Wetgeving
- Algemene verordening gegevensbescherming (AVG)
- De 6 AVG-grondslagen
- Categorieën persoonsgegevens
- De 10 wettelijke uitzonderingen AVG
- Data en privacy
- Intellectueel eigendom
- Data en eigenaarschap
- Consortiumovereenkomst
- Wet medisch-wetenschappelijk onderzoek met mensen
Bij het doen van onderzoek en het bijbehorende datamanagement zijn er vanuit juridisch perspectief veel zaken waarmee je rekening moet houden.
Algemene verordening gegevensbescherming
Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dit betekent dat er vanaf deze datum in de gehele Europeze Unie dezelfde privacywetgeving. De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR).
De AVG zorgt onder meer voor:
- Versterking en uitbreiding van privacyrechten
- Meer verantwoordelijkheden voor organisaties
- Dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen
Ook voor het werken met data heeft de AVG belangrijke consequenties. Lees hier meer over:
Het privacybeleid op De Haagse: de voorwaarden voor het verwerken van persoonsgegevens en situaties waaronder de persoonsgegevens bewaard worden
De 6 AVG-grondslagen
De AVG kent 6 grondslagen voor het verwerken van persoonsgegevens:
De 6 AVG-grondslagen voor het verwerken van persoonsgegevens
- Toestemming van de betrokken persoon.
- De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
- De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
- De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
- De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
- De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.
Je bent als onderzoeker zelf verantwoordelijk om te beoordelen of je je voor de verwerking van persoonsgegevens kunt baseren op 1 van de 6 grondslagen.
Op deze site onder Vragen over grondslagen vind je per grondslag informatie om te beoordelen wanneer je je op een grondslag kunt baseren.
Categorieën persoonsgegevens
Categorieën ‘gewone’ persoonsgegevens
- Naam, adres, postcode, woonplaats
- Telefoonnummer, E-mailadres
- Geboortedatum, Geboorteplaats
- Nationaliteit, Geslacht
- Beroep, functie, Salaris, -CV’s
- BSN-nummer (wettelijk voorgeschreven), (kopie) Identiteitsbewijs
- Personeels- studentnummer of ander administratienummer
- Financiële data (bankrekeningnummer, creditcardnummer)
- Foto’s/ audiovisueel materiaal/ gespreks of-video-opnamen
- Data verkregen uit sociale profielen (Facebook-, twitteraccount etc.)
- Click- en surfgedrag (cookie/ pixeldata), IP-adressen
- Lifestylekenmerken (o.a. gezinssamenstelling, woonsituatie, interesses, demografische kenmerken)
- Anders, namelijk ………………………………...
Categorieën ‘bijzondere’ persoonsgegevens
- Bijzondere persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, persoonsgegevens betreffende het lidmaatschap van een vakvereniging, strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag
- Uniek identificerende gegevens (bijvoorbeeld biometrische gegevens, vingerafdrukken, DNA)
- Andere gegevens waarvoor geldt dat sprake is van een (afgeleide) verhoogde gevoeligheid (o.a. creditcardinformatie, financiële informatie, erfrechtelijke aspecten, arbeids- of schoolprestaties of gegevens waarvoor een geheimhoudingsplicht geldt)
- Gegevens over kwetsbare groepen of personen (bijvoorbeeld minderjarige personen (< 16 jaar), verstandelijk gehandicapten, gedetineerden, onder toezicht gestelden, mensen van wie de fysieke veiligheid in gevaar is)
- Stelselmatig en grootschalige monitoring (bijv. cameratoezicht)
- Anders, namelijk ………………………………...
De 10 wettelijke uitzonderingen AVG
In de AVG staan 10 uitzonderingen op het verbod om bijzondere persoonsgegevens te verwerken. Dat betekent dat het verbod voor het verwerken van bijzondere persoonsgegevens niet geldt wanneer je je kunt beroepen op 1 van de 6 grondslagen voor het verwerken van ‘gewone’ persoonsgegevens én:
Data en privacy
De 10 wettelijke uitzonderingen op het verbod om bijzondere persoonsgegevens te verwerken
- iemand uitdrukkelijk toestemming heeft gegeven voor de verwerking van zijn/haar persoonsgegevens
- de verwerking noodzakelijk is met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van u of de betrokken persoon. Dit op het gebied van het arbeidsrecht en het sociale zekerheids- en sociale beschermingsrecht
- de verwerking noodzakelijk is ter bescherming van de vitale belangen van de betrokken persoon of van een andere natuurlijke persoon. Dit geldt alleen wanneer diegene fysiek of juridisch niet in staat is om zijn toestemming te geven
- de verwerking wordt gedaan door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is. En die organisatie gegevens verwerkt in het kader van gerechtvaardigde activiteiten en met passende waarborgen
- de verwerking betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt
- de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering. Of wanneer gerechten handelen in het kader van hun rechtsbevoegdheid
- de verwerking noodzakelijk is vanwege een zwaarwegend algemeen belang
- de verwerking noodzakelijk is voor doeleinden van preventieve of (arbeids)geneeskunde aard Zoals het beoordelen van arbeidsgeschiktheid en/of het verstrekken van gezondheidszorg
- de verwerking noodzakelijk is om redenen van algemeen belang op het gebied van de volksgezondheid
- de verwerking noodzakelijk is met het oog op de archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden
Intellectueel eigendom
Intellectueel eigendom is de verzamelnaam voor rechten op intellectuele creaties, zoals teksten, foto’s, software, uitvindingen, merknamen en waardevolle kennis. Ook bij data kan intellectueel eigendom een rol spelen. Meer hierover lees je onder Data en eigenaarschap en HHs publicatiebeleid.
Data en eigenaarschap
Auteursrecht en databankenrecht
Het auteursrecht biedt bescherming aan werken die een zekere creativiteit of oorspronkelijkheid aan de dag brengen. In veel gevallen is duidelijk dat een werk auteursrechtelijk beschermd is: als iemand een boek of artikel schrijft, ligt daarin altijd wel een persoonlijke creativiteit besloten. Bij onderzoeksdata is dat niet zo duidelijk. Data zijn immers veelal blote feiten. In veel gevallen zullen onderzoeksdata dan ook niet onder de auteursrechtelijke bescherming vallen.
Het auteursrecht is er ook niet om een onderzoeker die een ontdekking doet, te beschermen, hoe creatief of oorspronkelijk die ontdekking ook is. Het auteursrecht kan niet gebruikt worden om nieuw ontdekte gegevens te beschermen. Het auteursrecht kan wel de vorm waarin de ontdekker de blote feiten heeft opgeschreven, beschermen. Dan moet die vorm het resultaat zijn van creatieve keuzes. Als dat het geval is, mogen anderen die vorm niet zonder toestemming overnemen.
Ter illustratie: Als je ruwe, onbewerkte data (juridisch: blote feiten) in een tabel zet, is auteursrecht niet van toepassing. Iedere andere onderzoeker had een soortgelijke tabel kunnen maken. Een selectie of ordening van blote feiten kan wel beschermd zijn volgens de databankenwet als het een selectie of ordening met een persoonlijk stempel betreft.
In het rapport ‘De juridische status van ruwe data: een wegwijzer voor de onderzoekspraktijk’ vind je een overzicht van de stand van zaken aan de hand van de belangrijkste wetgeving en rechtspraak.
Eigenaarschap
Bij het beschikbaar zijn of stellen van onderzoeksdata gaat het dus veelal niet om auteursrecht of databankenrecht maar om het hebben of toegang geven tot data. Je kunt hierbij dan ook spreken over een groot gevoel van eigenaarschap. Er bestaat doorgaans geen verplichting om onderzoeksdata met anderen te delen. Je kan er als onderzoeker altijd voor kiezen om je data niet aan anderen ter beschikking te stellen zodat anderen daarvan ook geen gebruik kunnen maken. Eventuele contractuele afspraken kunnen hier relevant zijn.
- Zo kunnen financiers of uitgevers eisen dat je de data beschikbaar stelt voor raadpleging door anderen in het kader van Open Science. De HHs en subsidieverstrekkers van de overheid ondersteunen de Open Science ambitie. Open Science omvat meer dan het open access beleid om publicaties/onderzoeksartikelen te delen. het richt zich voornamelijk op de onderliggende onderzoeksdata. Zie voor meer informatie de pagina van vereniging hogescholen over open science in het hbo.
- Relevant bij de eisen van uitgevers is dat er bij de Haagse Hogeschool een open access publicatiebeleid wordt gevoerd waarbij de auteurswet en de CAO op het gebied van auteursrechten van onderzoekspublicaties van medewerkers wordt gevolgd. Bekijk De HHs open access publicatiebeleid.
- In consortiumovereenkomsten worden afspraken vastgelegd tussen samenwerkingspartners binnen onderzoek over gebruik, hergebruik en delen van de onderzoeksdata.
- De verschillende opties voor het delen van onderzoeksdata vind je op de pagina datamanagement archiveren en delen onderdeel data delen.
Data van een externe partij
Wanneer je voor je onderzoek gebruik maakt van data van een externe partij gelden de voorwaarden die die externe partij stelt aan het gebruik, toegankelijk maken en verspreiden van hun data. Neem deze in acht en leg ze vast in je datamanagementplan.
Basisregels
Voor onderzoekers die te maken hebben met persoonsgegevens gelden een aantal basisregels:
- Je verzamelt niet méér persoonsgegevens dan je echt nodig hebt voor je onderzoek.
- Betrokkenen hebben toestemming gegeven voor het verzamelen van hun gegevens (Informed consent).
- Je gebruikt de persoonsgegevens niet voor andere doelen dan waarvoor je van betrokkenen toestemming hebt gekregen.
- Je zorgt ervoor dat betrokkenen hun toestemming weer kunnen intrekken en dat ze hiervoor eenvoudig contact met je kunnen opnemen.
- Je zorgt ervoor dat betrokkenen hun recht op inzage, correctie en verwijdering van hun persoonsgegevens kunnen uitoefenen en dat ze hiervoor eenvoudig contact met je kunnen opnemen.
- Je beveiligt je onderzoeksdata die persoonsgegevens bevatten goed door contactgegevens te scheiden van onderzoeksgegevens, zorgvuldigheid in acht te nemen bij het bepalen wie toegang krijgt tot de opslagplaats van je onderzoeksdata en je data zo snel mogelijk te anonimiseren.
Persoonsgegevens
Persoonsgegevens zijn alle gegevens die een persoon rechtstreeks identificeren of waarmee een persoon indirect geïdentificeerd kan worden. Het kan dus gaan om NAW-gegevens, mailadres, telefoonnummer, locatie, IP-adres, enzovoort maar ook om combinaties van gegevens die tot een persoon kunnen leiden. Ook zogenaamde ‘bijzondere’ persoonsgegevens zijn (extra) beschermd: bijvoorbeeld gevoelige gegevens over iemands ras, religie, gezondheid, geaardheid zoals pasfoto’s en Burgerservicenummer.
Wettelijke grondslag
Het verwerken van (bijzondere) persoonsgegevens mag alleen wanneer daarvoor een wettelijke grondslag is. Voor het verwerken van ‘gewone’ persoonsgegevens moet je kunnen baseren op 1 van de 6 AVG-grondslagen. De verwerking van ‘bijzondere persoonsgegevens’ is verboden tenzij je je kunt beroepen op 1 van de 6 AVG-grondslagen én op 1 van de 10 wettelijke uitzonderingen op het verbod om bijzondere persoonsgegevens te verwerken.
Informed consent
Je legt aan je respondenten uit wat je onderzoek inhoudt, wat hun rol binnen het onderzoek zal zijn en wat de eventuele gevolgen van deelname zijn. Vervolgens vraag je of ze instemmen met deelname aan je onderzoek. Dit doe je aan de hand van een informed consent. Een informed consentformulier bevat twee onderdelen, het informatieve onderdeel en de toestemmingsverklaring.
Het informatieve gedeelte bevat alle informatie over het onderzoek inclusief alle betrokken onderzoekers en eventuele organisaties waarmee wordt samengewerkt. Ook wordt er uitleg gegeven over de redenen en doelen van het verzamelen van deze gegevens. Daarnaast worden de contactgegevens van de onderzoeker vermeld voor het geval dat de deelnemer zijn of haar toestemming wil intrekken. Daarbij wordt aangegeven dat hij of zij het recht heeft om dit zonder uitleg te doen.
In de toestemmingsverklaring vraag je de respondent om toestemming voor:
- Het verzamelen en verwerken van zijn of haar gegevens
- Het archiveren van de data
- Het eventueel (geanonimiseerd) publiceren van de data
- Het eventueel beschikbaar stellen van de data voor hergebruik door een andere onderzoeker
Wie geeft toestemming?
- De deelnemer, indien ouder dan 16 jaar en wilsbekwaam
- Een ouder of een voogd, als de deelnemer jonger dan 12 jaar is
- Een ouder of een voogd én de deelnemer, als de deelnemer tussen de 12 en 16 jaar is
- Een vertegenwoordiger, als de deelnemer ouder dan 16 jaar, maar wilsonbekwaam is
Download het standaard Informed Consent formulier van De Haagse Hogeschool.
Specifieke vragen over het informed consent formulier? Neem contact op met [email protected]
Verwerken persoonsgegevens
De AVG vereist dat De Haagse Hogeschool een register aanlegt van alle verwerkingen van persoonsgegevens binnen De Haagse Hogeschool. Het is daarom verplicht om verwerkingen van persoonsgegevens te melden bij de Privacy Officer van De Haagse. Indien je je data laat verwerken door een derde partij, bijvoorbeeld wanneer je een online applicatie voor enquêtes gebruikt, stel je een verwerkingsovereenkomst op. Op de pagina Privacy vind je meer informatie, hulpmiddelen en de procedure voor het melden van verwerkingen.
Beveiligingsmaatregelen: pseudonimiseren en anonimiseren
Wanneer je met gevoelige data werkt, is het nodig om de veiligheid van deze data te versterken om te voorkomen dat je persoonsgegevens vrijgeeft wanneer je je data met anderen wilt delen. Er zijn twee basismethoden: pseudonimiseren en anonimiseren. Het belangrijkste verschil tussen deze twee methoden is dat je pseudonimiseren weer ongedaan kunt maken en dat anonimiseren onomkeerbaar is. Daarom moeten gepseudonimiseerde data volgende de AVG nog steeds als persoonsgegevens behandeld worden.
Pseudonomiseren gebruik je wanneer je de data van de deelnemers nodig hebt voor andere redenen dan de analyse zelf. Het kan bijvoorbeeld zinvol zijn om later in het onderzoek aan aanvullende gegevens te komen over een persoon, of om iemand te waarschuwen wanneer er medische risico’s blijken te zijn. Het Landelijk Coördinatiepunt Research Data Management (LCRDM) biedt een set van 9 basisstappen pseudonimiseren aan.
Geanonimiseerde data zijn gegevens die helemaal geen betrekking meer hebben op individuen. Er mogen bij anonimisering dus géén aanvullende gegevens beschikbaar zijn waarmee iemand alsnog een koppeling kan maken met een specifiek persoon. Niet alleen persoonsgegevens (direct identificeerbare elementen) moeten worden verwijderd, maar ook indirect identificeerbare elementen. Hoe je je data anonimiseert lees je op de pagina UK Data Service Anonymisation en in het document Keeping Data Confidential – Anonymising Records van de universiteit van Bristol.
De AVG-toets en een DPIA
Het is sterk aan te raden om aan het begin van je onderzoek een AVG-toets te doen in overleg met de Privacy Officer van De Haagse. Hierdoor ben je er zeker van dat je al vanaf de opzet van je onderzoek en vanaf het begin van je dataverwerking AVG-proof werkt. Indien nodig wordt er een Data Protection Impac Assessment uitgevoerd (DPIA). Wanneer je in je onderzoek met één van de volgende activiteiten te maken hebt, is een DPIA zelfs verplicht:
- Beoordelen van mensen op basis van persoonskenmerken (evaluatie of scoretoekenning)
- Geautomatiseerde beslissingen met rechtsgevolg of vergelijkbaar gevolg
- Stelselmatige monitoring
- Grootschalige gegevensverwerkingen
- Matchen of koppelen van datasets
- Verwerking van gegevens over kwetsbare personen
- Gebruik van nieuwe technologieën of oplossingen
- De verwerking van gegeven leidt tot blokkering van een recht, dienst of contract
Meer informatie
Meer informatie over privacy in onderzoek en zorgvuldig omgaan met persoonsgegevens:
- Het privacybeleid op De Haagse: de voorwaarden voor het verwerken van persoonsgegevens en situaties waaronder de persoonsgegevens bewaard worden
- Vuistregels voor Privacy: Zorgvuldig omgaan met persoonsgegevens op De Haagse Hogeschool
- SURF online module ‘Privacy in onderzoek’
Consortiumovereenkomst
Indien je in het kader van onderzoek samenwerkt met andere partijen, dan is een samenwerkingsovereenkomst zeer wenselijk en soms ook vereist (bijv. bij subsidieprojecten). In een overeenkomst worden de rechten en plichten van alle betrokken partijen duidelijk vastgelegd. Inclusief de afspraken m.b.t. de onderzoeksdata, intellectuele eigendomsrechten en aansprakelijkheid. Neem contact op met [email protected] voor het inwinnen van advies m.b.t. een consortiumovereenkomst.
Wet medisch-wetenschappelijk onderzoek met mensen
Onderzoek met mensen moet een medisch-ethische toets ondergaan als het valt onder de Wet medisch-wetenschappelijk onderzoek met mensen (WMO). Onderzoek valt onder de WMO als aan de volgende twee voorwaarden is voldaan:
- Er is sprake van medisch-wetenschappelijk onderzoek
- Personen worden aan handelingen onderworpen of hen worden gedragsregels opgelegd.
Je leest meer over de toetsingsprocedure van de WMO op de website van de Centrale Commissie Mensgebonden Onderzoek
Voor meer informatie neem contact op met de datastewards van de bibliotheek.
De Medical Device Regulation (MDR) is een Europese regelgeving voor medische hulpmiddelen die van kracht is sinds 2021. Deze wetgeving garandeert het veilige gebruik van medische hulpmiddelen.
Een medisch hulpmiddel is een artikel dat, alleen of in combinatie met andere artikelen, wordt gebruikt voor medische doeleinden. Onder medische hulpmiddelen verstaan we onder andere apparaten, software of materialen. Medische doeleinden omvatten bijvoorbeeld het diagnosticeren, monitoren, voorspellen of behandelen van ziektes.
Meer informatie over wetgeving rondom MDR, kaders en procedures kun je vinden op de webpagina van de CCMO.