Privacy: persoonsgegevens

Leidraad privacyregels: Bescherming van persoonsgegevens in wetenschappelijk onderzoek

Deze privacyregels zijn bedoeld als handvat voor het omgaan met persoonsgegevens in wetenschappelijk onderzoek. Het is geen uitputtend overzicht, maar geeft inzicht in de belangrijkste aandachtspunten rondom privacy. Definities van gebruikte begrippen vind je aan het eind van deze pagina.

Uitgangspunten

Wees je ervan bewust dat:

  • Persoonsgegevens altijd vertrouwelijk zijn;
  • iedereen die werkt met persoonsgegevens verantwoordelijk is voor de bescherming hiervan.

Omgaan met persoonsgegevens van betrokkenen

  • Meld elke nieuwe verwerking met persoonsgegevens aan bij het team Functionaris Gegevensbescherming (FG-team). Dit kan via de volgende link: Aanmelding verwerking. De Privacy Contact Persoon (PCP) van je faculteit kan hierbij ondersteunen.
  • De verwerking van persoonlijke gegevens binnen onderzoek moet proportioneel zijn in relatie tot het beoogde doel van het onderzoek. Dit betekent dat er niet meer gegevens worden vastgelegd dan die nodig zijn om het doel te bereiken.
  • Personen van wie je gegevens hebt verzameld, hebben recht om deze gegevens in te zien, te laten corrigeren en te laten verwijderen (‘recht op vergetelheid’). Ook kunnen ze de gegevens bij je opvragen zodat zij hierover ook zelf de beschikking krijgen.
  • Onderzoekers die persoonsgegevens verzamelen zijn bekend met en houden zich aan de VSNU gedragscode.
  • Onderzoekers die medische persoonsgegevens verzamelen zijn daarnaast bekend met en houden zich ook aan de Federa gedragscodes ‘Goed gedrag’ en ‘Goed gebruik’.
  • Onderzoekers stellen een Datamanagementplan op, waarin onder meer duidelijk wordt vastgelegd hoe de privacy van onderzoekspersonen wordt gewaarborgd. Meer informatie en een template hiervoor vind je op de Onderzoeksdata website.
  • Onderzoekers anonimiseren waar mogelijk de persoonsgegevens van onderzoekspersonen, indien dit niet mogelijk is dan worden deze gepseudonimiseerd.
  • Heb je op enige manier inzage in of toegang tot persoonsgegevens van anderen dan jezelf, houd deze dan geheim. Deel deze gegevens niet met anderen die geen inzage of toegang (nodig) hebben, ook niet als zij zelf geheimhoudingsplicht hebben.
  • Verstrek persoonsgegevens alleen aan derden wanneer hiervoor een wettelijke grondslag is of wanneer je hiervoor expliciet toestemming hebt gekregen van de betrokkene.
  • Verzend persoonsgegevens alleen versleuteld.
  • Is er bij een nieuwe verwerking sprake van een hoog risico voor rechten of vrijheden van betrokken personen? Voer dan een Data Protection Impact Assessment (DPIA) uit. De PCP van je faculteit kan helpen bij deze beoordeling en zo nodig bij de uitvoering van de DPIA.
  • Wanneer een derde partij betrokken is bij de verwerking van je gegevens (dit kan ook alleen de opslag van gegevens zijn), moet je met deze partij een bewerkersovereenkomst afsluiten. Ook hierbij kan de PCP van je eenheid je ondersteunen.

Wat te doen als er iets mis gaat

  • Constateer je een (mogelijk) privacy-incident, meld dit dan direct bij CERT-UT.
  • Ga vertrouwelijk om met een mogelijk privacy-incident.
  • Elke klacht of melding met betrekking tot persoonsgegevens is een privacy-incident. Als de vertrouwelijkheid van persoonsgegevens daadwerkelijk is aangetast, is er daarnaast sprake van een datalek. Het FG-team informeert het College van Bestuur, het CvB besluit of melding aan de Autoriteit Persoonsgegevens nodig is.

Heb je nog vragen

Definities

AVG/ GDPR

Algemene Verordening Gegevensbescherming / General Data Protection Regulation. Europese regelgeving gericht op de bescherming van persoonsgegevens en het vrije verkeer van die gegevens. Vanaf 25 mei 2018 wordt deze regelgeving gehandhaafd.

Persoonsgegevens

Elk kenmerk dat direct of indirect herleidbaar is tot een natuurlijke persoon. Bijvoorbeeld naam, identificatienummer, locatie, IP-adres, fysieke en sociale kenmerken. De verwerking van deze gegevens moet voldoen aan een aantal beginselen.

Bijzondere persoonsgegevens

Persoonsgegevens die betrekking hebben op gevoelige informatie zoals etniciteit, politieke, religieuze of levensbeschouwelijke overtuigingen en gegevens over gezondheid. Verwerking van deze gegevens is verboden tenzij aan specifieke voorwaarden wordt voldaan.

Anonimiseren

Het zodanig verwerken van persoonsgegevens dat deze nooit meer herleidbaar zijn tot een persoon. Alleen wanneer de verwerking vanaf het allereerste begin anoniem plaatsvindt, is de AVG / GDPR niet van toepassing.

Pseudonimiseren

Het zodanig verwerken van persoonsgegevens dat deze alleen nog herleidbaar zijn tot een persoon met behulp van aanvullende gegevens, waarbij deze aanvullende gegevens apart worden bewaard en beveiligd met technische en organisatorische maatregelen.

Verwerking

Een verwerking is een al dan niet geautomatiseerd proces waarbij persoonsgegevens betrokken zijn, denk aan het verzamelen, vastleggen, raadplegen en vernietigen van persoonsgegevens.

Grondslag verwerking

Verwerking van persoonsgegevens is toegestaan wanneer één van de volgende grondslagen van toepassing is (art. 6 AVG):

  • Toestemming van betrokkene (vastgelegd);
  • noodzakelijk voor de uitvoering van een overeenkomst;
  • wettelijke verplichting;
  • bescherming van vitale belangen;
  • vervulling van een taak van algemeen belang / openbaar gezag;
  • behartiging van gerechtvaardigd belang van verantwoordelijke of een derde.