties

Het concretiseren van de maatregelen die je binnen jouw onderzoek moet treffen op basis van het scenario dat voor jou relevant is zijn vergelijkbaar met de stappen binnen de 'samenwerking-scenario's'. Door een DPIA uit te voeren krijg je zicht op de te treffen maatregelen.