Facultaire Ethische Toetsingscommissie Geesteswetenschappen

Facultaire Ethische Toetsingscommissie Geesteswetenschappen

Ethiek en AVG 

Klik hier voor de pdf-versie van deze pagina.

Inleiding

De Facultaire Ethische Toetsingscommissie (FETC-GW) bewaakt de criteria voor ethisch handelen voor al het aan de Faculteit Geesteswetenschappen uitgevoerde onderzoek waaraan personen deelnemen.

Als je voor je onderzoek werkt met deelnemers, bijvoorbeeld wanneer je interviews of vragenlijsten afneemt of observaties gaat doen, dan heb je goedkeuring van de Facultaire Ethische Toetsingscommissie nodig voordat je begint met je onderzoek.

Als je werkt met persoonsgegevens, d.w.z. informatie die te herleiden is naar een (levende) persoon, dan is de Algemene Verordening Gegevensbescherming (AVG) van toepassing en gelden er voorwaarden waar je aan moet voldoen om in overeenstemming met de AVG te werken. Onderzoekers verbonden aan de Faculteit Geesteswetenschappen zijn ook verplicht om een datamanagementplan op te stellen. Ook dát hoort bij ethiek. Ethiek, privacy en datamanagement zijn namelijk innig verweven.

Ethiek

De volgende punten zijn van belang als je werkt met deelnemers:

  • Deelnemers: gaat het om wilsbekwame volwassenen of om een kwetsbare groep (<16 jaar, wilsonbekwaam, sociaal kwetsbaar)?
  • Selectiemethode: voelen deelnemers zich mogelijk onder druk gezet (sociaal, financieel)? Hoe heb je de deelnemers gevonden?
  • Dataverzameling: Hoe verkrijg je je data? Als dat niet rechtstreeks van deelnemers is, maar indirect, bijvoorbeeld via web scraping, neem dan contact op met de data manager, datamanagement.gw@uu.nl.
  • Vrijwillige deelname: kunnen deelnemers vrijelijk kiezen om mee te doen en altijd stoppen met deelnemen zonder nadelige gevolgen?
  • Onverwachte resultaten: blijkt bijvoorbeeld uit een test dat iemand dyslexie kan hebben of dat iemand wellicht iets illegaals heeft gedaan? Zo ja, wat doe je dan?
  • Oncomfortabel onderzoek: wordt er bijv. naar emotionele herinneringen gevraagd of betreft het EEG-onderzoek waarbij de deelnemers lang stil moeten zitten en waarbij er gel in hun haar komt?
  • Anonimiteit en privacy: blijven de deelnemers anoniem of worden er pseudoniemen gebruikt, of is de deelnemer akkoord met het bekend maken van zijn/haar identiteit?
  • Adequaat gegevensbeheer: worden de gegevens van de deelnemers op een adequate manier verwerkt en beheerd?
  • Misleiding: soms kun je van tevoren niet zeggen waar het onderzoek over gaat omdat anders het resultaat mogelijk wordt beïnvloed. In zulke gevallen moet je de deelnemers achteraf informeren.
  • Informatiebrief: informatieverstrekking aan deelenmers is essentieel! Zijn de deelnemers, voorafgaand aan het onderzoek, juist en volledig geïnformeerd over alle aspecten van dat onderzoek? 
  • Toestemmingsverklaring (AVG): Soms moet je je deelnemers vragen om toestemming voor de verwerking van hun persoonsgegevens. Aan deze verklaring worden strenge eisen gesteld. Zo moeten de toestemmingen voor verschillende aspecten of onderdelen van het onderzoek op de juiste manier van elkaar gescheiden.

AVG

Is je onderzoek niet volledig anoniem, dan moet je je houden aan de (vele) regels van de privacywetgeving, zoals vastgelegd in de AVG. Heb je vragen over de AVG, neem dan contact op met de privacy officer van GW (privacy.gw@uu.nl) voordat je je aanvraag indient bij de FETC-GW.

Wat is de AVG?

De Algemene Verordening Gegevensbescherming is een wet die de regels voor de verwerking van persoonsgegevens door particulieren, bedrijven en overheidsinstanties standaardiseert voor de hele EU plus Noorwegen, Liechtenstein en IJsland (samen de Europese Economische Ruimte of EER). Sinds de AVG in mei 2018 van kracht werd, kent de gehele EER één privacywet. Bepaalde details kunnen echter nog steeds door de individuele landen worden uitgewerkt in een implementatiewet. In Nederland is dat de Uitvoeringswet AVG (UAVG).

Wat zijn persoonsgegevens?

Persoonsgegevens zijn alle gegevens die direct of indirect, afzonderlijk of in combinatie, te herleiden zijn naar een natuurlijk persoon. De definitie “natuurlijke persoon” sluit rechtspersonen en overledenen uit. Persoonsgegevens kunnen onder meer bestaan uit beeld, geluid en tekst. Bijvoorbeeld:

  • Audio- / video-opnames
  • Naam
  • Adres
  • Telefoonnummer
  • E-mailadres
  • Leeftijd / geboortedatum
  • Geboortegeslacht
  • Opleiding
  • Beroep
  • IP-adres
  • Moedertaal/talen
  • Antwoorden op vragen (ook ja/nee)
  • Inloggegevens
  • Gezichtsafbeeldingen
  • Resultaten van tests

Sommige persoonsgegevens zijn bijzondere persoonsgegevens. Dit zijn zeer gevoelige gegevens waar je uiterst zorgvuldig mee om moet gaan omdat ze aanleiding kunnen geven tot uitsluiting, discriminatie of stigmatisering. Onder bijzondere persoonsgegevens vallen gegevens over iemands:

  • Godsdienst / levensovertuiging
  • Ras / raciale identificatie / etnische achtergrond
  • Politieke voorkeur
  • Lidmaatschap van een vakbond
  • Gezondheid (bijv. dyslexie, trauma)
  • Gender & Seksuele leven
  • Biometrie (uitsluitend bij gebruik voor identificatiedoeleinden)
  • Genetica
  • Strafrechtelijk verleden

Ga je bijzondere persoonsgegevens verwerken? Neem dan altijd ruim op tijd contact op met de privacy officer van GW (privacy.gw@uu.nl). Er moet dan namelijk een privacybeoordeling worden uitgevoerd.

Dan is er nog het BSN. Dat mag alleen in wettelijk bepaalde situaties worden gebruikt. Onderzoek valt hier niet onder. Je mag voor je onderzoek dus nooit een BSN vragen aan je deelnemers.

Een goed overzicht van de verschillende soorten persoonsgegevens is te vinden op het intranet: Categorieën van persoonsgegevens

Wat betekent het “verwerken van persoonsgegevens” precies?

Onder het ‘verwerken’ van persoonsgegevens valt letterlijk álles wat je als onderzoeker met die gegevens doet of door een ander laat doen: verzamelen, opslaan, bewaren, analyseren, anonimiseren, aan anderen laten zien, publiceren, wissen, etc.

Mag ik met persoonsgegevens werken, en zo ja: hoe?

Voordat je met persoonsgegevens gaat werken, maak je twee belangrijke afwegingen:

  • Mag ik de persoonsgegevens verwerken? (Bepaal het onderzoeksdoel en de AVG grondslag, en licht je deelnemers in.)
  • En zo ja, hoe verwerk ik de persoonsgegevens op een zorgvuldige manier? (Bepaal welke gegevens je wilt verzamelen en hoe je die veilig opslaat.)

Stap 1. Onderzoeksdoel, grondslag en informatieverstrekking

Voor deze stap heb je nodig:

  1. een concreet doel voor de verwerking (bijvoorbeeld het vragen naar een e-mailadres om een deelnemer te kunnen benaderen, of het verwerken van gegevens ten behoeve van een specifiek onderzoeksproject) en
  2. een (juridische) grondslag voor de verwerking. Dit is niets anders dan een ‘reden’ om met persoonsgegevens te mogen werken. Waar mogelijk gebruiken we als UU de AVG-grondslag ‘algemeen belang’.

    Ook bij gebruik van de grondslag ‘algemeen belang’ kunnen er situaties zijn waarin je aanvullende toestemming nodig hebt. Dat is bijvoorbeeld het geval:

    • als je bijzondere persoonsgegevens gaat verwerken,
    • als je beeld- of geluidsopnamen wilt maken, of
    • als je de onderzoeksgegevens wilt gebruiken voor een doel buiten de wetenschappelijke context (zoals doorgeven aan een archief).

    In bepaalde gevallen, zoals wanneer je hoe dan ook toestemming moet vragen voor de verwerking van bijzondere persoonsgegevens, kun je er ook voor kiezen om voor álles toestemming te vragen en ‘toestemming’ dus ook als wettelijke grondslag te gebruiken. Voor vragen hierover kun je contact opnemen met de privacy officer.

  3. Een informatiebrief of –script.

    Welke grondslag je ook kiest, je bent altijd verplicht je deelnemers goed te informeren via bijvoorbeeld een informatiebrief. Daarin geef je onder meer aan wat het doel van je onderzoek is en wat er van de deelnemers wordt verwacht. In een bijlage informeer je hen over de manier waarop hun persoonsgegevens worden verwerkt en wat hun rechten zijn.

Alleen als er én een concreet doel is én een grondslag, mag je de persoonsgegevens verwerken. En over die verwerking moet je je deelnemers goed informeren.

Stap 2. Welke gegevens en data-opslag

Nadat je stap 1 hebt voltooid, gaat het bij stap 2 om de manier waarop je de persoonsgegevens verwerkt. Denk daarbij aan het volgende:

  • Vraag niet méér gegevens op dan nodig is voor het onderzoeksdoel. Dit heet dataminimalisatie: need to know EN NIET nice to know.
  • Sla gegevens veilig op.
  • Zorg voor een veilige opslagplaats – liefst UU-opslag en opslag in de cloud (geen Dropbox en geen Google Drive). Haal data zo snel mogelijk van mobiele apparaten af;
  • Gebruik naast een wachtwoord ook encryptie (bv. Bitlocker), zéker op mobiele apparaten;
  • Scheid contactgegevens zo snel mogelijk van onderzoeksgegevens;
  • Probeer je data zo snel mogelijk te anonimiseren (de link tussen onderzoeksgegevens van de deelnemer en diens persoonsgegevens wordt onherroepelijk verbroken – óók de onderzoeker weet dan niet meer wie welke deelnemer is!) of, als dat niet kan, te pseudonimiseren (de deelnemer is dan alleen nog terug te vinden m.b.v. extra gegevens, bijvoorbeeld een sleutel).
  • Regel toegang tot de gegevens op een goede manier (autorisaties).
  • Stel concrete bewaartermijnen vast: net als bij andere Nederlandse universiteiten is de standaard bewaartermijn van onderzoeksdata bij de UU minimaal 10 jaar na publicatie.

En nu?

Heel kort samengevat: wanneer je werkt met deelnemers, heb je goedkeuring nodig van de Facultaire Ethische Toetsings Commissie van de faculteit Geesteswetenschappen (FETC-GW) vóórdat je met je onderzoek begint. Dit kan worden geregeld via de portal van de FETC-GW. Je kunt hierop inloggen met je SolisID. Daar kun je een nieuwe aanvraag aanmaken en vervolgens de vragen beantwoorden en de informatiebrief/brieven en eventuele toestemmingsverklaring(en) indienen. Voorbeelden hiervan zijn te vinden op intranet (de teksten, zonder verwijzing naar de FETC-GW, zijn ook te vinden op de website van de FETC-GW).

Studenten en promovendi kunnen niet zelf een aanvraag indienen, maar zij kunnen wel een aanvraag starten. In de aanvraag moeten zij aangeven wie hun begeleider/promotor is. De aanvraag kan pas in behandeling worden genomen als de begeleider/promotor de aanvraag heeft goedgekeurd.

Werk je met persoonsgegevens, dan is de AVG van toepassing. Volg in dat geval de bovengenoemde instructies. Verder vereist de AVG registratie van je project; dit wordt in de nabije toekomst mogelijk.

Voor meer informatie: