Naar hoofdinhoud

Handreiking omgaan met persoonsgegevens

De 'Handreiking Omgaan met persoonsgegevens in wetenschappelijk onderzoek in het kader van datamanagement aan de Protestantse Theologische Universiteit (PThU)' wil een aantal praktische tips geven zonder daarbij uitputtend te zijn. Doel is onderzoekers bewust maken van het zorgvuldig omgaan met privacygevoelige gegevens, vooral waar het bijzondere persoonsgegevens betreft, zoals godsdienst of levensovertuiging.

Begrippenkader

  • AVG: Algemene Verordening Gegevensbescherming. Op  25 mei 2018 in werking getreden als vervanger van de Wet bescherming persoonsgegevens (Wbp).
  • Beleid datamanagement PThU: Hoofdlijnen beleid met betrekking tot het beheren van onderzoeksdata, vastgesteld door het College van Bestuur op 9 maart 2017.
  • Bestand: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid (Algemene Verordening Gegevensbescherming (AVG), art. 4, lid 6)
  • Dataset: een digitaal gegevensbestand 
  • Gedragscode: Gedragscode voor gebruik van persoonsgegevens in wetenschappelijk onderzoek (VSNU, dec. 2005)
  • Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon (Algemene Verordening Gegevensbescherming (AVG), art. 4, lid 1)
  • Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens (Algemene Verordening Gegevensbescherming (AVG), art. 4, lid 2)

Aandachtspunten

  • Neem nauwkeurig kennis van het PThU-beleid met betrekking tot datamanagement en neem de Gedragscode van de VSNU door.
  •  Bestudeer de Libguide Research Data Management, samengesteld door Research Data Support van de Universiteitsbibliotheek VU
  • Stel een datamanagementplan (DMP) op.
  • Bepaal wie eigenaar is van de onderzoeksgegevens. Onderzoeksdata verzameld in het kader van een dienstverband bij of in opdracht van de PThU zijn in beginsel eigendom van de PThU. NWO wordt mede-eigenaar van door NWO gefinancierde projecten en eist dat de onderzoeksdata beschikbaar komen voor andere onderzoekers. Zie Regeling subsidieverlening NWO 2017 ingegaan op 1 mei 2017.
  • Vraag respondenten vooraf expliciet toestemming (informed consent) om hun privacygevoelige gegevens te verzamelen, te gebruiken, te archiveren, (langdurig) te bewaren en te gebruiken voor vervolgonderzoek. Vraag eveneens expliciet toestemming om bepaalde gegevens te publiceren. Leg alle gemaakte afspraken schriftelijk vast.
  • De onderzoeker is tijdens het doen van onderzoek volledig verantwoordelijk voor het beheer van de privacy van de respondenten en dient alle mogelijk maatregelen te nemen om deze te waarborgen.
  • Maak uitsluitend gebruik van beveiligde interne netwerkschijven of dataopslagfaciliteiten zoals de data-archieffaciliteiten van de PThU na afloop van het onderzoek. Zie ook de informatie over datamanagement.
  • Bepaal van tevoren wie geautoriseerd is en toegang krijgt tot de onderzoeksgegevens.
  • Geef nooit zelf inloggegevens af en leg tevens vast dat anderen deze nooit mogen afgeven.
  • Laat de computer of laptop, waarop met persoonsgegevens wordt gewerkt, niet (zelfs niet kort) onbeheerd achter. Lock altijd de computer voor vertrek en sluit de werkruimte af.
  • Bewaar geen (werk)bestanden met persoonsgegevens op USB-sticks, laptops of externe harddisks met het oog op verlies of diefstal van deze gegevensdragers.
  • Sla nooit privacygevoelige gegevens op in de cloud, zoals Dropbox en GoogleDrive. 
  • Maak indien nodig - bijvoorbeeld bij opslag op een laptop - gebruik van encryptie.
  • Anonimiseer de onderzoeksgegevens en sla de (bijzondere) persoonsgegevens separaat in een beveiligde omgeving op.
  • Lees ook de rubriek Privacy & data op de website van het Landelijk Coördinatiepunt Research Data Management (LCRDM). Hier is ook een algemeen informed consent-formulier te vinden.