Privacy is een grondrecht van elk individu en gaat over het respecteren van ieders persoonlijke levenssfeer. De ene persoon ervaart privacy anders dan de ander (en dat is prima). Voor organisaties (zoals bijvoorbeeld Zuyd) gaat het erom dat er goed omgegaan wordt met persoonsgegevens. Dit heeft niet alleen te maken met wettelijke verplichtingen, maar ook met verantwoordelijkheid, integriteit en ethiek.
Zuyd hecht dan ook veel waarde aan het beschermen en juist verwerken van persoonsgegevens van studenten, medewerkers en derden. Misbruik van persoonsgegevens kan schade berokkenen. Denk aan stigmatisering of uitsluiting, (identiteits)fraude, spam of phishing, financiële oplichting en imagoschade van betrokkenen.
Maar ook Zuyd zelf kan schade ondervinden door onzorgvuldige omgang met persoonsgegevens, zoals reputatieschade, boetes, herstel- en onderzoekskosten, schadevergoedingen en kosten voor aanpassing van systemen.
Het is dus van belang dat je vooraf goed nadenkt over hoe je omgaat met persoonsgegevens. Het dwingend kader daarvoor is (onder andere) de Algemene Verordening Gegevensbescherming (AVG) en het eigen Zuydbeleid.
Door elke Zuyd-(student/docent)onderzoeker te ondertekenen verklaring:
Het huidige digitale tijdperk vereist meer bescherming, digitale datasporen maken van ons steeds meer een open boek. Daarom is 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. De AVG vervangt de Wet bescherming persoonsgegevens (Wbp). Er geldt nu in de hele Europese Unie dezelfde privacywetgeving. De Engelse benaming is General Data Protection Regulation (GDPR).
Geen zin of tijd om je te verdiepen in de hele AVG? Lees dan de 10 privacyprincipes van Zuyd. Deze principes geven de belangrijkste elementen van de AVG weer in 10 zinnen.
Lees ook de tips over privacyproof werken en studeren.
De AVG heeft belangrijke consequenties voor onderzoek. SURF heeft een online module ontwikkeld waarmee je leert welke veranderingen en kansen de invoering van de AVG heeft voor jouw onderzoek.
Leer de basics van de AVG in 45 minuten.
Een datalek is een inbreuk op de beveiliging van persoons- gegevens, door toegang, vernietiging, wijziging of vrijkomen van persoonsgegevens, zonder dat dit de bedoeling is.
Als er iets mis gaat tijdens of na je onderzoek, zoals:
ben je verplicht dit (mogelijke) datalek zo snel mogelijk te melden!
Zuyd is wettelijk verplicht een datalek binnen 72 uur te melden bij de Autoriteit Persoonsgegevens.
Denk je dat je te maken hebt met een datalek?
Meld dit dan altijd en zo snel mogelijk bij de ICT Servicedesk van Zuyd:
045-4006085
ict-servicedesk@zuyd.nl
Buiten kantooruren: csirt@zuyd.nl
(Zuyd CSIRT coördineert beveiligingsincidenten binnen Zuyd)
Bij het doen van onderzoek kun je te maken krijgen met persoonsgegevens van deelnemers aan het onderzoeksproject, bijvoorbeeld door middel van een vragenlijst of observatie. De AVG is van toepassing wanneer direct of indirect herleidbare persoonsgegevens voor wetenschappelijk onderzoek verwerkt worden. De AVG is niet van toepassing op anonieme gegevens.
Behalve de AVG kan ook andere (privacy) wet- en regelgeving van toepassing zijn op je onderzoek. Denk hierbij aan de Wet op de geneeskundige behandelingsovereenkomst (WGBO), Wet medisch-wetenschappelijk onderzoek met mensen (WMO) of de Nederlandse gedragscode wetenschappelijke integriteit.
Veilig verzenden van (privacygevoelige) onderzoeksdata
Wil je onderzoeksdata verzenden? Doe dit dan op een veilige manier via SURF file sender (ook geschikt voor grotere bestanden).
Gebruik van faciliteiten als Dropbox, WeTransfer, hotmail/gmail adressen enz., wordt sterk afgeraden. Ze zijn niet altijd open en duidelijk over de documenten die ze verzamelen/verzenden en hoe ze hiermee omgaan. In het kader van de AVG wil je dit wel weten.
Gebruik van online vragenlijsten
Maak gebruik van vragenlijsten die AVG proof zijn, zoals Enalyzer of Questback.
Gebruik van SurveyMonkey wordt afgeraden, deze tool voldoet niet aan de AVG.
Beeldbellen
Indien het niet mogelijk is om interviews live af te nemen kun je gebruik maken van beeldbellen, mits het gebruikte programma AVG proof is en voldoet aan de norm ISO-27001. Programma's die hieraan voldoen zijn:
- Microsoft Teams
- Zoom (alleen de betaalde versie!)
- Bluejeans
- Jitsi (gratis)
Gebruik van programma's als Skype, Facetime, Whatsapp, Hangouts wordt daarom sterk afgeraden.
1. Anonimiseren
Na toepassing is herleiden van gegevens tot individuen niet meer mogelijk, het is een onomkeerbaar proces.
De AVG is NIET van toepassing op volledig geanonimiseerde data!!
2. Pseudonimiseren
Identificerende gegevens met een bepaald algoritme worden vervangen door versleutelde gegevens (het pseudoniem). Met de juiste sleutel of aanvullende gegevens kunnen de (persoons)gegevens ontsleuteld en leesbaar gemaakt worden, waardoor herleiden tot individuen weer mogelijk is. Er is hierbij sprake van (de mogelijkheid tot) omkeerbaarheid.
De AVG is WEL van toepassing op gepseudonimiseerde data!!
3. Verwerkersovereenkomst
Iedere organisatie die persoonsgegevens verwerkt, moet zich houden aan de privacywetgeving. Als je die verwerking geheel of gedeeltelijk wilt uitbesteden aan een derde partij, dient er een verwerkersovereenkomst afgesloten te worden. Hiermee regel je dat die derde partij ook zorgvuldig met de persoonsgegevens omspringt en zich houdt aan de afspraken die je zelf met de betrokkenen gemaakt hebt.
Voorbeelden: payrollkantoor dat salarissen uitkeert, of een boekhoudkantoor dat de financiële administratie voor derden doet. Maar ook wanneer je gegevens bewaart in de cloud, dan besteed je de verwerking uit aan een derde partij: de cloud provider.
Binnen Zuyd
functionarisgegevensbescherming@zuyd.nl
Externe bronnen
1. Planfase
a) Inventarisatie voor register verwerkingsactiviteiten
Voer vóór de start van het onderzoeksproject samen met de contactpersoon verwerking persoonsgegevens van je academie of dienst een inventarisatie uit van je project ten behoeve van het register verwerkingsactiviteiten. Deze inventarisatie is zowel een wettelijke als interne verplichting vanuit Zuyd-beleid.
b) Privacy Impact Assessment
Als er naar waarschijnlijkheid hoge privacyrisico's aan je project zijn verbonden, dien je naast de inventarisatie ook een Privacy Impact Assessment (PIA) uit te voeren. Dit is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Denk bijvoorbeeld aan het verwerken van grote hoeveelheden gezondheidsdata of het werken met nieuwe technologieën.
c) Datamanagementplan
Transparantie over proces en verantwoordelijkheden is het uitgangspunt van de AVG. Dit laat zich goed vastleggen in je datamanagementplan. Beschrijf hierin helder hoe je de privacy waarborgt, maar ook hoe je bij iedere stap in het onderzoeks- proces de juiste technische en organisatorische maatregelen treft. Belangrijk is een goede registratie van gegevens- verzamelingen en een transparante beschrijving van rollen en verantwoordelijkheden, over de gehele keten van verwerking van persoonsgegevens bij je onderzoek.
Meer informatie over datamanagementplan in deze LibGuide.
d) Verwerkersovereenkomst
Maak je gebruik van een onderzoekspartner of -bureau? Dan kan het zijn dat je vooraf een verwerkersovereenkomst dient af te sluiten met die partij.
e) Zuyd privacyprincipes
Neem de eerder genoemde 10 privacyprincipes van Zuyd en tips voor privacyproof werken in acht.
2. Onderzoeksfase
Denk tijdens het verzamelen, structureren en analyseren van je data goed na over de grondslag van je verzameling, hoe en waarover je betrokkenen informeert, waar je de data opslaat en hoe je de data beveiligt.
[zie ook: LibGuide Ethische aspecten en LibGuide Zuyd faciliteiten opslag onderzoeksdata]
Persoonsgegevens dienen altijd verwerkt te worden op basis van een grondslag: meestal is er sprake van een publiek- rechtelijke taak (noodzakelijk tbv verrichten onderwijs), wettelijke plicht (Wet op het Hoger onderwijs (WHW)), overeenkomst (arbeids- of stageovereenkomst) of een gerechtvaardigd belang. In sommige gevallen is toe- stemming ook een grondslag.
3. Gebruiksfase
Zorg ervoor dat je de onderzoeksresultaten niet publiceert/ rapporteert/archiveert op individueel niveau. Doe je dit wel, dan heb je altijd toestemming nodig van de betrokkenen.
Heb je de persoonsgegevens niet meer nodig (bijvoorbeeld communicatiebestanden)? Verwijder deze zodra de noodzaak verdwijnt.
De wettelijke bewaartermijn van de (ruwe) data is minimaal 10 jaar, maar kan ook bepaald worden door de gedragscode die van toepassing is op het onderzoek (Wet medisch-wetenschappelijk onderzoek met mensen (WMO), Wet op de geneeskundige behandelingsovereenkomst (WGBO), Nederlandse gedragscode wetenschappelijke integriteit, e.d.). Onderzoeksdata uit METC-getoetst onderzoek dient bijvoorbeeld minimaal 15 jaar bewaard te worden.
