Privacybescherming
The best way to protect your participant's privacy may be not to collect certain identifiable information at all. The second best is anonymisation which allows data to be shared whilst protecting participant’s personal information. Anonymisation should be considered in the context of the whole project and how it can be utilised alongside, informed consent and access controls. For example, if a participant consents to their data being shared then the use of anonymisation may not be required | CESSDA, 2017c

Deze paragraaf staat in het teken van de bescherming van de privacy van personen die het onderwerp zijn van een wetenschappelijk onderzoek. Hierbij staan we stil bij (medisch) ethische toetsing en zoomen we in op de Algemene Verordening Gegevensbescherming (AVG) die sinds mei 2018 van kracht is. We kijken in het bijzonder naar anonimisering, pseudonimisering en consent als hulpmiddelen bij het FAIR publiceren van privacygevoelige onderzoeksdata.
Ethiek en de wet
Bij onderzoek waarbij menselijke deelnemers betrokken zijn, hebben onderzoekers de (morele) verplichting om te bekijken of de belangen van de deelnemers - zoals het recht op privacy - niet in het nauw komen.
Onderzoek dat onder de Wet medisch-wetenschappelijk onderzoek met mensen (WMO, Overheid.nl, 1998) valt, moet vooraf door de Centrale Commissie Mensgebonden Onderzoek (CCMO, n.d.a) of een van de andere 19 erkende Medisch Ethische ToetsingCommissie (CCMO, n.d.b.) worden getoetst. Medisch-wetenschappelijk onderzoek valt tevens onder de Algemene Verordening Gegevensbescherming (AVG, Europese Unie, 2016). Andersom valt veel onderzoek waarbij gegevens over personen worden verzameld niet onder de WMO. Voor de toetsing van de ethische aspecten van dit soort onderzoeksprojecten, zoals bijvoorbeeld onderzoek naar sociaal-culturele veranderingen in de maatschappij of onderzoek naar gedrag van mensen, zijn bij veel instellingen ethische toetsingscommissies ingericht. In alle gevallen is het zinvol om de 'toets der ethiek' op een onderzoeksontwerp los te laten. Denk bijvoorbeeld aan de impact van nieuwe technologische ontwikkelingen op het dagelijkse leven. Waar de wet gaat over 'wat er mag', gaat ethiek over 'wat het goede is om te doen'.
Een van de manieren om met een ethisch oog naar het verzamelen en verwerken van data te kijken is met de Data Ethics Decision Aid (Utrecht Data School, 2017). DEDA is een hulpmiddel voor onderzoekers om in een vroeg stadium na te denken over ethische dilemma's. De tool biedt deze mogelijkheid door een aantal open vragen te stellen die helpen om op een constructieve manier over ethische kwesties na te denken. De DEDA geeft geen volledig overzicht van relevante wetten en geeft ook geen advies. Het is een middel voor zelfevaluatie.
De AVG in een notendop
De AVG schrijft voor dat elke onderzoeker binnen de Europese Economische Ruimte die persoonsgegevens verzamelt en bewerkt van een burger van een land, waar ook ter wereld, de privacy van de onderzoeksdeelnemers moet beschermen. De AVG legt daarbij de nadruk op transparantie en duidelijke en begrijpelijke informatie. In onderstaande slideshow passeert een aantal wetenswaardigheden uit en over de AVG de revue.
FAIR data en privacy: maatregelen in beeld
Wat is er nodig om onderzoeksdata met persoonsgegevens FAIR te kunnen publiceren in een data-archief en tegelijkertijd de rechten van de onderzoeksdeelnemers te beschermen? In verschillende stadia van het onderzoek kunnen de volgende maatregelen genomen:
- Planfase
- Privacy by design in het onderzoeksontwerp
Al in het onderzoeksontwerp wordt het principe van 'Privacy by design' gehanteerd. Denk daarbij aan dataminimalisatie (alleen data verzamelen die strikt noodzakelijk zijn voor het doel van het onderzoek). - Toestemming vragen aan deelnemers
Een onderzoeker kan niet alleen toestemming (consent) vragen voor deelname maar ook voor het publiceren en delen van de data
- Privacy by design in het onderzoeksontwerp
Wat is consent?
Consent is het proces waarlangs een onderzoeker passende informatie over het onderzoek openbaar maakt, zodat een deelnemer een keuze kan maken om wel of niet mee te doen. Het is een belangrijk instrument om te voldoen aan wettelijk verplichtingen en om de ethisch toets te doorstaan. Consent dient ‘informed’ te zijn en ook ‘freely given’ (vrijwillig), zoals bepaald in de AVG, artikel 4, lid 11.
Enerzijds geeft de onderzoeker zich via het vragen van toestemming rekenschap van zijn/haar verplichtingen om de anonimiteit en vertrouwelijkheid van zijn/haar deelnemers te beschermen; tegelijkertijd is het een wettelijk middel om deelnemers vooraf te vragen of de data gepubliceerd en hergerbuikt mogen worden door anderen.
Zijn er voorbeelden van sjablonen voor het verkrijgen van consent?
Zeker, neem maar eens een kijkje bij:
- Een template voor informed consent - in lijn met de AVG - ontwikkeld door TU Delft (Delft University of Technology, 2018).
- Verschillende templates voor informed consent zijn verzameld door LCRDM (n.d.)
Wat is trouwens het verschil tussen consent en informed consent?
In de AVG bestaat alleen de term 'Consent'; de term 'Informed Consent' komt in de AVG niet voor. Deze term komt voort uit de Clinical Trials Regulation (Europese Commissie, 2019).
In de AVG, artikel 4, lid 11 staat over Consent:
'Consent' of the data subject means any freely given, specific, informed and unambiguous indication of the data subject's wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her.
Consent (toestemming) bevat meerdere aspecten:
- Freely given;
- Specific;
- Informed;
- Unambiguous indication of the data subject's wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her.
Een van deze vier aspecten is ‘informed’. In die zin kun je spreken van ‘informed consent’ als voorwaarde voor het doel: rechtsgeldige consent. Maar het doel is dus niet 'informed consent’ op zich, wat wel het geval is bij de Clinical Trial Regulations.
Wat zijn goede bronnen voor het verkrijgen van consent voor datapublicatie?
- Bekijk de gids 'Informed consent for data sharing' van Universiteit Utrecht, n.d.
- Bekijk de CESSDA Data Management Expert Guide (2017a) voor tips.
In present days, not only participation in the research project has to be consented, but also the archiving and sharing of the data. This will result in reproducible research and data with long term value. If appropriate, consent forms should address the possibility of sharing data, future data publication (including storage in a repository) or long-term retention of data for reproducibility | Utrecht University, n.d.
- Onderzoeksfase
Tijdens het onderzoek worden data veilig gehouden met een reeks van technische (zoals encryptie) en organisatorische maatregelen (bijvoorbeeld afspraken over wie wanneer toegang heeft tot de data). Zie 'Tips om data veilig te houden', helemaal onderaan de paragraaf 'Data opslaan'. - Oogstfase
Bij het publiceren van de data kunnen data geanonimiseerd of gepseudonimiseerd worden. Als het niet mogelijk is om de data volledig te anonimiseren dan kunnen de data nog steeds gepubliceerd worden in een data-archief door de toegang te controleren en de data in 'restricted access' te publiceren met een machine-leesbare datalicentie. FAIR en open is niet hetzelfde. In dit artikel (Mons, et al., 2017) leggen de auteurs dat uit.
Wat is anonimiseren en pseudonimiseren?
Pseudonimiseren en anonimiseren zijn twee verschillende termen die onder verschillende categorieën vallen in de Algemene Verordening Gegevensbescherming (AVG; Europese Unie, 2016). Terwijl anonimiseren beoogt om onomkeerbaar elke manier om de betrokkene te identificeren onmogelijk te maken, maakt pseudonimiseren het in theorie mogelijk om de betrokkene opnieuw te identificeren met aanvullende informatie. De gegevens worden bij pseudonimisering versleuteld, maar zijn in principe nog steeds te herleiden tot de oorspronkelijke indenteit van de onderzoeksdeelnemer. Pseudonimiseren houdt dus geen anonimiseren in, maar is een methode om privacyrisico's te verkleinen.
Het LCRDM biedt enkele handreikingen bij pseudonimiseren en anonimiseren.
Kunnen data ooit echt anoniem zijn?
Dat hangt af van je definitie van anoniem.
De AVG zegt dat er passende technische maatregelen genomen moeten worden om de data en daarmee de rechten van Europese burgers te beschermen (Europese Commissie, 2016). Daarnaast zouden die maatregelen ook nog volgens de 'huidige stand der techniek' toegepast moeten worden. Maar wat is precies passend? En als data beveiligd is volgens de stand der techniek van vandaag is dat dan voldoende voor die van morgen? Kunnen de anonieme data van vandaag morgen toch niet anoniem blijken? Het zijn allemaal vragen waarop de antwoorden nog niet concreet zijn. Om toch te kunnen werken met anonimisatie als middel, werken instellingen met concept dat ze aantoonbaar hun best hebben gedaan om data te anonimiseren. Zo word anonimiseren dus een juridisch begrip.
Risico-gebaseerde anonimisering is een zinvol hulpmiddel op zoek naar balans tussen het beschermen van het individu en het optimaliseren van het datapotentieel. Binnen het LCRDM is een groepje bezig om het concept van risico-gebaseerde bescherming uit te werken in een aantal onderzoeksscenario's: veel voorkomende situaties waarvoor je standaardmaatregelen voor zou kunnen schrijven.
Hoe kun je data het beste anonimiseren?
Een aantal ingangen met tips en tools:
- OpenAire biedt de tool Amnesia (OpenAIRE, n.d.) welke belooft om identificerende informatie uit data te verwijderen en het daarmee - volgens de huidige stand der techniek - ook echt anoniem te maken. Een casus over het gebruik van Amnesia is beschikbaar op de site van de EOSC-Hub (n.d.).
- De CESSDA Data Management Expert Guide biedt een hoofdstuk met uitgebreide tips voor het anonimiseren van onderzoeksdata uit kwantitatief en kwalitatief sociaal wetenschappelijk onderzoek (CESSDA, 2017c).
- Kijk voor inspiratie ook eens op de infographic 'A visual guide to pratical de-idenficiation' van het Future of Privacy Forum (2017).
Anonymization is a critical piece of the data-sharing puzzle - by it very nature, it enables the responsible sharing of data for secondary purposes. When we use the term anonymization we mean anonymization that is legally defensable | Privacy Analytics, 2018

In de spotlight
Veel gestelde vragen over de AVG: Een interview met Marlon Domingus
RDNL vroeg Marlon Domingus, functionaris gegevensbescherming bij de Erasmus Universiteit Rotterdam (EUR), om de AVG in het algemeen en de rol van de data supporter in het beantwoorden van privacy-gerelateerde vragen in het bijzonder in een Q&A toe te lichten.
Casus data support in de praktijk: Privacy champions bij de Vrije Universiteit van Amsterdam
Sinds de invoering van de AVG in mei 2018 zijn instellingen druk in de weer om de benodigde support te regelen. Hoe weten werknemers wat ze moeten doen? Wat betekent de AVG in de praktijk? Bij de Vrije Universiteit van Amsterdam experimenteren ze met het concept van privacy champions. RDNL ging op onderzoek uit.
Datatags: Tool die privacygevoelige onderzoeksdata in vier categorieën indeelt
DANS heeft een tool ontwikkeld met de naam 'Datatags' (DANS, n.d.a.) die de AVG codeert in een reeks vragen. Na het beantwoorden van de vragen, krijg je een aanbeveling over de benodigde mate van gegevensbescherming. Dit wordt visueel weergegeven als een van volgende de vier 'Datatags':
- Niet-persoonlijke gegevens (blauwe tag)
De dataset bevat geen informatie die verwijst naar een geïdentificeerde of identificeerbare levende persoon. - Geanonimiseerde persoonsgegevens(groene tag)
De dataset bevat wel persoonlijke informatie, maar de onderzoeker heeft ervoor gezorgd dat deze gegevens anoniem zijn gemaakt. Principes van anonimisering zijn dienovereenkomstig gevolgd. Er moeten noodzakelijke informatiebeveiligingsmaatregelen worden genomen om gegevensbescherming en toegangsautorisatie te waarborgen. - Persoonsgegevens (oranje tag)
De dataset bevat persoonsgegevens of gepseudonimiseerde persoonsgegevens. Deze gegevens worden op een wettige manier verzameld op basis van verkregen toestemming (consent). Als het om betrokkenen van onder de 16 jaar gaat, wordt deze toestemming verkregen in overeenstemming met de artikelen 5, 6, 7 en 8 van de AVG. - Speciale categorieën van persoonsgegevens (gevoelige persoonsgegevens) (rode tag)
De dataset bevat naar verwachting speciale categorieën van persoonsgegevens. Denk bijvoorbeeld aan gezondheidsgegevens, gegevens over de religieuze achtergrond of een vakbondslidmaatschap. Deze persoonsgegevens worden op een wettige manier verzameld op basis van verkregen toestemming. Omdat de AVG meerdere artikelen voor deze speciale categorieën bevat, moeten er strenge beveiligingsmaatregelen worden genomen om het hoogste niveau van bescherming van deze persoonsgegevens te waarborgen.
De huidige versie van de tool is nog in ontwikkeling.
Meer weten
Bekijk de volgende bronnen van de makers:
- Een illustratie met het overzicht van de routing in Datatags (DANS, n.d.b.);
- Een overzicht van de vier datatypen (DANS, n.d.c.);
- Probeer de tool zelf uit (DANS, n.d.a.).
Privacy designer: Een tool om privacy by design makkelijker te maken
Privacy designer is een zelfevaluatietool waarmee je de grootste risico's op het gebied van privacy in kaart kunt brengen en vervolgens kunt werken aan het kiezen van de meeste geschikte strategieën van privacy by design (SURF, n.d.a.):
- Minder verzamelen;
- Splitsen;
- Abstract maken;
- Verbergen;
- Minder bewaren;
- Informeren;
- Rechten van betrokkenen toepassen;
- Afdwingen;
- Aantonen.
Iedere strategie wordt uitgelegd aan de hand van voorbeelden uit de praktijk.
Informatiemateriaal voor de vertaalslag van de AVG naar de praktijk
De VSNU is bezig met het schrijven van een herziene ‘Code of conduct for using personal data in research’ die bij moet gaan dragen aan een juiste toepassing van de AVG (VSNU, 2019).
Andere bronnen die kunnen helpen om de vertaalslag van wet naar praktijk te maken zijn:
- De AVG in een notendop (Autoriteit Persoonsgegevens, n.d.);
- De gids 'Handling Personal data' van RDM Support (Universiteit Utrecht, n.d.)
- Handreikingen Privacy (LCRDM. n.d.b).
- De CESSDA Data Management Expert Guide geeft praktisch advies over informed consent en anonimiseren (CESSDA, 2017 a,b,c).
- De poster 'Personal Research Data protocol' (Universiteit Twente, n.d.).
Online cursussen
- Een online module ‘Privacy in research’ (SURF, Erasmus Universiteit Rotterdam, 2019).
- De online cursus ‘Protecting health data in the modern age’ op het leerplatform FutureLearn (University of Groningen, 2019).
Cases over privacybescherming en datapublicatie
- Bij het opslaan van de interviews die gehouden waren voor het project 'Getuigenverhalen' (DANS, n.d.d.) kreeg DANS te maken met privacygevoelige informatie. In het 'Rapport met betrekking tot authenticiteit en juridische aspecten van de kerncollectie 'Getuigenverhalen' lees je hoe DANS daarmee om is gegaan (Tjalsma, 2009).
- Ook buiten interviewprojecten om kun je te maken krijgen met persoonsgegevens. Zo moesten de persoonsgegevens uit real life event logs (van Dongen, 2011) uit Eindhoven eerst weggepoetst worden voordat open access in 4TU.Centre for Research Data konden worden opgenomen.
- Het artikel 'Realities of data sharing using the genome wars as case study - an historical perspective and commentary' geeft een historisch overzicht van de dilemma's en krachten die speelden bij het human genome project: hoe verhoudden privacy en open access zich tot elkaar? (Jasney, 2013).
- Een casus over het gebruik van Amnesia is beschikbaar op de site van de EOSC-Hub (n.d.).

Bronnen
Klik om te openen/sluiten
Autoriteit Persoonsgegevens (n.d.) De AVG in een notendop. https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/notendop_avg.pdf
CCMO (n.d.a.). Centrale Commissie Mensgebonden Onderzoek. https://www.ccmo.nl/
CCMO (n.d.a.).Centrale Commissie Mensgebonden Onderzoek. Erkende METC's. https://www.ccmo.nl/metcs/erkende-metcs
CESSDA (2017a). Data Management Expert Guide. Informed consent. https://www.cessda.eu/Training/Training-Resources/Library/Data-Management-Expert-Guide/5.-Protect/Informed-consent
CESSDA (2017b). Data Management Expert Guide. Processing personal data. https://www.cessda.eu/Training/Training-Resources/Library/Data-Management-Expert-Guide/5.-Protect/Processing-personal-data
CESSDA (2017c). Data Management Expert Guide. Anonymisation. https://www.cessda.eu/Training/Training-Resources/Library/Data-Management-Expert-Guide/5.-Protect/Anonymisation
CESSDA (2017d). Data Management Expert Guide. Informed Consent. https://www.cessda.eu/Training/Training-Resources/Library/Data-Management-Expert-Guide/5.-Protect/Informed-consent
DANS (n.d.a.). DANS Datatags Prototype 2. https://zingtree.com/host.php?tree_id=791812481
DANS (n.d.b.) https://drive.google.com/file/d/10jisJ-5g7lcNX855k8m5mEjv43widcP7/view
DANS (n.d.c.). https://docs.google.com/document/d/1bmFwTeweYPkp60lYZhi7FnDStmZ1s70I8uSZIBBC4_w/edit
DANS (n.d.d.). Getuigenverhalen. http://getuigenverhalen.nl/
Delft University of Technology (2018). Template informed consent form. https://www.tudelft.nl/over-tu-delft/strategie/strategiedocumenten-tu-delft/integriteitsbeleid/human-research-ethics/template-informed-consent-form/
Europese Commissie (2018). Ethics and data protection. https://ec.europa.eu/research/participants/data/ref/h2020/grants_manual/hi/ethics/h2020_hi_ethics-data-protection_en.pdf
Europese Commissie (2019). Clinical Trials Regulation. https://ec.europa.eu/health/sites/health/files/files/eudralex/vol-10/regulation5362014_qa_en.pdf
Europese Unie (2016). VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD. https://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32016R0679&from=en
Future of Privacy Forum (2017). A visual guide to practical de-identifcation. https://fpf.org/wp-content/uploads/2017/06/FPF_Visual-Guide-to-Practical-Data-DeID.pdf
LCRDM (n.d.a). Informed Consent overeenkomst. https://www.edugroepen.nl/sites/RDM_platform/Juridisch/Informed%20Consent%20overeenkomst.aspx
LCRMD (n.d.b.) Handreikingen privacy. https://www.lcrdm.nl/handreikingen-privacy
Mons et al. (2017). Cloudy, increasingly FAIR; revisiting the FAIR Data guiding principles for the European Open Science Cloud. Information Services & Use, vol. 37, no. 1, pp. 49-56. https://doi.org/10.3233/ISU-170824
OpenAIRE (n.d.). Amnesia. https://amnesia.openaire.eu/
Privacy Analytics (2018). The five safes of risk-based anonymisation. http://privacy-analytics.com/files/5-SAFES-WHITE-PAPER_FINAL_ELECTRONIC.pdf
SURF e.a. (n.d.) Privacy designer. https://www.privacydesigner.nl
SURF, Erasmus University (2019). Privacy in research [Online course]. https://maken.wikiwijs.nl/125518/Privacy_in__Research
University of Twente (n.d.). Personal Data. Research Protocol [Poster]. https://www.utwente.nl/en/cyber-safety/privacy/poster-personal-data-v08-1.pdf
Utrecht Data School (2017). DEDA for Research.https://survey2.hum.uu.nl/index.php/778777?newtest=Y&lang=en
Utrecht University (n.d.). RDM Support. Informed consent for data sharing [Guide]. https://www.uu.nl/en/research/research-data-management/guides/informed-consent-for-data-sharing
University of Groningen (2019). Protecting Health Data in the Modern Age: Getting to Grips with the GDPR [Online course]. https://www.futurelearn.com/courses/protecting-health-data