Please select a page template in page properties.

De principes

Als privacy officer voer je vele gesprekken met onderzoekers over de manier waarop zij met persoonsgegevens binnen hun onderzoek omgaan. Zo’n gesprek zou als volgt kunnen gaan:

Onderzoeker: “Voor de organisatie van een conferentie over mijn onderzoek wil ik foto’s nemen van bezoekers en enkele interviews afnemen. Mag dat volgens de AVG?” 

Privacy officer: “Ja hoor, dat is geen probleem, zolang de bezoekers zelf kunnen aangeven of ze op de foto willen. En dat ze weten waar en wanneer de interviews gepubliceerd worden, zodat ze je daar toestemming middels een consent-formulier voor kunnen geven.”

Onderzoeker: “Ja, goeie, zo’n formulier had ik al van een collega gekregen. Ik weet alleen nog niet precies hoe lang ik de interviews wil bewaren, misschien dat ze over een paar jaar ook nog van pas kunnen komen.”

Privacy officer: “Hmm, dat wordt lastig, want misschien willen deelnemers aan de conferentie dan wel niet meer meewerken aan de interviews.”

Onderzoeker: “Maar… waarom zouden ze dan niet meer mee willen werken? Ik vraag hen toch vooraf om toestemming…?"

Check-boxjes?

Bovenstaand gesprek laat zien dan de onderzoeker wel op de hoogte is van het feit dat er een consent-formulier nodig is voor de toestemming, maar dat de onderzoeker niet verder heeft nagedacht over de houdbaarheid en opslagtermijn van de data. Want misschien denken de deelnemers over enkele jaren wel heel anders over zaken na ten opzichte van het interview dat ze hebben afgegeven? En zien ze er over een paar jaar heel anders uit dan op de foto’s die op de conferentie gemaakt zijn?

Een ander voorbeeld is de opslag van persoonsgegevens door onder andere restaurants tijdens de Covid-19 pandemie. Bij diverse restaurants werden de persoonsgegevens niet alleen bewaard voor mogelijk contactonderzoek, maar werden de bezoekers achteraf geconfronteerd met marketingboodschappen vanuit de eetgelegenheden. Men voldeed daarmee keurig aan de registratieplicht van alle gasten, maar gebruikte achteraf de gegevens voor andere doeleinden dan vooraf aan de gasten gecommuniceerd was.  

Beide voorbeelden laten zien dat zowel de onderzoeker als de restauranteigenaar de bescherming van persoonsgegevens vooral als een serie ‘check-boxjes’ opvatten, waarbij een aantal handelingen ervoor zorgen dat hun werkwijze ‘AVG-compliant’ is. Het uitvoeren van een DPIA, het opstellen van een consent-formulier en het pseudonimiseren van persoonsgegevens zijn de meest gehoorde handelingen die onderzoekers uitvoeren om AVG-compliant te werken. Maar waarom ze deze handelingen uitvoeren is vaak minder goed bekend.

 

 

De zeven 'Artikel 5' principes

Alle handelingen ter bescherming van persoonsgegevens komen voort uit de zeven principes zoals beschreven in artikel 5 van de AVG. We noemen deze principes dan ook de ‘Artikel 5 principes’. Deze principes geven in algemene zin aan hoe men dient te handelen bij de bescherming van persoonsgegevens; het is daarmee een normatieve wet, geen descriptieve wet.

De AVG geeft dus alleen de kaders aan; een onderzoeker dient binnen de context van het onderzoek deze kaders zelf met de benodigde technische en organisatorische maatregelen in te vullen. De benodigde maatregelen binnen een bepaald onderzoek kunnen daarmee sterk verschillen van de benodigde maatregelen in een ander onderzoek. Maar de principes die aan beide set van maatregelen ten grondslag liggen zijn altijd hetzelfde.

Wat houden deze zeven principes dan precies in? Onderstaand lees je alle principes, met per principe een kort voorbeeld om de werking van het principe te demonstreren:

De 'Artikel 5 principes'


Principe 1: Rechtmatigheid, behoorlijkheid en transparantie

Principe 1: Rechtmatigheid, behoorlijkheid en transparantie

Het 1e principe in artikel 5 luidt als volgt:

 

Men dient persoonsgegevens te verwerken op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”).

 

AVG Recital 39 stelt met betrekking tot de AVG Artikel 5 beginselen nog:


“Elke verwerking van persoonsgegevens dient behoorlijk en rechtmatig te geschieden. Voor natuurlijke personen dient het transparant te zijn dat hen betreffende persoonsgegevens worden verzameld, gebruikt, geraadpleegd of anderszins verwerkt en in hoeverre de persoonsgegevens worden verwerkt of zullen worden verwerkt.

Overeenkomstig het transparantiebeginsel moeten informatie en communicatie in verband met de verwerking van die persoonsgegevens eenvoudig toegankelijk en begrijpelijk zijn, en moet duidelijke en eenvoudige taal worden gebruikt. Dat beginsel betreft met name het informeren van de betrokkenen over de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking, alsook verdere informatie om te zorgen voor behoorlijke en transparante verwerking met betrekking tot de natuurlijke personen in kwestie en hun recht om bevestiging en mededeling te krijgen van hun persoonsgegevens die worden verwerkt.

Natuurlijke personen moeten bewust worden gemaakt van de risico's, regels, waarborgen en rechten in verband met de verwerking van persoonsgegevens, alsook van de wijze waarop zij hun rechten met betrekking tot deze verwerking kunnen uitoefenen. Meer bepaald dienen de specifieke doeleinden waarvoor de persoonsgegevens worden verwerkt, expliciet en gerechtvaardigd te zijn en te zijn vastgesteld wanneer de persoonsgegevens worden verzameld.

De persoonsgegevens dienen toereikend en ter zake dienend te zijn en beperkt te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Dit vereist met name dat ervoor wordt gezorgd dat de opslagperiode van de persoonsgegevens tot een strikt minimum wordt beperkt. Persoonsgegevens mogen alleen worden verwerkt indien het doel van de verwerking niet redelijkerwijs op een andere wijze kan worden verwezenlijkt.

Om ervoor te zorgen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is, dient de verwerkingsverantwoordelijke termijnen vast te stellen voor het wissen van gegevens of voor een periodieke toetsing ervan. Alle redelijke maatregelen moeten worden genomen om ervoor te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist.

Persoonsgegevens moeten worden verwerkt op een manier die een passende beveiliging en vertrouwelijkheid van die gegevens waarborgt, ook ter voorkoming van ongeoorloofde toegang tot of het ongeoorloofde gebruik van persoonsgegevens en de apparatuur die voor de verwerking wordt gebruikt.”


 

Toelichting:

Met andere woorden: vanuit het perspectief van de onderzoeksdeelnemer bezien moet deze dus door de onderzoeker voorafgaand aan het onderzoek op zo’n manier zijn geïnformeerd dat de deelnemer weet dat de gegevensverwerking binnen het onderzoek rechtmatig is (zoals verder bepaald in AVG Artikel 6), wat er met haar/zijn persoonsgegevens gebeurt en wie de verwerking uitvoert, welke risico’s en voor haar/hem zijn door deel te nemen aan het onderzoek en hoe deze risico’s zo veel mogelijk zijn geminimaliseerd. Ook moeten de rechten aan de deelnemers bekend gemaakt worden en hoe en bij wie zij zich kunnen beroepen indien zij vermoeden dat hier inbreuk aan is gedaan.

Principe 2: Doelbinding

Principe 2: Doelbinding

Het 2e principe in artikel 5 luidt als volgt:

 

Persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”). 

 

AVG Recital 33 stelt over doelbinding in de context van wetenschappelijk onderzoek nog:


“Het is vaak niet mogelijk op het ogenblik waarop de persoonsgegevens worden verzameld, het doel van de gegevensverwerking voor wetenschappelijke onderzoeksdoeleinden volledig te omschrijven. Daarom moet de betrokkenen worden toegestaan hun toestemming te geven voor bepaalde terreinen van het wetenschappelijk onderzoek waarbij erkende ethische normen voor wetenschappelijk onderzoek in acht worden genomen.

Betrokkenen moeten de gelegenheid krijgen om hun toestemming alleen te geven voor bepaalde onderzoeksterreinen of onderdelen van onderzoeksprojecten, voor zover het voorgenomen doel zulks toelaat.”


 

Toelichting:

Met andere woorden, het legitieme en specifieke doel van een onderzoek is bepalend voor de aard en omvang van persoonsgegevens die vanwege dit doel in dit onderzoek worden verzameld en verwerkt. Echter, om validatie van de onderzoeksgegevens mogelijk te maken of ten behoeve van vervolgonderzoek, is hergebruik van (een deel van) de verzamelde persoonsgegevens vaak wenselijk.

De onderzoeksdeelnemer moet hiervan op de hoogte zijn voorafgaand aan het onderzoek als dit inderdaad het geval is. De deelnemer moet dan weten voor welke doelen andere onderzoekers toegang tot haar/zijn gegevens kan krijgen. Zeker als het om gevoelige gegevens gaat (bijzondere categorieën van persoonsgegevens) zal de deelnemer daartoe expliciet en vrijelijk toestemming voor moeten geven aan de onderzoeker.

Principe 3: Minimale gegevensverwerking

Principe 3: Minimale gegevensverwerking

Het 3e principe in artikel 5 luidt als volgt:

 

Persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”).

 

AVG Recital 78 stelt over minimale gegevensverwerking nog:


“Ter bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens zijn passende technische en organisatorische maatregelen nodig om te waarborgen dat aan de voorschriften van deze verordening wordt voldaan.

Om de naleving van deze verordening aan te kunnen tonen, moet de verwerkingsverantwoordelijke interne beleidsmaatregelen nemen en maatregelen toepassen die voldoen aan met name de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen.

Dergelijke maatregelen kunnen onder meer bestaan in het minimaliseren van de verwerking van persoonsgegevens, het zo spoedig mogelijk pseudonimiseren van persoonsgegevens, transparantie met betrekking tot de functies en de verwerking van persoonsgegevens, het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking en uit het in staat stellen van de verwerkingsverantwoordelijke om beveiligingskenmerken te creëren en te verbeteren.

Bij de ontwikkeling, de uitwerking, de keuze en het gebruik van toepassingen, diensten en producten die zijn gebaseerd op de verwerking van persoonsgegevens, of die persoonsgegevens verwerken bij de uitvoering van hun opdracht, dienen de producenten van de producten, diensten en toepassingen te worden gestimuleerd om bij de ontwikkeling en de uitwerking van dergelijke producten, diensten en toepassingen rekening te houden met het recht op bescherming van persoonsgegevens en, met inachtneming van de stand van de techniek, erop toe te zien dat de verwerkingsverantwoordelijken en de verwerkers in staat zijn te voldoen aan hun verplichtingen inzake gegevensbescherming.

De beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen moeten ook bij openbare aanbestedingen in aanmerking worden genomen.”


 

Toelichting:

Met andere woorden: alleen die persoonsgegevens die relevant zijn voor het legitieme en concrete onderzoeksdoel worden verzameld en verwerkt. Dat kunnen overigens nog steeds veel verschillende datapunten zijn, maar dus gerechtvaardigd en gelimiteerd door het onderzoeksdoel en de wijze waarop de persoonsgegevens tijdens en na het onderzoek beschermd worden. In deze poster wordt het beginsel ‘minimale gegevensverwerking’ geadresseerd:

1971

Principe 4: Juistheid

Principe 4: Juistheid

Het 4e principe in artikel 5 luidt als volgt:

 

Persoonsgegevens moeten juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren („juistheid”).

 

De ‘verwerking van persoonsgegevens moet ten dienste van de mens staan’ zagen we al eerder (AVG Recital 4). Dat kan alleen als deze gegevens correct zijn. Dit leidt er bijvoorbeeld toe dat een patiënt de juiste behandeling krijgt, of dat bij de beoordeling van een persoon alle, de juiste en ook daadwerkelijk bij de betreffende persoon behorende persoonsgegevens worden gewogen en de kans op bias en dus op unfaire of onbehoorlijke gevolgen voor de betrokkene wordt verkleind. Uit dit juistheidsbeginsel, volgt het ‘recht op rectificatie’ (AVG Artikel 16):


“De betrokkene heeft het recht om van de verwerkingsverantwoordelijke onverwijld rectificatie van hem betreffende onjuiste persoonsgegevens te verkrijgen. Met inachtneming van de doeleinden van de verwerking heeft de betrokkene het recht vervollediging van onvolledige persoonsgegevens te verkrijgen, onder meer door een aanvullende verklaring te verstrekken.”


Principe 5: Opslagbeperking

Principe 5: Opslagbeperking

Het 5e principe in artikel 5 luidt als volgt:

 

Persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is.

Persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt overeenkomstig artikel 89, lid 1, mits de bij deze verordening vereiste passende technische en organisatorische maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermen („opslagbeperking”).

 

Normen voor opslag

Hoe lang mag men welke gegevens bewaren na afloop van een onderzoek? Globaal kunnen we hierbij drie doelen onderscheiden, gebaseerd op de Nederlandse gedragscode wetenschappelijke integriteit (VSNU, 2018). Hierbij dienen onderzoekers met betrekking tot het bewaren van onderzoeksgegevens, waaronder persoonsgegevens, bepaalde normen te respecteren bij het ontwerp, de uitvoering, verslaglegging en disseminatie van het onderzoek:

  • Norm 11 (pg 16, Ontwerp van onderzoek): Maak de onderzoeksgegevens en de onderzoeksdata na afloop van het onderzoek zoveel mogelijk publiek beschikbaar. Leg, als onderzoeksgegevens en/of de onderzoeksdata niet voor het publiek beschikbaar gemaakt kunnen worden, de valide redenen daarvoor vast. 

De VSNU gedragscode verwijst in dit verband naar een document van de Raad van de Europese Unie: The transition towards an Open Science system - Council conclusions (adopted on 27/05/2016) waarin op pagina 8 het principe: “as open as possible, as closed as necessary” wordt benoemd, en waarbij als valide redenen voor het niet publiek beschikbaar maken van data wordt benoemd: “personal data protection and confidentiality, security concerns, as well as global economic competitiveness and other legitimate interests”. 


  • Norm 24 (pg 17, Uitvoering van onderzoek): Beheer de verzamelde data zorgvuldig en bewaar zowel de ruwe als de bewerkte versies gedurende een voor de discipline en methodologie passende termijn. 

In de 2014 versie van de VSNU gedragscode wetenschappelijke integriteit werd voor het bewaren van onderzoeksgegevens een termijn van 10 jaar genoemd:

“De bewaartermijn van ruwe onderzoeksgegevens is minimaal 10 jaar. Deze gegevens worden op aanvraag ter beschikking gesteld aan andere wetenschapsbeoefenaren, tenzij wettelijke bepalingen zich daartegen verzetten.”

De termijn van 10 jaar is nog steeds gangbaar als uitgangspunt bij veel disciplines. 


  • Norm 25 (pg 17, Uitvoering van onderzoek): Werk er aan mee dat data waarvoor dat gepast is, overeenkomstig de FAIR-beginselen vindbaar, toegankelijk, interoperabel en herbruikbaar zijn (Findable, Accessible, Interoperable, Re-usable).

De gangbare manier om onderzoeksgegevens op passende wijze te bewaren na afloop van het onderzoek is in zogenaamde data archieven, zoals DANSeasy (een instituut van KNAW en NWO), waarin voor een dataset kan worden bepaald of deze voor iedereen publiekelijk toegankelijk is, of dat de aard van de data, zoals persoonsgegevens, aanvullende maatregelen vergen, die deze publiekelijke toegang niet rechtvaardigen.

DANSeasy heeft verschillende maatregelen beschikbaar om data online publiek toegankelijk te maken, dan wel veilig te archiveren en alleen toegankelijk te maken voor bepaalde personen, die een legitieme ‘need to know’ hebben en, na identificatie, toegang krijgen tot deze gegevens.

Door te voldoen aan relevante certificering toont DANS dat zij met DANSeasy een ‘Trustworthy Digital Repository’ dienst biedt ten behoeve van archivering van onderzoeksgegevens.

Principe 6: Integriteit en vertrouwelijkheid

Principe 6: Integriteit en vertrouwelijkheid

Het 6e principe in artikel 5 luidt als volgt:

 

Persoonsgegevens moeten door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging („integriteit en vertrouwelijkheid”)

 

Toelichting:

In het bij principe 3 reeds aangehaalde Recital 78 wordt al aangegeven dat de gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen als goede basis geldt voor de adequate waarborgen die de verwerking van persoonsgegevens vereist. Het gaat hier veelal om security maatregelen zoals encryptie, pseudonimiseren en toegang verlenen (bijvoorbeeld met gebruik van multifactor authenticatie) op basis van een vastgestelde toegangsmatrix. Echter, zonder daarbij de kwaliteit van de gegevens aan te tasten en zo te waarborgen dat men met de juiste gegevens ook valide bevindingen kan doen.

Principe 7: Verantwoordingsplicht

Principe 7: Verantwoordingsplicht

Het 7e principe in artikel 5 luidt als volgt:

 

De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen („verantwoordingsplicht”).

 

Toelichting:

De onderzoeker wordt dus tenslotte niet alleen geacht recht te doen aan de in de principes behandelde beginselen van gegevensverwerking, maar dat aantoonbaar te doen, bijvoorbeeld op verzoek van een Toezichthouder, tijdens diens onderzoek naar de betreffende verwerking van persoonsgegevens.

Hierbij is vanuit de AVG minimaal nodig:

  • het ontwerp en de registratie van het onderzoek, 
  • in het geval van een hoog risico verwerking: de risico-inschatting (DPIA) en bijbehorende vastgestelde mitigerende maatregelen, 
  • de feitelijke communicatie (helder en begrijpelijk) naar betrokkenen, 
  • de juiste overeenkomsten voor betrokkenen (Consent Formulier) en eventuele onderzoekspartners (vb. Joint Controller Agreements of anderszins (vb. Non Disclosure Agreement).

1972

De artikel 5 principes vormen feitelijk de basis van de AVG. En niet alleen van de AVG; al in het rapport ‘Privacy & Persoonsregistratie’ uit 1972 (pagina 103 en 104) werden deze principes feitelijk al gehanteerd. Ze zaten toen enigszins verstopt in artikel 44, dat aangeeft wanneer een vergunning voor een registratiesysteem geweigerd kan worden. De overeenkomsten zijn treffend:

  • a. Indien het doel of de te verwachten werkzaamheid van het registratiesysteem in strijd met de wet, de openbare orde of de goede zeden; [vergelijk het “rechtmatigheid” en “behoorlijkheid’ beginsel]
     
  • b. Indien het reglement niet in overeenstemming is met de daaraan bij wet of AMvB gestelde eisen; [vergelijk het “rechtmatigheid” beginsel]
     
  • c. Indien onvoldoende maatregelen zijn genomen om te voorkomen dat de op te nemen gegevens in verkeerde handen komen; [vergelijk het “integriteit en vertrouwelijkheid” beginsel]
     
  • d. en e. Indien onvoldoende waarborgen bestaan voor de juistheid van de op te nemen en te verstrekken gegevens; [vergelijk het “juistheid” beginsel]
     
  • f. Indien er zijn volgens het reglement persoonsgegevens in het registratiesysteem mogen voorkomen dan die onvoldoende relevant zijn in verband met het doel van het registratiesysteem; [vergelijk het “doelbinding” en “minimale gegevensverwerking” beginsel]
     
  • h. Indien de rechten van de geregistreerde personen op kennisneming, inzage en correctie meer zijn beperkt dan uit een oogpunt van opsporing van strafbare feiten of een goede belastingheffing noodzakelijk is; [vergelijk het “juistheid” beginsel]

Kennis van deze principes zorgt ervoor dat een onderzoeker de bescherming van de privacyrechten van de deelnemers aan haar/zijn onderzoek gaat uitstralen. Dat het bepalen welke maatregelen nodig zijn om persoonsgegevens goed te beschermen niet alleen een ‘moetje’ is, maar dat een onderzoeker begrijpt dat het volgen van deze principes zowel voor de onderzoeker zelf als voor de betrokkenen grote voordelen met zich meebrengt:

  • Het beschermen van persoonsgegevens en daarmee het borgen van het fundamentele recht op privacy van onderzoeksdeelnemers.
  • Een aantoonbaar betrouwbare onderzoekspartner zijn voor onderzoeksdeelnemers en andere onderzoeksinstellingen.
  • Beperken van de aansprakelijkheid voor de instelling.
  • Voorkomen van reputatieschade van de onderzoeker, het onderzoek en de instelling.
  • Onderzoek doen conform geldende wet- en regelgeving.
  • Makkelijk kunnen voldoen aan de eisen van externe financierders (derde geldstroom).
  • Goed inzicht hebben in de aard van de verwerkte persoonsgegevens en de toegepaste de-identificatie maatregelen maakt het makkelijker om te beoordelen of deze gegevens gedeeld kunnen worden voor onderzoeksdoeleinden volgens de FAIR principes of Open Data principes.

Deze voordelen zijn tevens gevisualiseerd op een 'Privacy Reference Card', die via deze website als PDF-bestand te downloaden is (bron: Domingus, M. (2016). A Researcher's Privacy Reference Card. Why?).