Persoonsgegevens
Als medewerker van de universiteit Leiden werk je waarschijnlijk met persoonsgegevens. Persoonsgegevens zijn niet alleen namen en telefoonnummers, maar bijvoorbeeld ook cookies. Hoe zorg je ervoor dat je privacyproof werkt?
Persoonsgegevens
Persoonsgegevens zijn alle gegevens die terug te leiden zijn tot een persoon. Het gaat bijvoorbeeld om naam, adres en woonplaats, maar ook om bankrekeningnummers, telefoonnummers en postcodes met huisnummers.
Gegevens zoals IP-adressen, MAC-adressen en browserinstellingen zijn in bepaalde gevallen ook persoonsgegevens. Dat is het geval als je iemand kunt identificeren op basis van deze gegevens (al dan niet in combinatie met andere data).
Denk van tevoren dus goed na over:
- Welke gegevens je verzamelt
- Of deze gegevens in combinatie met andere gegevens terugleiden naar een persoon
- Welke gegevens je aan elkaar koppelt
Bijzondere (gevoelige) persoonsgegevens
Gevoelige gegevens zoals iemands ras, godsdienst of gezondheid worden bijzondere persoonsgegevens genoemd. Die zijn door de wetgever extra beschermd.
4 tips voor onderzoek met persoonsgegevens
Tip 1. Verzamel zo min mogelijk persoonsgegevens
Bedenk voor je data gaat verzamelen: welke persoonsgegevens heb ik precies nodig voor mijn onderzoek? Is het bijvoorbeeld nodig om persoonsgegevens te verzamelen die te herleiden zijn naar een natuurlijk persoon? Regel is: hoe minder, hoe beter. En des te minder kans op een onnodige Data Privacy Impact Assessment (DPIA).
Tip 2. Vraag toestemming
De proefpersonen moeten vrijwillig toestemming verlenen. Beschrijf zo duidelijk mogelijk:
- Met welk doel je de persoonsgegevens verzamelt.
- Dat je de persoonsgegevens niet voor een ander doel zult gebruiken.
- Regel bij proefpersonen jonger dan 16 jaar (mede)toestemming van de ouders/verzorgers.
Tip 3. Werk veilig
Zorg dat persoonsgegevens niet in handen komen van onbevoegde derden. Lees hoe je makkelijk persoonsgegevens kunt beschermen.
Tip 4. Vernietig of anonimiseer persoonsgegevens als uw onderzoek is afgerond
Neem voor meer informatie over het vernietigen of anonimiseren van persoonsgegevens contact op met het Centre for Digital Scholarship.
Toestemming voor het werken met persoonsgegevens
Is het voor je werkzaamheden noodzakelijk dat er persoonsgegevens worden verzameld? In de wet vind je een aantal grondslagen waarop dat kan:
- Je hebt toestemming van de betrokken persoon.
- De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
- De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
- De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
- De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
- De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.
Eén van bovenstaande grondslagen is voldoende grondslag voor het gebruik van persoonsgegevens. Voor het werken met bijzondere (gevoelige) persoonsgegevens moet je je ook nog kunnen beroepen op een wettelijke uitzondering.
Een datalek. Wat nu?
Mochten persoonsgegevens onverhoopt toch in handen van onbevoegde derden terechtkomen? Bijvoorbeeld doordat je laptop gestolen is? Je moet datalekken zo spoedig mogelijk melden bij de ISSC-helpdesk (tel. 8888). Neem bij twijfel contact op met het Privacyloket.
Privacyverklaring
Lees alles over de verwerking van persoonsgegevens in de privacyverklaringen van de Universiteit Leiden. Hierin staat onder andere hoe gegevens gebruikt worden, wie inzage hebben en hoe de beveiliging en bewaring is geregeld. Via een systeem van monitoring, evaluaties en privacy-audits onderzoekt de universiteit in hoeverre haar privacybeleid effectief is.
Gebruik persoonsgegevens in wetenschappelijk onderzoek
Ook in het kader van wetenschappelijk onderzoek en onderwijs kunnen binnen de universiteit persoonsgegevens worden verzameld. Hiervoor geldt dat gewerkt wordt conform de Algemene Verordening Gegevensbescherming (AVG) en de Gedragscode voor gebruik van persoonsgegevens in wetenschappelijk onderzoek van Universiteiten van Nederland (N.B. Dit is een consultatieversie. Universiteiten van Nederland werkt samen met experts aan een nieuwe gedragscode die voldoet aan de AVG).
Als het gaat om gegevens van patiënten, bijvoorbeeld bij onderzoek in het LUMC, dan gelden ook de relevante beroepscodes. Als je in je onderzoeksproject privacy- of anderszins gevoelige gegevens verzamelt, dan moet je dus maatregelen treffen voor dataprotectie.
Verwerkingsregister voor onderzoekers
Begin je een nieuw wetenschappelijk onderzoek dat persoonsgegevens bevat? Dan leg je in het verwerkingsregister onderzoek vast hoe je persoonsgegevens verwerkt. Je kunt het datamanagementplan gebruiken om voorgenomen handelingen en afspraken te beschrijven.
Vragen?
Voor vragen over het verwerkingsregister onderzoek kun je terecht bij je privacy officer of het Privacyloket. Voor algemene vragen en advies over het verwerken van persoonsgegevens en het opstellen van een datamanagementplan kun je terecht bij het Centre for Digital Scholarship.