In de aanloop naar 25 mei 2018, wanneer de Algemene Verordening Gegevensbescherming (AVG) van kracht gaat, worden we in media regelmatig herinnerd aan het feit dat ‘bedrijven nog in onvoldoende mate compliant zijn met de AVG’ en we zien aan de andere kant het aantal informatiebijeenkomsten en congressen gericht op verheldering van de verschillende aspecten in de AVG toenemen.
Het onderwerp ‘privacy’ is al lang niet meer alleen het onderwerp van de notoire voorvechters, maar wordt breed bediscussieerd. Het interessante boek: ‘Je hebt wél iets te verbergen’, van Maurits Martijn & Dimitri Tokmetzis, heeft hierbij een positief effect gehad, heb ik gemerkt.
Ook in Academia vraagt men zich af wat die AVG eigenlijk is, wat mag je wel en niet? Wie weet wat wel en niet mag? Ik hoor verschillende antwoorden op dezelfde vraag; wat moet ik nu? Kan ik eigenlijk nog wel onderzoek doen of wordt het nu praktisch onmogelijk?
De hamvraag beantwoord
Om de hamvraag maar gelijk te beantwoorden: onderzoek is nog steeds prima mogelijk.
Eigenlijk is dat ook niet de juiste vraag. Omdat in de AVG de rechten van personen nu beter geborgd zijn en daarnaast rollen, verantwoordelijkheden en bevoegdheden in algemene zin beter zijn aangegeven in de AVG, geldt dat we onze verantwoordelijkheid moeten nemen als we met persoonsgegevens werken – ook in wetenschappelijk onderzoek.
Zoals wij willen dat onze privacy beschermd wordt door bijvoorbeeld bedrijfsleven en overheid, mogen personen betrokken in ons onderzoek erop rekenen dat wij ook hun recht op privacy borgen, door het nemen van passende organisatorische en technische maatregelen. Als onderzoeker, noch als instelling wil je de krant halen met datalekken vanwege je onderzoek. Omdat wetenschappelijk onderzoek in de regel een vorm is van internationale samenwerking, vaak ook publiek – privaat, met het oog op maatschappelijke relevantie en impact, is het borgen van privacy van burgers uit diezelfde maatschappij uiteraard niet ter discussie.
De vraag wordt daarmee: hoe kunnen we in ons wetenschappelijk onderzoek onze verantwoordelijkheid nemen en de privacy principes borgen?
De crux zit hem al in het ontwerp van het onderzoek
Door tijdig hulp in te schakelen van onderzoeksondersteuning binnen de instelling en een zogenaamde data protection impact assessment (DPIA) te doen, borg je dat je op een gestructureerde wijze de juiste methodologische, ethische en juridische afwegingen maakt. Je bepaalt enerzijds de impact van de rechten van de betrokkenen (de personen betrokken in je onderzoek) en je neemt passende maatregelen – en documenteert dit in je data management plan.
Tenslotte gelden er specifiek voor wetenschappelijk onderzoek, en voor statistische bewerkingen en archivering, bepaalde uitzonderingen, die recht doen aan de praktijk van het bedrijven van wetenschap.
Instrumenten en technische maatregelen
Naast de DPIA, geeft de AVG instrumenten en technische maatregelen aan die recht doen aan het borgen van privacy in de verwerking van persoonsgegevens. Hierbij speelt de functionaris gegevensbescherming (FG), ook beschreven in de AVG, een belangrijke rol binnen je instelling. Er ontstaan steeds meer rollen in de ondersteuning van onderzoek, zoals juridisch adviseurs met kennis van zowel onderzoek als gegevensbescherming en bijvoorbeeld ook intellectueel eigendom en auteursrecht, waardoor de onderzoeker door de instelling in de gelegenheid wordt gesteld om in zijn of haar onderzoek recht te doen aan verantwoorde omgang met persoonsgegevens, in de zin van de AVG. Met adviezen, met contracten en overeenkomsten en met goede risico-inschattingen en passende tegenmaatregelen bijvoorbeeld.
Hierbij speelt de beschikbaarheid van technische voorzieningen een niet onbelangrijke rol. Kun je ook daadwerkelijk data veilig opslaan, encrypten en beveiligd gegevens uitwisselen? Weet je hoe je moet anonimiseren of pseudonimiseren en wanneer? Hoe werkt je software met dergelijke data en waar staan die data?
Herziening VSNU gedragscode
Momenteel wordt de VSNU gedragscode omgang persoonsgegevens in wetenschappelijk onderzoek herzien. Deze code zal praktische handvatten geven aan onderzoekers, hoe in de te onderscheiden onderzoekscenario’s verantwoord om te gaan met persoonsgegevens? Dus bijvoorbeeld voor survey onderzoek, voor onderzoek op basis van CBS data, voor big data onderzoek op basis van data van social media en onderzoek op basis van observaties van minderjarigen. Deze komt in oktober 2017 beschikbaar voor publieksconsultatie.
Neem hier bijvoorbeeld goed kennis van en gebruik een dergelijk document om binnen je onderzoeksgroep, vakgroep, faculteit, instelling te bepalen hoe je als professional accountability kunt demonstreren en transparant kunt zijn over de wijze waarop je je onderzoek inricht en uitvoert.
Congres Dataprotectie & Privacy
Tijdens het congres Dataprotectie & Privacy wordt nader ingegaan op de herziene VSNU gedragscode omgang persoonsgegevens, met leden van de schrijfgroep van deze code, en wordt specifiek voor de context van wetenschappelijk onderzoek concrete handvatten gegeven voor verantwoorde omgang met onderzoeksgegevens. Meer informatie over het congres?
Bezoek de website van het Congres Dataprotectie & Privacy
Geschreven door: Marlon Domingus, project manager research data management (RDM) bij de Erasmus Universiteit Rotterdam en leider van de RDM community.