Privacybescherming

The best way to protect your participant's privacy may be not to collect certain identifiable information at all. The second best is anonymisation which allows data to be shared whilst protecting participant’s personal information. Anonymisation should be considered in the context of the whole project and how it can be utilised alongside, informed consent and access controls. For example, if a participant consents to their data being shared then the use of anonymisation may not be required | CESSDA, 2017c

Deze paragraaf staat in het teken van de bescherming van de privacy van personen die het onderwerp zijn van een wetenschappelijk onderzoek. Hierbij staan we stil bij (medisch) ethische toetsing en zoomen we in op de Algemene Verordening Gegevensbescherming (AVG) die sinds mei 2018 van kracht is. We kijken in het bijzonder naar anonimisering, pseudonimisering en consent als hulpmiddelen bij het FAIR publiceren van privacygevoelige onderzoeksdata.

Ethiek en de wet

Bij onderzoek waarbij menselijke deelnemers betrokken zijn, hebben onderzoekers de (morele) verplichting om te bekijken of de belangen van de deelnemers - zoals het recht op privacy - niet in het nauw komen. 

Onderzoek dat onder de Wet medisch-wetenschappelijk onderzoek met mensen (WMO, Overheid.nl, 1998) valt, moet vooraf door de Centrale Commissie Mensgebonden Onderzoek (CCMO, n.d.a) of een van de andere 19 erkende Medisch Ethische ToetsingCommissie (CCMO, n.d.b.) worden getoetst. Medisch-wetenschappelijk onderzoek valt tevens onder de Algemene Verordening Gegevensbescherming (AVG, Europese Unie, 2016). Andersom valt veel onderzoek waarbij gegevens over personen worden verzameld niet onder de WMO. Voor de toetsing van de ethische aspecten van dit soort onderzoeksprojecten, zoals bijvoorbeeld onderzoek naar sociaal-culturele veranderingen in de maatschappij of onderzoek naar gedrag van mensen, zijn bij veel instellingen ethische toetsingscommissies ingericht. In alle gevallen is het zinvol om de 'toets der ethiek' op een onderzoeksontwerp los te laten. Denk bijvoorbeeld aan de impact van nieuwe technologische ontwikkelingen op het dagelijkse leven. Waar de wet gaat over 'wat er mag', gaat ethiek over 'wat het goede is om te doen'.

Een van de manieren om met een ethisch oog naar het verzamelen en verwerken van data te kijken is met de Data Ethics Decision Aid (Utrecht Data School, 2017). DEDA is een hulpmiddel voor onderzoekers om in een vroeg stadium na te denken over ethische dilemma's. De tool biedt deze mogelijkheid door een aantal open vragen te stellen die helpen om op een constructieve manier over ethische kwesties na te denken. De DEDA geeft geen volledig overzicht van relevante wetten en geeft ook geen advies. Het is een middel voor zelfevaluatie.    

De AVG in een notendop 

De AVG schrijft voor dat elke onderzoeker binnen de Europese Economische Ruimte die persoonsgegevens verzamelt en bewerkt van een burger van een land, waar ook ter wereld, de privacy van de onderzoeksdeelnemers moet beschermen. De AVG legt daarbij de nadruk op transparantie en duidelijke en begrijpelijke informatie. In onderstaande slideshow passeert een aantal wetenswaardigheden uit en over de AVG de revue.

FAIR data en privacy: maatregelen in beeld 

Wat is er nodig om onderzoeksdata met persoonsgegevens FAIR te kunnen publiceren in een data-archief en tegelijkertijd de rechten van de onderzoeksdeelnemers te beschermen? In verschillende stadia van het onderzoek kunnen de volgende maatregelen genomen:

  • Planfase
    • Privacy by design in het onderzoeksontwerp 
      Al in het onderzoeksontwerp wordt het principe van 'Privacy by design' gehanteerd. Denk daarbij aan dataminimalisatie (alleen data verzamelen die strikt noodzakelijk zijn voor het doel van het onderzoek). 
    • Toestemming vragen aan deelnemers
      Een onderzoeker kan niet alleen toestemming (consent) vragen voor deelname maar ook voor het publiceren en delen van de data

Wat is consent?

Consent is het proces waarlangs een onderzoeker passende informatie over het onderzoek openbaar maakt, zodat een deelnemer een keuze kan maken om wel of niet mee te doen. Het is een belangrijk instrument om te voldoen aan wettelijk verplichtingen en om de ethisch toets te doorstaan. Consent dient ‘informed’ te zijn en ook ‘freely given’ (vrijwillig), zoals bepaald in de AVG, artikel 4, lid 11

Enerzijds geeft de onderzoeker zich via het vragen van toestemming rekenschap van zijn/haar verplichtingen om de anonimiteit en vertrouwelijkheid van zijn/haar deelnemers te beschermen; tegelijkertijd is het een wettelijk middel om deelnemers vooraf te vragen of de data gepubliceerd en hergerbuikt mogen worden door anderen.

Zijn er voorbeelden van sjablonen voor het verkrijgen van consent? 

Zeker, neem maar eens een kijkje bij:  

 

Wat is trouwens het verschil tussen consent en informed consent?

In de AVG bestaat alleen de term 'Consent'; de term 'Informed Consent' komt in de AVG niet voor. Deze term komt voort uit de Clinical Trials Regulation (Europese Commissie, 2019).

In de AVG, artikel 4, lid 11 staat over Consent: 

'Consent' of the data subject means any freely given, specific, informed and unambiguous indication of the data subject's wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her. 

Consent (toestemming) bevat meerdere aspecten:

  • Freely given;
  • Specific;
  • Informed;
  • Unambiguous indication of the data subject's wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her.

Een van deze vier aspecten is ‘informed’. In die zin kun je spreken van ‘informed consent’ als voorwaarde voor het doel: rechtsgeldige consent. Maar het doel is dus niet 'informed consent’ op zich, wat wel het geval is bij de Clinical Trial Regulations. 

Wat zijn goede bronnen voor het verkrijgen van consent voor datapublicatie?


In present days, not only participation in the research project has to be consented, but also the archiving and sharing of the data. This will result in reproducible research and data with long term value. If appropriate, consent forms should address the possibility of sharing data, future data publication (including storage in a repository) or long-term retention of data for reproducibility | Utrecht University, n.d.


  • Onderzoeksfase
    Tijdens het onderzoek worden data veilig gehouden met een reeks van technische (zoals encryptie) en organisatorische maatregelen (bijvoorbeeld afspraken over wie wanneer toegang heeft tot de data). Zie 'Tips om data veilig te houden', helemaal onderaan de paragraaf 'Data opslaan'.
  • Oogstfase
    Bij het publiceren van de data kunnen data geanonimiseerd of gepseudonimiseerd worden. Als het niet mogelijk is om de data volledig te anonimiseren dan kunnen de data nog steeds gepubliceerd worden in een data-archief door de toegang te controleren en de data in 'restricted access' te publiceren met een machine-leesbare datalicentie. FAIR en open is niet hetzelfde. In dit artikel (Mons, et al., 2017) leggen de auteurs dat uit. 

Wat is anonimiseren en pseudonimiseren?

Pseudonimiseren en anonimiseren zijn twee verschillende termen die onder verschillende categorieën vallen in de Algemene Verordening Gegevensbescherming (AVG; Europese Unie, 2016). Terwijl anonimiseren beoogt om onomkeerbaar elke manier om de betrokkene te identificeren onmogelijk te maken, maakt pseudonimiseren het in theorie mogelijk om de betrokkene opnieuw te identificeren met aanvullende informatie. De gegevens worden bij pseudonimisering versleuteld, maar zijn in principe nog steeds te herleiden tot de oorspronkelijke indenteit van de onderzoeksdeelnemer. Pseudonimiseren houdt dus geen anonimiseren in, maar is een methode om privacyrisico's te verkleinen.

Kunnen data ooit echt anoniem zijn?

Dat hangt af van je definitie van anoniem. 

De AVG zegt dat er passende technische maatregelen genomen moeten worden om de data en daarmee de rechten van Europese burgers te beschermen (Europese Commissie, 2016). Daarnaast zouden die maatregelen ook nog volgens de 'huidige stand der techniek' toegepast moeten worden. Maar wat is precies passend? En als data beveiligd is volgens de stand der techniek van vandaag is dat dan voldoende voor die van morgen? Kunnen de anonieme data van vandaag morgen toch niet anoniem blijken? Het zijn allemaal vragen waarop de antwoorden nog niet concreet zijn. Om toch te kunnen werken met anonimisatie als middel, werken instellingen met concept dat ze aantoonbaar hun best hebben gedaan om data te anonimiseren. Zo word anonimiseren dus een juridisch begrip. 

Risico-gebaseerde anonimisering is een zinvol hulpmiddel op zoek naar balans tussen het beschermen van het individu en het optimaliseren van het datapotentieel. Binnen het LCRDM is een groepje bezig om het concept van risico-gebaseerde bescherming uit te werken in een aantal onderzoeksscenario's: veel voorkomende situaties waarvoor je standaardmaatregelen voor zou kunnen schrijven. 

Hoe kun je data het beste anonimiseren?

Een aantal ingangen met tips en tools:  

  • OpenAire biedt de tool Amnesia (OpenAIRE, n.d.) welke belooft om identificerende informatie uit data te verwijderen en het daarmee - volgens de huidige stand der techniek - ook echt anoniem te maken. Een casus over het gebruik van Amnesia is beschikbaar op de site van de EOSC-Hub (n.d.). 
  • De CESSDA Data Management Expert Guide biedt een hoofdstuk met uitgebreide tips voor het anonimiseren van onderzoeksdata uit kwantitatief en kwalitatief sociaal wetenschappelijk onderzoek (CESSDA, 2017c).   
  • Kijk voor inspiratie ook eens op de infographic 'A visual guide to pratical de-idenficiation' van het Future of Privacy Forum (2017). 

Anonymization is a critical piece of the data-sharing puzzle - by it very nature, it enables the responsible sharing of data for secondary purposes. When we use the term anonymization we mean anonymization that is legally defensable | Privacy Analytics, 2018


In de spotlight


Veel gestelde vragen over de AVG: Een interview met Marlon Domingus

RDNL vroeg Marlon Domingus, functionaris gegevensbescherming bij de Erasmus Universiteit Rotterdam (EUR), om de AVG in het algemeen en de rol van de data supporter in het beantwoorden van privacy-gerelateerde vragen in het bijzonder in een Q&A toe te lichten

Casus data support in de praktijk: Privacy champions bij de Vrije Universiteit van Amsterdam

Sinds de invoering van de AVG in mei 2018 zijn instellingen druk in de weer om de benodigde support te regelen. Hoe weten werknemers wat ze moeten doen? Wat betekent de AVG in de praktijk? Bij de Vrije Universiteit van Amsterdam experimenteren ze met het concept van privacy champions. RDNL ging op onderzoek uit.

Datatags: Tool die privacygevoelige onderzoeksdata in vier categorieën indeelt

DANS heeft een tool ontwikkeld met de naam 'Datatags' (DANS, n.d.a.) die de AVG codeert in een reeks vragen. Na het beantwoorden van de vragen, krijg je een aanbeveling over de benodigde mate van gegevensbescherming. Dit wordt visueel weergegeven als een van volgende de vier 'Datatags':

  1. Niet-persoonlijke gegevens (blauwe tag)
    De dataset bevat geen informatie die verwijst naar een geïdentificeerde of identificeerbare levende persoon.
  2. Geanonimiseerde persoonsgegevens(groene tag)
    De dataset bevat wel persoonlijke informatie, maar de onderzoeker heeft ervoor gezorgd dat deze gegevens anoniem zijn gemaakt. Principes van anonimisering zijn dienovereenkomstig gevolgd. Er moeten noodzakelijke informatiebeveiligingsmaatregelen worden genomen om gegevensbescherming en toegangsautorisatie te waarborgen.
  3. Persoonsgegevens (oranje tag)
    De dataset bevat persoonsgegevens of gepseudonimiseerde persoonsgegevens. Deze gegevens worden op een wettige manier verzameld op basis van verkregen toestemming (consent). Als het om betrokkenen van onder de 16 jaar gaat, wordt deze toestemming verkregen in overeenstemming met de artikelen 5, 6, 7 en 8 van de AVG. 
  4. Speciale categorieën van persoonsgegevens (gevoelige persoonsgegevens) (rode tag)
    De dataset bevat naar verwachting speciale categorieën van persoonsgegevens. Denk bijvoorbeeld aan gezondheidsgegevens, gegevens over de religieuze achtergrond of een vakbondslidmaatschap. Deze persoonsgegevens worden op een wettige manier verzameld op basis van verkregen toestemming. Omdat de AVG meerdere artikelen voor deze speciale categorieën bevat, moeten er strenge beveiligingsmaatregelen worden genomen om het hoogste niveau van bescherming van deze persoonsgegevens te waarborgen.

De huidige versie van de tool is nog in ontwikkeling. 

Meer weten

Bekijk de volgende bronnen van de makers:

Privacy designer: Een tool om privacy by design makkelijker te maken

Privacy designer is een zelfevaluatietool waarmee je de grootste risico's op het gebied van privacy in kaart kunt brengen en vervolgens kunt werken aan het kiezen van de meeste geschikte strategieën van privacy by design (SURF, n.d.a.): 

  1. Minder verzamelen;
  2. Splitsen;
  3. Abstract maken;
  4. Verbergen;
  5. Minder bewaren;
  6. Informeren;
  7. Rechten van betrokkenen toepassen;
  8. Afdwingen;
  9. Aantonen.

Iedere strategie wordt uitgelegd aan de hand van voorbeelden uit de praktijk. 

Informatiemateriaal voor de vertaalslag van de AVG naar de praktijk

De VSNU is bezig met het schrijven van een herziene ‘Code of conduct for using personal data in research’ die bij moet gaan dragen aan een juiste toepassing van de AVG (VSNU, 2019).

Andere bronnen die kunnen helpen om de vertaalslag van wet naar praktijk te maken zijn: 

Online cursussen 

Cases over privacybescherming en datapublicatie

  • Bij het opslaan van de interviews die gehouden waren voor het project 'Getuigenverhalen' (DANS, n.d.d.) kreeg DANS te maken met privacygevoelige informatie. In het 'Rapport met betrekking tot authenticiteit en juridische aspecten van de kerncollectie 'Getuigenverhalen' lees je hoe DANS daarmee om is gegaan (Tjalsma, 2009).
  • Ook buiten interviewprojecten om kun je te maken krijgen met persoonsgegevens. Zo moesten de persoonsgegevens uit real life event logs (van Dongen, 2011) uit Eindhoven eerst weggepoetst worden voordat open access in 4TU.Centre for Research Data konden worden opgenomen. 
  • Het artikel 'Realities of data sharing using the genome wars as case study - an historical perspective and commentary'  geeft een historisch overzicht van de dilemma's en krachten die speelden bij het human genome project: hoe verhoudden privacy en open access zich tot elkaar? (Jasney, 2013).
  •  Een casus over het gebruik van Amnesia is beschikbaar op de site van de EOSC-Hub (n.d.). 

Bronnen 

Klik om te openen/sluiten

Autoriteit Persoonsgegevens (n.d.) De AVG in een notendop. https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/notendop_avg.pdf

CCMO (n.d.a.). Centrale Commissie Mensgebonden Onderzoek. https://www.ccmo.nl/

CCMO (n.d.a.).Centrale Commissie Mensgebonden Onderzoek. Erkende METC's. https://www.ccmo.nl/metcs/erkende-metcs

CESSDA (2017a). Data Management Expert Guide. Informed consent. https://www.cessda.eu/Training/Training-Resources/Library/Data-Management-Expert-Guide/5.-Protect/Informed-consent

CESSDA (2017b). Data Management Expert Guide. Processing personal data. https://www.cessda.eu/Training/Training-Resources/Library/Data-Management-Expert-Guide/5.-Protect/Processing-personal-data

CESSDA (2017c). Data Management Expert Guide. Anonymisation. https://www.cessda.eu/Training/Training-Resources/Library/Data-Management-Expert-Guide/5.-Protect/Anonymisation

CESSDA (2017d). Data Management Expert Guide. Informed Consent. https://www.cessda.eu/Training/Training-Resources/Library/Data-Management-Expert-Guide/5.-Protect/Informed-consent

DANS (n.d.a.). DANS Datatags Prototype 2. https://zingtree.com/host.php?tree_id=791812481

DANS (n.d.b.) https://drive.google.com/file/d/10jisJ-5g7lcNX855k8m5mEjv43widcP7/view

DANS (n.d.c.). https://docs.google.com/document/d/1bmFwTeweYPkp60lYZhi7FnDStmZ1s70I8uSZIBBC4_w/edit

DANS (n.d.d.). Getuigenverhalen. http://getuigenverhalen.nl/

Delft University of Technology (2018). Template informed consent form. https://www.tudelft.nl/over-tu-delft/strategie/strategiedocumenten-tu-delft/integriteitsbeleid/human-research-ethics/template-informed-consent-form/

Europese Commissie (2018). Ethics and data protection. https://ec.europa.eu/research/participants/data/ref/h2020/grants_manual/hi/ethics/h2020_hi_ethics-data-protection_en.pdf

Europese Commissie (2019). Clinical Trials Regulation. https://ec.europa.eu/health/sites/health/files/files/eudralex/vol-10/regulation5362014_qa_en.pdf 

Europese Unie (2016). VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD. https://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32016R0679&from=en

Future of Privacy Forum (2017). A visual guide to practical de-identifcation. https://fpf.org/wp-content/uploads/2017/06/FPF_Visual-Guide-to-Practical-Data-DeID.pdf

LCRDM (n.d.a). Informed Consent overeenkomst. https://www.edugroepen.nl/sites/RDM_platform/Juridisch/Informed%20Consent%20overeenkomst.aspx 

LCRMD (n.d.b.) Handreikingen privacy. https://www.lcrdm.nl/handreikingen-privacy

Mons et al. (2017). Cloudy, increasingly FAIR; revisiting the FAIR Data guiding principles for the European Open Science Cloud. Information Services & Use, vol. 37, no. 1, pp. 49-56. https://doi.org/10.3233/ISU-170824​​​​​​  

OpenAIRE (n.d.). Amnesia. https://amnesia.openaire.eu/

Privacy Analytics (2018). The five safes of risk-based anonymisation. http://privacy-analytics.com/files/5-SAFES-WHITE-PAPER_FINAL_ELECTRONIC.pdf

SURF e.a. (n.d.) Privacy designer. https://www.privacydesigner.nl

SURF, Erasmus University (2019). Privacy in research [Online course]. https://maken.wikiwijs.nl/125518/Privacy_in__Research

University of Twente (n.d.). Personal Data. Research Protocol [Poster]. https://www.utwente.nl/en/cyber-safety/privacy/poster-personal-data-v08-1.pdf

Utrecht Data School (2017). DEDA for Research.https://survey2.hum.uu.nl/index.php/778777?newtest=Y&lang=en 

Utrecht University (n.d.). RDM Support. Informed consent for data sharing [Guide]. https://www.uu.nl/en/research/research-data-management/guides/informed-consent-for-data-sharing

University of Groningen (2019). Protecting Health Data in the Modern Age: Getting to Grips with the GDPR [Online course]. https://www.futurelearn.com/courses/protecting-health-data