Verzamelen en bewaren van persoonsgegevens voor wetenschappelijk onderzoek

De 'Handreiking Omgaan met persoonsgegevens in wetenschappelijk onderzoek in het kader van datamanagement aan de Protestantse Theologische Universiteit (PThU)' wil een aantal praktische tips geven zonder daarbij uitputtend te zijn. Doel is onderzoekers bewust maken van het zorgvuldig omgaan met privacygevoelige gegevens, vooral waar het bijzondere persoonsgegevens betreft, zoals godsdienst of levensovertuiging.

Begrippenkader

  • AVG: Algemene Verordening Gegevensbescherming. Op  25 mei 2018 in werking getreden als vervanger van de Wet bescherming persoonsgegevens (Wbp).
  • Beleid datamanagement PThU: Hoofdlijnen beleid met betrekking tot het beheren van onderzoeksdata, vastgesteld door het College van Bestuur op 9 maart 2017.
  • Bestand: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid (Algemene Verordening Gegevensbescherming (AVG), art. 4, lid 6)
  • Dataset: een digitaal gegevensbestand (Privacyreglement DANS)
  • Gedragscode: Gedragscode voor gebruik van persoonsgegevens in wetenschappelijk onderzoek (VSNU, dec. 2005)
  • Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon (Algemene Verordening Gegevensbescherming (AVG), art. 4, lid 1)
  • Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens (Algemene Verordening Gegevensbescherming (AVG), art. 4, lid 2)

Aandachtspunten

  • Neem nauwkeurig kennis van het PThU-beleid met betrekking tot datamanagement en neem de Gedragscode van de VSNU door.
  •  Bestudeer de Libguide Research Data Management, samengesteld door het team Research Data Services van de Universiteitsbibliotheek VU
  • Stel een datamanagementplan (DMP) op. De PThU maakt gebruik van een template van de UBVU. Het template van de VU en de bijbehorende handleiding is te vinden op de themasite Onderzoeksdata op VUnet (eerst inloggen met VUnetID) of neem contact op met de bibliotheek PThU.
  • Bepaal wie eigenaar is van de onderzoeksgegevens. Onderzoeksdata verzameld in het kader van een dienstverband bij of in opdracht van de PThU zijn in beginsel eigendom van de PThU. NWO wordt mede-eigenaar van door NWO gefinancierde projecten en eist dat de onderzoeksdata beschikbaar komen voor andere onderzoekers. Zie Regeling subsidieverlening NWO 2017 ingegaan op 1 mei 2017.
  • Vraag respondenten vooraf expliciet toestemming (informed consent) om hun privacygevoelige gegevens te verzamelen, te gebruiken, te archiveren, (langdurig) te bewaren en te gebruiken voor vervolgonderzoek. Vraag eveneens expliciet toestemming om bepaalde gegevens te publiceren. Leg alle gemaakte afspraken schriftelijk vast.
  • De onderzoeker is tijdens het doen van onderzoek volledig verantwoordelijk voor het beheer van de privacy van de respondenten en dient alle mogelijk maatregelen te nemen om deze te waarborgen.
  • Maak uitsluitend gebruik van beveiligde interne netwerkschijven of dataopslagfaciliteiten zoals de VUHome- en/of Group-directory tijdens het onderzoek en de data-archieffaciliteiten van de VU na afloop van het onderzoek. Zie op: http://libguides.vu.nl/researchdata/data-archiving.
  • Bepaal van tevoren wie geautoriseerd is en toegang krijgt tot de onderzoeksgegevens.
  • Geef nooit zelf inloggegevens af en leg tevens vast dat anderen deze nooit mogen afgeven.
  • Laat de computer of laptop, waarop met persoonsgegevens wordt gewerkt, niet (zelfs niet kort) onbeheerd achter. Lock altijd de computer voor vertrek en sluit de werkruimte af.
  • Bewaar geen (werk)bestanden met persoonsgegevens op USB-sticks, laptops of externe harddisks met het oog op verlies of diefstal van deze gegevensdragers.
  • Sla nooit privacygevoelige gegevens op in de cloud, zoals Dropbox en GoogleDrive. De VU biedt de mogelijkheid om gebruik te maken van SURFdrive.
  • Maak indien nodig - bijvoorbeeld bij opslag op een laptop - gebruik van encryptie (de VU biedt daartoe TrueCrypt aan).
  • Anonimiseer de onderzoeksgegevens en sla de (bijzondere) persoonsgegevens separaat in een beveiligde omgeving op.
  • Bezoek voor meer informatie de themasite Onderzoeksdata op VUnet (eerst inloggen met VUnetID) of lees de RUG-website met Tips bij het veilig omgaan met data
  • Lees ook de rubriek Privacy & data op de website van het Landelijk Coördinatiepunt Research Data Management (LCRDM). Hier is ook een algemeen informed consent-formulier te vinden.

Cookies

We vinden het belangrijk om je daar goed over te informeren. Cookies helpen ons je ervaring op onze website te verbeteren. Functionele cookies dragen bij aan een soepel draaiende website. Analytische cookies bieden ons inzicht in hoe gebruikers de website gebruiken. Met marketing-cookies kunnen we je op basis van je websitebezoek gepersonaliseerde inhoud bieden.