De AVG in een Q&A

De Algemene Verordening Gegevensbescherming beschermt de privacyrechten van personen en benoemt verantwoordelijkheden voor diegenen die persoonsgegevens verwerken van anderen (Europese Unie, 2016). Het is dus van belang te weten: 

• Wat persoonsgegevens zijn;
• Wat privacyrechten zijn;
• Wat onder verwerken wordt verstaan; 
• Wat de verantwoordelijkheden zijn voor de verschillende rollen die de AVG bij verwerkingen onderscheidt. 

En dit allemaal in de contect van wetenschappelijk onderzoek. 

Samengevat gelden er veel eisen met betrekking tot de verwerking van persoonsgegevens, maar deze moeten niet alleen worden nageleefd - ze moeten aantoonbaar worden nageleefd en dat vergt dus een vorm van verslaglegging en administratie. In de context van onderzoek past dit in een datamanagementplan, aangevuld bijvoorbeeld met een Data Protectie Impact Assessment (DPIA, Autoriteit Persoonsgegevens, n.d.a.).

Het is daarnaast belangrijk je te realiseren dat de AVG open normen hanteert, die maken dat het een algemeneverordening is, en nog een poos mee kan zonder gewijzigd te hoeven worden. De invulling van deze open normen maakt de correcte naleving van de AVG in concrete gevallen lastig. Om die reden heeft elke instelling een functionaris voor gegevensbescherming die de AVG in concrete gevallen kan uitleggen, vaak geholpen door een grotere privacy organisatie. Bij de naleving van de AVG gaat het vaak om de afweging tussen wat de AVG aangeeft en een gerechtvaardigd belang vanuit de instelling gezien.

Voorts is de AVG risico gebaseerd. Bij het verwerken van persoonsgegevens zijn risico’s gemoeid. Het is dus zaak deze risico’s te inventariseren (via een Data Protectie Impact Assessment (DPIA), het instrument dat de AVG specifiek benoemt) en vervolgens passende technische en organisatorische maatregelen te treffen die de geïdentificeerde risico’s mitigeren, en waarbij iemand de eventuele restrisico’s accepteert en daarvoor verantwoordelijkheid neemt.

Ten slotte beschermt de AVG de verwerking van persoonsgegevens van personen binnen de Europese Economische Ruimte, ook bijvoorbeeld door bedrijven of instellingen uit de USA of Azië. Deze bedrijven kunnen boetes krijgen voor het niet naleven van de AVG. Omgekeerd geldt dat persoonsgegevens van EU burgers niet zonder meer met landen buiten de Europese Economische Ruimte mogen worden gedeeld. Dit is een onderwerp waarover je onbewust onbekwaam kunt zijn. Weet dus dat dit speelt en wanneer het speelt en win advies in bij de privacy officer of de functionaris gegevensbescherming van je instelling.

Het antwoord op deze vraag staat in de AVG, artikel 4:

• Persoonsgegevens 
  Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
• Genetische gegevens 
  Persoonsgegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die natuurlijke persoon en die met name voortkomen uit een analyse van een biologisch monster van die natuurlijke persoon.
• Biometrische gegevens 
  Persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens.

Privacyrechten zijn (Autoriteits Persoonsgegevens, n.d.b.):

• Recht van inzage van de betrokkene (AVG artikel 15);
• Recht op rectificatie (AVG artikel 16);
• Recht op gegevenswissing („recht op vergetelheid”) (AVG artikel 17);
• Recht op beperking van de verwerking (AVG artikel 18);
• Kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of verwerkingsbeperking (AVG artikel 19);
• Recht op overdraagbaarheid van gegevens (AVG artikel 20);
• Recht van bezwaar (AVG artikel 21).

In de AVG, artikel 4, staat dat met het verwerken van persoonsgegevens wordt bedoeld: 

Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

Volgens de AVG, artikel 5, moeten persoonsgegevens: 

• Worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is ("rechtmatigheid, behoorlijkheid en transparantie");
• Voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd ("doelbinding");
• Toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt ("minimale gegevensverwerking");
• Juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren ("juistheid");
• Worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is; persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt overeenkomstig artikel 89, lid 1, mits de bij deze verordening vereiste passende technische en organisatorische maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermen ("opslagbeperking");
• Door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging ("integriteit en vertrouwelijkheid").

De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van deze verantwoordelijkheden en moet kunnen aantonen dat hij/zij aan de zogeheten verantwoordingsplicht voldoet. 

Volgens de AVG, artikel 4,, is een verwerkingsverantwoordelijke een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.

Volgens de AVG, artikel 4,, is een verwerkingsverantwoordelijke een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.

Als gegevensverwerking een hoog privacyrisico vormt voor de deelnemers aan een onderzoek, dan is het volgens artikel 35 van de AVG noodzakelijk om Data Protection Impact Assessment (DPIA) uit te voeren. Een DPIA wordt uitgevoerd om "de oorsprong, aard, bijzonderheid en ernst van het risico voor de rechten en vrijheden van natuurlijke personen" te beoordelen. Het resultaat van de beoordeling moet in aanmerking worden genomen bij het bepalen van de juiste maatregelen om de persoonsgegevens te verwerken om zodoende de privacyrisico's te verkleinen.

Op de site van de Autoriteit Persoonsgegevens staat een beslisboom waarmee je kunt bepalen of een DPIA verplicht is (Autoriteit Persoonsgegevens, n.d.c.). Ook de Erasmus Universiteit heeft hier een handreiking voor (ERIM, 2018). 

Vanwege een combinatie van:

1. de open normen van de AVG,
2. de boetes die vanwege het niet naleven van de AVG kunnen worden opgelegd en
3. de verantwoordingsplicht, 

is er bij veel instellingen veel aan awareness en training gedaan om de open AVG normen helder te maken en de minimale eisen voor onderzoek te benoemen, waaronder registratie van onderzoeksprojecten in het zogenaamde ‘register van verwerkingen’ van de instelling.

Daarnaast zijn er veel DPIA’s uitgevoerd en is er veel gewerkt aan consentformulieren en aan overeenkomsten tussen samenwerkende onderzoeksinstellingen in de vorm van joint controller agreements of Data Sharing Agreements. Verder is er gewerkt aan het formuleren van generieke scenario’s van onderzoek, om zo meer generiek risico’s en passende tegenmaatregelen te kunnen benoemen. Zie voor voorbeelden hiervan een aantal documenten op SURFdrive (Domingus, 2019).

Tenslotte wordt er veel gezocht naar veilige manieren van data met elkaar delen binnen onderzoeksgroepen, waarbij toegangsrechten op bestandsniveau of mapniveau kunnen worden toegekend aan bekende gebruikers en waarbij er logging en monitoring plaatsvindt van mutaties in een dergelijke omgeving.

In het slechtste geval is er veel administratie en onduidelijkheid voor de onderzoeker en de onderzoeksondersteuning bijgekomen. De Wet Bescherming Persoonsgegevens eiste ook al veel van wat met de AVG verplicht is, alleen is er nu meer toezicht vanuit een sterkere nationale toezichthouder, met hoge boetes, en kunnen personen nu makkelijker zelf een klacht bij de Autoriteit Persoonsgegevens indienen.

Voorafgaand aan de inwerkingtreding van de AVG op 25 mei 2018 was vooral de vraag: ‘mag dat van de AVG?’ en nu is het meer: ‘hoe gaan we als instelling invulling geven aan onze verplichtingen zoals genoemd in de AVG?’. 

In 2017 en 2018 werd er vooral veel gekopieerd uit het medisch onderzoek (informed consent forms) en werd bijvoorbeeld de DPIA van NOREA (NOREA, 2015) of de DPIA van het Rijk (Rijksoverheid, 2017) veel gebruikt voor onderzoek, maar die bleken allemaal niet te passen en moesten aan de specifieke context worden aangepast (Hier vind je een sjabloon  voor een soort mini DPIA die we bij de EUR gebruiken (Domingus, n.d.)). 
Ook de standaard verwerkersovereenkomsten bleken vaak te omvangrijk en te vragen om informatie waarvan niet duidelijk was wat er nu gevraagd werd en met welke reden. (Hier vind je een sjabloon ontwikkeld door de EUR, n.d.).

Bij de meeste instellingen is er nu een centrale plek waar informatie beschikbaar is voor onderzoekers en onderzoeksondersteuners en waar de meer praktische info beschikbaar is. Soms via een data steward of via een privacy officer. En sommige documenten zijn ook beschikbaar via LCRDM, bijvoorbeeld templates voor informed consent (LCRDM. n.d.a.).

Er leven nu juist veel specifieke vragen, waar in het begin vooral veel algemene vragen speelden. Er is daarnaast veel meer begrip en dus ook discussie met betrekking tot de rechtmatigheid van onderzoek. Moet onderzoek altijd op basis van consent (niet te verwarren met informed consent dat we kennen uit het mensgebonden onderzoek)? Er zijn verder veel vragen over security aspecten (encryptie) en pseudonimiseren en anonimiseren. Op veel van die vragen zijn helaas nog geen eenduidige antwoorden. Dit komt ook doordat de nationale toezichthouders afzonderlijk en collectief in de zogenaamde European Data Protection Board weinig richtlijnen of richtsnoeren geven voor de interpretatie van deze vraagstukken. En het is nog te vroeg om te leren van allerlei uitspraken van het Europese Hof, waardoor helderheid kan ontstaan met betrekking tot deze vraagstukken.

Naar mijn mening is er veel concrete informatie te vinden in de ISO standaarden gewijd aan security (IOS/IEC 27000 reeks) en aan privacy (ISO/IEC 29100:2011, ISO/IEC 29101:2013 en ISO/IEC 20889:2018). Maar het daadwerkelijk toepassen van dit soort normen vergt een procesmatige aanpak die voor veel instellingen nog een brug te ver is. De volwassenheid van het ondersteuningsgebied  beweegt langzaam van de verkennende fase tot een meer gedefinieerde fase (Domingus, 2017). 

Idealiter werkt de onderzoeksondersteuning op de achtergrond goed samen en worden systemen slim ingezet, waardoor de onderzoeker zo weinig mogelijk administratieve lasten heeft en iets nuttigs terugkrijgt voor de gegevens die hij of zij aanlevert. Bijvoorbeeld een realistisch tijdpad voor het gehele onderzoeksproject met deliverables en hoe hierbij ondersteuning te krijgen.

Landelijke uitwisselingen van best practices, zoals via het platform van het Landelijk Coördinatiepunt RDM (LCRDM, n.d.b.) en ook direct tussen de data stewards en de privacy officers van de instellingen. Het gaat vaak om de specifieke duiding van de verplichtingen, de specifieke voorbeelden (van datamanagementplannen of DPIAs of overeenkomsten) en daarvan gaan we gezamenlijk leren. Basisbegrip van de AVG in trainingen zoals Essentials 4 Data Support draagt hier zeker aan bij.

De vragen die we nu hebben zullen grotendeels in scenario’s en standaard maatregelen gevangen kunnen worden. Wat resteert is echt innovatief onderzoek, waarbij de toepassing van de open normen weer in die specifieke context van het onderzoeksproject moet worden geduid en nadere invulling krijgt.

Ik verwacht tevens dat verschillende disciplines eigen gedragscodes zullen opstellen en zullen toezien op naleving hiervan. Een voorbeeld is de archiveringsrichtlijn van de decanen van de faculteiten Sociale Wetenschappen in Nederland en straks de VSNU Gedragscode Verwerking Persoonsgegevens in wetenschappelijk onderzoek.

Probeer aan te haken het netwerk van experts binnen de instelling (privacy, security, ethiek, grant officers) en haak aan bij landelijke kennisuitwisselingen van LCRDM (n.d.b.). Maar probeer allereerst privacy te zien als kracht voor de onderzoekers en de positie van de onderzoeker te begrijpen; deze zit niet te wachten op slechte afstemming van de ondersteunende diensten of onduidelijke antwoorden op heldere vragen; want er gelden harde deadlines voor de oplevering van deliverables in onderzoeksprojecten.

Er zijn voor onderzoek drie rechtsgronden die in aanmerking komen:

• AVG artikel 6. a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
• AVG artikel 6. e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
• AVG artikel 6. f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is;

Voor de verwerking van persoonsgegevens of voor de verdere verwerking (hergebruik van bestaande) van bijzondere categorieën van persoonsgegevens zou je rechtmatig onderzoek kunnen doen op basis van ‘algemeen belang’ of ‘gerechtvaardigd belang’ (bij dit laatste hoort een risico-inschatting (een balancing test) die uitgewerkt dient te zijn). Wel geldt in alle gevallen dat goede en heldere communicatie naar en met de betrokkenen in het onderzoek geborgd dient te zijn, maar dit geheel is dus anders dan onderzoek op basis van ‘toestemming’. Toestemming is altijd nodig wanneer bijzondere categorieën van persoonsgegevens worden verwerkt van betrokkenen, vanwege de grotere schade die de betrokkenen kunnen ervaren in hun privacyrechten en vrijheden, wanneer derden ongeoorloofd toegang hebben tot deze gevoelige gegevens.

Kun je een voorbeeld geven van onderzoek dat niet op basis van consent is uitgevoerd? 

Jazeker, het gaat dan bijvoorbeeld om zogeheten covert research (Spicker, 2011). Dat wordt in sociologisch onderzoek als valide vorm van onderzoek gezien. Een voorbeeld is een onderzoek waarbij werd onderzocht of rijke mensen oneerlijker zijn dan arme mensen. Er werden bewust enveloppen met geld erin verkeerd bezorgd en er werd gekeken hoe vaak de enveloppen werden geretourneerd naar de afzender. Wat bleek: arme mensen brachten het geld iets eerder terug maar dat was ook omdat zijn in de regel meer tijd hadden. Als je van tevoren was geïnformeerd over het doel van dit onderzoek, zou je gewenst gedrag krijgen en geen weerspiegeling van de werkelijkheid.   

Er is momenteel veel te doen over ‘open data’ en ‘FAIR’ data in de context van de AVG. De redenering is dan vaak: de subsidiegever eist open data, dus onderzoeksdata op het web, dus deze moeten geanonimiseerd worden - hoe moet ik anonimiseren? Ik wijt dit aan een te wijde betekenis van wat ‘open data’ is of wat onder ‘FAIR’ data verstaan kan worden. Ik voorzie namelijk geen problemen wanneer onderzoekdata beschikbaar zijn voor verificatiedoeleinden of vervolgonderzoek via een data repository zoals DANS EASY, waardoor data voor bepaalde doelgroepen bereikbaar zijn, maar niet voor iedereen zonder beperkingen online, waardoor data weliswaar gepseudonimiseerd moeten zijn, maar niet anoniem. We weten dat anonieme gegevens vaak aan waarde verliezen, omdat de relevante datapunten, ook wel quasi identifiers, betekenisloos zijn geworden.

De AVG geldt alleen voor levende EU-burgers. Soms bevat info over een overledene ook info over nabestaande of andere derden - deze hebben, bij leven, echter wel weer recht op bescherming van hun privacy rechten. De vraag bevat naast het bovenstaande juridische antwoord ook een ethisch aspect - ook al mag je data van overledenen verwerken buiten de context van de AVG - moet je dat willen? En zo ja, kun je dat onderbouwen en aan het publiek uitleggen?