Privacy voor onderzoekers

Op 25 mei 2018 is de nieuwe Europese privacy wet van kracht gegaan: de Algemene Verordening Gegevensbescherming (AVG). In deze informatiebrochure vind je meer informatie over hoe je jouw onderzoek bij de TU Delft privacy vriendelijk in kan richten. Het beschermen van onze gegevens is immers een verantwoordelijkheid van ons allemaal. Heb je vragen, stel ze dan gerust aan het privacy team via privacy-tud@tudelft.nl.

Wanneer spreken we van persoonsgegevens?

We spreken van persoonsgegevens als gegevens direct of indirect herleidbaar zijn naar een natuurlijk persoon. Bijvoorbeeld een naam, e-mailadres, geboortedatum, foto of IP-adres. Of antwoorden van een persoon die herleidbaar zijn naar diegene.

Richtlijnen voor onderzoek

  • Wees je ervan bewust dat je een Data Management Plan (DMP) moet invullen. Vraag je data steward om de laatste versie van het DMP template. Ook subsidieverstrekkers (NWO, EU) vragen steeds vaker om een DMP.
  • Zorg dat je een wettelijke grondslag hebt voor het doen van het onderzoek. Vaak zal dit toestemming van de betrokkene(n) zijn. Check hrec.tudelft.nl voor meer informatie over “informed consent” (incl. checklist en templates).
  • Zorg dat je de betrokkene(n) duidelijk en transparant informeert over wat je met zijn of haar persoonsgegevens gaat doen. Check hrec.tudelft.nl voor meer informatie over “informed consent” (incl. templates).
  • Verzamel zo min mogelijk persoonsgegevens. Wees extra voorzichtig met het verzamelen van bijzondere persoonsgegevens, zoals ras, godsdienst of gezondheidsgegevens. Ook voor de gegevens van kwetsbare groepen, bijvoorbeeld kinderen, zijn extra zorgvuldigheid en voorzorgsmaatregelen vereist.
  • Sla persoonsgegevens op in een veilige database, zoals DANS.
  • Verwijder/anonimiseer persoonsgegevens als je ze niet meer nodig hebt.
  • Maak bij publicatie zoveel mogelijk gebruik van geanonimiseerde persoonsgegevens.
  • Zorg dat persoonsgegevens binnen de EU worden opgeslagen. Cloudapplicaties als Google en Dropbox slaan data buiten de EU op. Indien het noodzakelijk is om data buiten de EU op te slaan zullen additionele maatregelen moeten worden getroffen. Neem hierover contact op met de data steward van jouw faculteit.
  • Meld (vermoedelijke) datalekken via databreach@tudelft.nl.
  • Check of je goedkeuring nodig hebt van de Human Research Ethics Committee (hrec.tudelft.nl). Soms roept een onderzoek veel (privacy) vragen op. Bijvoorbeeld wanneer er sprake is van ingewikkelde constructies, zoals een publiek - private samenwerking met een groot aantal internationale partijen. Neem bij vragen contact op met de data steward van jouw faculteit. Recht om vergeten te worden
  • Het recht om vergeten te worden is één van de rechten van betrokkenen volgens de AVG. Wanneer een betrokkene een verzoek doet om vergeten te worden (toestemming intrekt) blijven de data die tot dan toe zijn verwerkt behouden. Vanaf dat moment wordt wel gestopt met de verwerking van persoonsgegevens. Betrokkenen kunnen zich immers bedenken ten aanzien van de deelname aan wetenschappelijk onderzoek. Het is niet vereist de persoonsgegevens volledig te verwijderen. In sommige gevallen in wetenschappelijk onderzoek kan een verzoek om vergeten te worden niet worden gehonoreerd, omdat het de onderzoeksresultaten kan aantasten. Het is daarom belangrijk dat de onderzoeker – voorafgaand aan het onderzoek - hierover altijd duidelijk communiceert naar de betrokkene(n).

Hergebruik van data

Indien onderzoek wordt verricht voor een specifiek onderzoeksveld en in de toekomst wil de onderzoeker de verwerkte gegevens nogmaals voor een ander onderzoek gebruiken, dan is dit toegestaan wanneer het onderzoek plaatsvindt binnen hetzelfde onderzoeksveld.

Datalek

Een datalek houdt in dat persoonsgegevens verloren zijn gegaan of een ongeautoriseerd persoon (mogelijk) toegang heeft tot de persoonsgegevens. Bijvoorbeeld het verlies van een laptop of USB stick, een e-mail die naar de verkeerde persoon wordt gestuurd of autorisaties die niet goed zijn ingeregeld. Meld (vermoedelijke) datalekken via databreach@tudelft.nl.

Data Management Plan

Het Data Management Plan bevat o.a. een aantal AVG toetsingscriteria. Met behulp van deze “checks” wordt bepaald of additionele stappen genomen moeten worden gezet. Zoals bijvoorbeeld het uitvoeren van een Data Protection Impact Assessment (een risico analyse). Vraag je data steward om de laatste versie van het Data Management Plan template. Bekijk hier meer informatie.