Urban Vitality Open Science

Privacy

Privacy is een belangrijk kwaliteitsaspect van onderzoek. Als je in onderzoek, dat wordt uitgevoerd door, of in opdracht van de HvA informatie over mensen gebruikt, én die informatie is direct of indirect herleidbaar naar een individu, dan krijg je te maken met de Europese Privacywet ofwel de AVG (Algemene Verordening Gegevensbescherming). Voordat je het weet, verwerk je persoonsgegevens, en krijg je dus te maken met de AVG, ook al is het verzamelen van persoonsgegevens op zich niet je doel. Gegevens als IP-adressen en ook pseudonieme gegevens zijn persoonsgegevens en vallen dus onder de privacywet. Soms lijkt dit lastig, maar er zijn duidelijke richtlijnen en de privacy officer helpt en adviseert je.

Waar krijg je mee te maken?

Naar een individu herleidbare informatie wordt “persoonsinformatie” genoemd. Alles wat je doet met deze informatie; (verzamelen, opslaan, aanpassen, delen, hergebruiken of vernietigen) heet “verwerken” of “een verwerking”. Persoonsinformatie mag je alleen verwerken als je je kunt beroepen op een "wettelijke grondslag ". Die moet dus eerst worden vastgesteld.

Voordat je mag beginnen met verwerken, moet je ook aantonen dat je passende maatregelen hebt getroffen waarmee de privacy van de betrokkenen kan worden beschermd. Om dit vast te stellen wordt een risicoanalyse uitgevoerd, de zogenoemde IB&P risicoanalyse. Privacy- en security experts van de HvA beoordelen of de geïdentificeerde risico’s en de te nemen beschermende maatregelen met elkaar in balans zijn. Zo zorg je dat maatregelen niet te licht, maar ook niet te zwaar zijn. Bij grotere projecten die verdeeld zijn in meerdere werkpakketten is in het begin soms nog niet helder wat er in de latere werkpakketten zal gaan gebeuren. Meerdere risicoanalyses kunnen dan nodig zijn. Dat is niet erg. Voortschrijdend inzicht is dan een helpende factor. Het maken van risicoanalyses is ook een iteratief proces. Houd rekening met doorlooptijden van 1 tot meerdere maanden, vooral wanneer veel verschillende partijen betrokken zijn, of wanneer er sprake is van complexe verwerkingen. De agenda’s van de diverse experts, de privacy officer en vanzelfsprekend ook die van jou, bepalen het tempo waarin voortgang kan worden geboekt. Voor een IB&P en ook voor een daaropvolgende DPIA zijn gemiddeld 2 á 3 rondes nodig om de benodigde kwaliteit te behalen.

Risicobeperkende maatregelen zijn vaak technisch van aard, zoals speciaal beveiligde systemen, multifactor authenticatie, versleuteling (encryptie) en pseudonimisering. Maar niet-technische maatregelen zijn minstens zo belangrijk. Denk aan dataminimalisatie, toegangsbeperking, vaste werkprocedures (SOP’s) en periodieke controles van al deze maatregelen. Alle maatregelen zijn vanzelfsprekend alleen effectief als iedereen ze toepast. Het is belangrijk om verantwoordelijkheden voor controle van de maatregelen binnen een project goed vast te leggen.

Voordat je mag beginnen met het verwerken van persoonsgegevens, moet er voor de betrokkenen heldere informatie zijn over de verwerking van hun gegevens. De doelgroep is bepalend voor hoe deze informatie eruit komt te zien. Werk je met kinderen, zorg dan dat er niet alleen voor de ouders, maar ook voor de kinderen begrijpelijke informatie beschikbaar is.

Als de bovenstaande voorbereiding is, wordt de verwerking afgerond met de bijbehorende documentatie vastgelegd in het HvA register van verwerkingen . Hierin staan de verwerkingen met persoonsgegevens die door alle HvA faculteiten en afdelingen worden uitgevoerd. Het register biedt per verwerking een overzicht van de risico’s, de maatregelen en de afspraken met eventuele betrokken externe partijen. Ook is hier vastgelegd wie verantwoordelijk is voor de verwerking. De functionaris gegevensbescherming van de HvA gebruikt het register voor rapportages aan het CVB en de Autoriteit Persoonsgegevens (AP) kan een verzoek doen om inzage in het register. De HvA is verplicht om zo’n verzoek per omgaande te honoreren.

De privacywet verbiedt het verwerken van “Bijzondere Persoonsgegevens”. Dat is nodig om te zorgen dat basale mensenrechten niet te makkelijk kunnen worden geschonden. Een schending van die rechten kan onverwacht verstrekkende gevolgen hebben voor mensen. Een bijzonder persoonsgegeven is informatie over iemands:

  • Ras of etnische afkomst
  • Politieke opvattingen
  • Godsdienst of levensovertuiging
  • Genetische of biometrische gegevens met het oog op unieke identificatie
  • Gezondheid
  • Seksuele gerichtheid
  • Strafrechtelijk verleden

Toch is het wel mogelijk om bijzondere persoonsgegevens te gebruiken, maar dat mag alleen als hiervoor naast de grondslag ook een geldige uitzondering bestaat in de wet. Er zijn 10 uitzonderingen vastgelegd .

Bij het verwerken van bijzondere persoonsgegevens spelen er een groter risico’s voor de privacy van de betrokkenen en zullen er zwaardere eisen aan de risicobeperkende maatregelen gesteld worden. Dat geldt vooral wanneer er grote aantallen betrokkenen zijn of wanneer mensen op enige wijze niet of minder wilsbekwaam zijn, zoals minderjarigen, geestelijk beperkten, anderstaligen of mensen in een machtsongelijke positie. Als met de te nemen maatregelen er toch aanzienlijke risico’s overblijven, is een uitgebreide risicoanalyse, ofwel een data protect impact assessment (DPIA), verplicht. Deze wordt beoordeeld door de Functionaris Gegevensbescherming (FG) en de Chief Information Security Officer (CISO) van de HvA.
De gevolgschade van een privacyschending met bijzondere persoonsgegegevens kan groot zijn, in de eerste plaats natuurlijk voor de betrokkenen zelf, maar ook voor de onderzoekers, het lectoraat of de Hogeschool. Het kan gaan om aanzienlijke financiële schade, maar meestal wordt de imagoschade als vele malen erger ervaren.

Bij een verwerking zijn soms andere partijen dan alleen de HvA betrokken. Denk aan andere instellingen, organisaties of leveranciers. Alvorens persoonsgegevens met deze partijen te mogen delen moet er middels overeenkomsten vastgelegd worden, dat de andere partijen gebonden zijn aan dezelfde beveiligingseisen als die de HvA als verwerkingsverantwoordelijke stelt. Bij grootschalige samenwerkingen is er vaak sprake van een consortium overeenkomst, die als basis dient voor de meer specifieke onderliggende overeenkomsten. Vaak is hier, om de rechten van de HvA goed te beschermen, het advies van een HvA juridisch expert nodig.Overeenkomsten: Bij een verwerking zijn soms andere partijen dan alleen de HvA betrokken. Denk aan andere instellingen, organisaties of leveranciers. Alvorens persoonsgegevens met deze partijen te mogen delen moet er middels overeenkomsten vastgelegd worden, dat de andere partijen gebonden zijn aan dezelfde beveiligingseisen als die de HvA als verwerkingsverantwoordelijke stelt. Bij grootschalige samenwerkingen is er vaak sprake van een consortium overeenkomst, die als basis dient voor de meer specifieke onderliggende overeenkomsten. Vaak is hier, om de rechten van de HvA goed te beschermen, het advies van een HvA juridisch expert nodig.

Bij het bepalen van de juiste grondslag, het zorgen voor een goede risicoanalyse, het treffen van passende beveiligingsmaatregelen, het bijhouden van het HvA register van verwerkingen, én bij het betrekken van eventuele andere experts, werkt de privacy officer van de faculteit met je samen en geeft adviezen. De privacy officer neemt echter niet de verantwoordelijkheid voor privacy compliancy van je over.
De informatie in het Datamanagement Plan (DMP) is deels goede input voor de IB&P. De adviezen en maatregelen uit de IB&P risicoanalyse leiden soms tot aanpassingen in het DMP.
Je vind meer informatie hier meer informatie. .

Let op: Je mag niet beginnen met dataverzamelen vóórdat de risicoanalyse is afgerond en de risicobeperkende maatregelen worden uitgevoerd. Doe je dat toch, dan overtreed je de privacywet.

Gepubliceerd door  Urban Vitality 6 september 2022