Please select a page template in page properties.

Metro-kaart

De artikel 5 principes vertellen je wat je moet doen bij de bescherming van persoonsgegevens, maar vertellen je niet precies hoe je dat moet doen. Hoe bepaal je als privacy officer nu welke maatregelen je in een specifiek onderzoek moet nemen? Daar gaat de 'Metro-kaart' die we in dit hoofdstuk behandelen je bij helpen.

Stap voor stap door de 'Metro-kaart'

De artikel 5 principes betekenen voor de onderzoeksdeelnemer en voor de onderzoeker het volgende:

  • voor de onderzoeksdeelnemers zijn deze beginselen als recht afdwingbaar (het recht op rectificatie volgt bijvoorbeeld uit het beginsel van ‘juistheid’);
  • voor de onderzoekers geldt dat zij de verplichting hebben om aantoonbaar deze beginselen te voldoen door gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen toe te passen als strategie voor het op adequate wijze beschermen van persoonsgegevens van de onderzoeksdeelnemers.

De principes zijn dus per onderzoek gelijk, de te nemen maatregelen om persoonsgegevens te beschermen kunnen per onderzoek verschillen.

Hoe bepaal je als privacy officer nu welke maatregelen je in een specifiek onderzoek moet nemen? Om op hoofdlijnen te weten welke acties nodig zijn is de ‘Metro-kaart’ opgesteld; een stappenplan dat je aan de hand van concrete vragen van het onderzoeksontwerp tot het afgeven van een AVG-compliant statement door de FG van jouw instelling begeleidt. In onderstaande video zijn alle stappen uitgewerkt:

Bron: Domingus, M. (2018). The Privacy Impact Assessment (PIA) Route Planner for Academic Research. Inspired by Harry Beck’s London Metro Map. Retrieved from http://hdl.handle.net/1765/128160.

Hoofdpunten

Samengevat zijn de hoofdpunten uit de Metro-kaart:

  • Slechts een klein deel van de onderzoeken vergt aanvullende of complexere maatregelen. Dit is alleen het geval indien het onderzoek in de categorie ‘hoog-risico’ valt;
  • Een onderzoek wordt als ‘hoog-risico’ aangemerkt indien dit voldoet aan minimaal twee van de negen criteria uit het Besluit inzake lijst van verwerkingen van persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is, van de Autoriteit Persoonsgegevens;
  • Middels een pre-DPIA is vast te stellen of een onderzoek hoog of laag risico is;
  • Het is een verplichting om een volledige DPIA uit te voeren bij een hoog-risico onderzoek;
  • Is er al een DPIA voor een vergelijkbaar onderzoek gedaan (met andere woorden, valt het uit te voeren onderzoek binnen een bestaande ‘categorie van onderzoek’), dan mogen de maatregelen die uit die DPIA naar voren kwamen overgenomen worden en is geen aanvullende DPIA nodig;
  • Het merendeel van de onderzoeken volgt de ‘oranje lijn’ in de Metro-kaart; deze onderzoeken zijn AVG-compliant uit te voeren door standaard maatregelen toe te passen.

En wil je weten welke concreten maatregelen je kunt implementeren? Klik dan onderstaand overzicht aan. In de module 'V - Maatregelen' gaan we in detail op iedere maatregel in.

In de spotlight


Mogelijke maatregelen

Mogelijke te nemen maatregelen zijn:

  • encryptie (versleuteling van opslagmedia en van end-to-end versleuteling van data in transit en in rest),
  • pseudonimisering,
  • beheer van de-identificatiesleutels,
  • toepassing van het vier ogen principe bij pseudonimisering,
  • toepassen van data minimalisatie,
  • toepassing van synthetische data,
  • respecteren van bewaartermijnen,
  • alleen met gekende en vertrouwde organisaties en personen samenwerken,
  • toegang verschaffen tot data alleen op basis van ‘need to know’,
  • fysieke en technische maatregelen voor de bescherming van fysieke en digitale opslag en onderzoekswerkplekken,
  • waar mogelijk toepassing van Privacy Enhancing Technologies,
  • waar mogelijk toepassing van ‘zero trust architecture’,
  • ‘zero knowledge’ leveranciers en leveranciers die een geldig ISO 27002 certificaat hebben,
  • uitsluitend werken binnen online digitale kluizen en het voorkomen van lokale kopieën van data,
  • toepassing van passende back up en recovery procedures om het risico van verlies van data te mitigeren,
  • toepassing van multi factor authenticatie bij personen die een need to know hebben tot gevoelige data,
  • toepassen van een clean desk policy en clean whiteboard policy.