Persoonsgegevens in onderzoek

In het RDM-beleid van je onderzoeksinstituut vind je veel informatie over veilige opslag, voorkeurstools, workflow, etc. Daarnaast kunnen de volgende tips je helpen bij het plannen van het beheer van persoonsgegevens:

Data management plan (DMP)

Een ethische commissie, je financier of het RDM-beleid van je instituut kunnen je verplichten om een datamanagementplan op te stellen, ongeacht of je met persoonsgegevens werkt of niet. Een datamanagementplan kan je helpen om beslissingen over persoonsgegevens te structureren.

Transparantie

Wees duidelijk over hoe je persoonsgegevens beheert tijdens je onderzoek. Dit concept komt terug in alle andere aspecten van het werken met persoonsgegevens: wees transparant over het stellen van doelen, veiligheidsmaatregelen, mogelijke anonimisering, opslag, toegangsbeheer, plannen voor archivering en publicatie, etc. Laat je deelnemers weten over je onderzoek in het algemeen en over hun rechten in het bijzonder (in een informed consent procedure). Wees transparant naar alle partijen die bij het project betrokken zijn. Geef alle relevante informatie aan ethische commissies. Het schrijven van een data management plan is een manier waarop je dit kunt doen.

Doelen stellen

Twee redenen om persoonsgegevens te verzamelen tijdens onderzoek zijn om onderzoeksvragen te beantwoorden of om administratieve redenen (bijvoorbeeld wanneer je contact moet houden met je deelnemers). Je kan je doelen opnemen in een datamanagementplan of in een ander document.

Beschrijf welke persoonsgegevens je van plan bent te verzamelen en te gebruiken, met welke rechtsgrondslag en voor hoe lang je ze gaat gebruiken. Bij het verzamelen van persoonsgegevens is een rechtsgrondslag vereist door de AVG en bij onderzoek is dit vaak een het informed consent formulier (zie 'Geïnformeerde toestemming' hieronder). Andere rechtsgrondslagen kunnen bijvoorbeeld het algemeen belang of een contract zijn.

Geïnformeerde toestemming

Als je met onderzoeksdeelnemers werkt, moet je meestal hun informed consent verkrijgen. Kijk op de webpagina van de ethische commissie van je faculteit om te zien of zij een sjabloon hebben of je kunnen helpen bij het maken van een informed consent formulier.

Dataminimalisatie

Verzamel alleen persoonsgegevens als je daar goede redenen voor hebt: als de data nodig zijn om de doelen te bereiken die je hebt gesteld (zie 'Doelen stellen' hierboven). Verwijder de data zodra ze niet langer nodig zijn om die doelen te bereiken.

Ethische goedkeuring

De meeste, maar niet alle, faculteiten vereisen dat je ethische goedkeuring krijgt voordat je een onderzoek start waarbij onderzoeksdeelnemers (en dus persoonsgegevens) betrokken zijn. Controleer op de webpagina van de ethische commissie van je faculteit of je ethische goedkeuring nodig hebt voordat je begint met het verzamelen van data.

Aansprakelijkheid

Zorg ervoor dat je weet wie verantwoordelijk en aansprakelijk is voor het beheer van persoonsgegevens in je onderzoek. Kijk voor meer informatie in de richtlijnen van de Radboud Universiteit over het beheer van onderzoeksdata. Als je samenwerkt met andere partijen (zoals universiteiten, bedrijven en scholen), zorg er dan voor dat er goede afspraken zijn gemaakt over persoonsgegevens en de zeggenschap van deze gegevens.

(Pre-) Data Protection Impact Assessment (DPIA)

Als je project het werken met persoonsgegevens met zich meebrengt, moet er een pre-DPIA worden geschreven. Neem contact op met je lokale Privacy Officer voor hulp.

Deze tips kunnen je helpen bij het beheren van persoonsgegevens tijdens je onderzoek:

Kwaliteit van data

Zorg ervoor dat je data correct en up-to-date is. Zoals staat in artikel 5 van de GDPR: 'Every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay.' Dit houdt verband met het 'recht op rectificatie (right to rectificatation)' van de betrokkenen (deelnemers): het recht dat onjuiste of onvolledige informatie over hun persoon moet worden aangepast. De toevoeging 'op het moment van verzamelen' is een voorbeeld van een kleine, maar belangrijke verbetering van de kwaliteit van de data.

Rechten van betrokkenen

Data subjecten (bijv. deelnemers) hebben specifieke rechten onder de GDPR. Hier vatten we twee van de belangrijkste rechten met betrekking tot onderzoek samen:

• Het 'recht om geïnformeerd te worden' houdt in dat deelnemers volledig geïnformeerd moeten worden over welke informatie je over hen verzamelt, wanneer, hoe en waarom. Ook moeten deelnemers weten bij wie ze zich kunnen melden met vragen, bijvoorbeeld de hoofdonderzoeker, en dat klachten gemeld kunnen worden aan de %20fg [at] ru.nl (Functionaris Gegevensbescherming). Bij onderzoek wordt dit recht meestal gedekt door een informed consent procedure. Raadpleeg de ethische commissie van je faculteit voor meer informatie over informed consent.
• Het 'recht om vergeten te worden' betekent dat een deelnemer hun persoonlijke gegevens kan laten verwijderen wanneer ze dit willen. Dit is moeilijk, zo niet onmogelijk, in onderzoek en daarom kun je de deelnemer informeren over het tijdsbestek waarbinnen ze hun data kunnen laten verwijderen. Zorg ervoor dat dit een redelijke tijdsduur is (een paar weken in plaats van dagen).

Minimalisatie van gebruik

Zorg er tijdens je onderzoek voor dat je persoonsgegevens alleen deelt met personen die deze gegevens mogen zien. Wie die personen zijn, staat vaak in je informed consent formulier en kan variëren van projectleden tot alleen jijzelf. Zorg ervoor dat je niet gemakkelijk toegang verleent tot de delen van je data die persoonsgegevens bevatten. Hoe minder mensen toegang hebben tot de persoonsgegevens, hoe beter.

Anonimisering en pseudonimisering

Als je persoonsgegevens verzamelt, zorg er dan voor dat je deze waar mogelijk anonimiseert of pseudonimiseert. Meer informatie over anonimiseren en pseudonimiseren.

Beveiligingsmaatregelen

Bekijk wat de Radboud Universiteit te bieden heeft aan technische beveiligingsmaatregelen, zoals encryptiemethoden.

Zorg ervoor dat je aan het einde van je onderzoek je data goed archiveert en/of publiceert. Als je te maken hebt met persoonsgegevens, controleer dan of je je data mag publiceren of dat je de toegang moet beperken. Kies ook een betrouwbare repository die je toestaat te publiceren onder het door jou gekozen toegangsniveau en met een geschikte Data Use Agreement, of waarin je je data veilig kunt archiveren als je ze niet kunt delen. 

Meer informatie over data archiveren en publiceren