Universiteit Leiden

nl en

AVG en onderzoek: wat bepaalt of je data mag openstellen?

Er is een beweging gaande om onderzoeksuitkomsten toegankelijker te maken, en de onderliggende data open te stellen voor andere onderzoekers. Onderzoeksfinanciers vragen dit en het Nationaal Plan Open Science stelt concrete doelen. Bij de Universiteit Leiden wordt de privacybescherming hierin meegenomen met als uitgangspunt ‘Open als het kan, gesloten als het moet’.

In de nabije toekomst maken alle onderzoekers voor ze aan hun onderzoek beginnen, een datamanagementplan. Waar en hoe sla je je data op tijdens en na het onderzoek? Bevatten ze privacygevoelige gegevens? Is er sprake van ethische aspecten? Hoe kunnen de data worden gedeeld? Laurents Sesink, hoofd van het Centre for Digital Scholarships (CDS) van de Universiteitsbibliotheek vindt het een goed idee om het datamanagementplan nu al als leidraad te nemen. Het plan maakt het gemakkelijk om invulling te geven aan de eisen van de AVG voor onderzoek met privacygevoelige gegevens.

Laurents Sesink
Laurents Sesink

Systematisch nalopen

‘Het voordeel’, aldus Sesink, ‘is dat allerlei aspecten al van te voren systematisch in kaart zijn gebracht en dat de onderzoeker zich ervan bewust is dat hij of zij beslissingen moet nemen over de omgang met de onderzoeksdata. De AVG stelt voorwaarden aan het verwerken van persoonsgegevens. Financiers stellen juist als eis dat onderzoeksdata na afronding van een project kunnen worden hergebruikt. Met de juiste maatregelen kan dat voor veel data wel worden geregeld. Wij van het CDS  zijn er om daarbij te helpen en te adviseren. We leiden de onderzoeker stapsgewijs door het proces. Zo komt er na afronding van je onderzoek veel minder  op je af.’  Zeker als er privacygevoelige gegevens of ethische aspecten in het geding zijn moet een onderzoeker nu langs allerlei loketten. Sesink: ‘Alle onderzoekers kunnen bij het CDS terecht voor vragen over datamanagement en Open Science.’ En voor onderzoeken met complexe aspecten hebben we een Data Protection Officer.’ 

Organisatie van het datamanagement

De universiteit heeft een Regeling Datamanagement vastgesteld waarin staat wie wanneer verantwoordelijk is voor de omgang met de data, bijvoorbeeld de onderzoeker, de wetenschappelijk directeur of de decaan. Het reglement biedt faculteiten de ruimte om het datamanagement binnen kaders aan te passen aan de specifieke facultaire situatie. Op verzoek van het College van Bestuur is een driejarig Datamanagementprogramma opgezet dat wordt aangevoerd vanuit de afdeling Informatiemanagement van het Bestuursbureau. Het programma is bedoeld om datamanagement bij de faculteiten te helpen implementeren. Het CDS en ISSC participeren hierin. Het programma moet ervoor zorgen dat onderzoekers hun data tijdens het onderzoek veilig op kunnen slaan. Na afloop van het onderzoek mag elke onderzoeker zelf weten waar hij of zij de onderzoeksdata onderbrengt, mits de stalling voldoet aan de (hoge) eisen van een Trusted Digital Repository. Er bestaan al verschillende faciliteiten, zoals DANS van de KNAW, voor de Sociale en Geesteswetenschappen,  en 4TU, een opslagsysteem voor technische data van de drie technische universiteiten en de Universiteit Wageningen.

Wat willen de faculteiten?

Het programma is nu in de fase dat faculteiten nadenken over wat ze willen: zelf een voorziening creëren, ruimte inkopen bij bijvoorbeeld DANS of 4TU of kijken naar mogelijkheden van een universitair of zelfs landelijk systeem, in samenwerking met SURF. ‘In alle gevallen streeft de Universiteit ernaar partner te worden in het systeem’, zegt Sesink. ‘We willen duidelijke afspraken maken met alle partijen.’

Er zijn bij de universiteit meer onderzoeksdata met persoonsgegevens dan je in eerste instantie zou verwachten. De faculteiten Geneeskunde en Sociale Wetenschappen liggen voor de hand. Sesink: ‘Geneeskunde doet overigens niet mee in ons programma. Het LUMC kent bijna niets anders dan uiterst vertrouwelijke gegevens en heeft met de bescherming daarvan al lange tijd ervaring. Daar borduurt men op voort en we trekken gezamenlijk op om van de bestaande kennis te profiteren. Maar ook bij een faculteit als Rechten worden in het kader van onderzoek persoonsgegevens verzameld. Denk bijvoorbeeld aan interviews of het onderzoek bij Criminologie. En in Den Haag wordt (ook) onderzoek gedaan naar bedrijven.’

Elk onderzoek is anders

Sesink benadrukt dat elk onderzoek uniek is: ‘Er is een groot verschil met de concernsystemen, waarin gegevens volgens een vast format worden vastgelegd. Het is makkelijker daar grip op te hebben. Bij onderzoek is dat heel anders. Bij elk idee  is er een moment dat de beste onderzoeksmethode moet worden gekozen en die verschilt per onderzoek. Bovendien worden steeds weer nieuwe methoden en technieken van onderzoek ontwikkeld.’ Nog een reden om voor elk onderzoek een datamanagementplan te schrijven, zoals de Regeling Datamanagement voorschrijft. Alle onderzoekers worden zich dan bewust van de zaken die zij moeten regelen.

Gradaties van terbeschikkingstellen

Er zijn grote verschillen in de mate van privacygevoeligheid. Maar met passende maatregelen kunnen veel datasets herbruikbaar zijn. Sesink: ‘Je kunt data vrijelijk ter beschikking stellen, de deur helemaal gesloten houden of ter beschikking stellen met strenge of minder restricties. Alle varianten zijn denkbaar. Technisch is het vaak mogelijk om de persoonsgegevens  los te koppelen van de overige data en die data zo te anonimiseren, maar niet altijd. Interviews kunnen makkelijk te herleiden zijn tot een bepaalde persoon. Of er is gewerkt met interviews op video. Een bijkomende vraag is ook: als je persoonsgegevens losgekoppeld hebt, waar laat je die dan? Moeten die ergens anders worden opgeslagen dan de onderzoeksdata? Met dergelijke vragen is de universiteit bezig.’

Hoe moet het en waar vind je ondersteuning?

De wens om de grote hoeveelheid beschikbare digitale data te onderzoeken met nieuwe methoden en technieken, was al aanleiding om goed te kijken naar het gebruik en de opslag ervan. Verantwoord omgaan met persoonsgegevens is niet nieuw voor onderzoekers, wel het vastleggen van de handelingen. Nu de AVG een register eist van beschrijvingen van de persoonlijke data en de manier waarop daarmee wordt omgegaan, is er extra reden om te zorgen dat onderzoekers weten hoe dat moet en waar ze terecht kunnen voor de juiste ondersteuning.  

Tekst: Corine Hendriks
Mail de redactie

Dit is het vijfde artikel in een serie over de betekenis van de nieuwe Europese Verordening Gegevensbescherming - van kracht per 25 mei 2018 - voor de Universiteit Leiden. Zie voor de eerste vier de links rechts op deze pagina. In de nieuwe verordening verandert er inhoudelijk niet veel: de regels blijven hetzelfde. Wel gaat de Autoriteit Persoonsgegevens veel scherper dan voorheen toezien op de naleving en zijn de boetes bij niet-naleving enorm verhoogd, tot € 20 miljoen of 4% van de omzet. Voorts moet elk bedrijf en elke instelling een zogenoemd verwerkingsregister aanleggen waarin precies beschreven staat over welke persoonsgegevens men beschikt, wat daarmee gebeurt, en hoe deze worden beschermd. Verder moeten de grotere bedrijven en instellingen een onafhankelijke functionaris gegevensbescherming in dienst hebben.

Deze website maakt gebruik van cookies.  Meer informatie.