Logo Universiteit Utrecht

Facultaire Ethische Toetsingscommissie Geesteswetenschappen

Ethiek en AVG

Klik hier voor de pdf-versie van deze pagina.

Inleiding

De Facultaire Ethische Toetsingscommissie (FETC-GW) bewaakt de criteria voor ethisch handelen voor al het aan de Faculteit Geesteswetenschappen uitgevoerde onderzoek waaraan personen deelnemen.

Als je voor je onderzoek werkt met deelnemers, bijvoorbeeld wanneer je interviews of vragenlijsten afneemt of observaties gaat doen, en/of als je werkt met persoonsgegevens, d.w.z. informatie die te herleiden is naar een (levende) persoon, dan heb je goedkeuring van de Facultaire Ethische Toetsingscommissie nodig voordat je begint met je onderzoek.

Als je werkt met persoonsgegevens is bovendien de Algemene Verordening Gegevensbescherming (AVG) van toepassing en gelden er voorwaarden waar je aan moet voldoen om in overeenstemming met de AVG te werken. Onderzoekers verbonden aan de Faculteit Geesteswetenschappen zijn ook verplicht om een datamanagementplan op te stellen. Ook dát hoort bij ethiek. Ethiek, privacy en datamanagement zijn namelijk innig verweven.

Ethiek

De volgende punten zijn van belang als je werkt met deelnemers:

  • Deelnemers: gaat het om wilsbekwame volwassenen of om een kwetsbare groep (<16 jaar, wilsonbekwaam, sociaal kwetsbaar)?
  • Selectiemethode: voelen deelnemers zich mogelijk onder druk gezet (sociaal, financieel)? Hoe heb je de deelnemers gevonden?
  • Dataverzameling: Hoe verkrijg je je data? Als dat niet rechtstreeks van deelnemers is, maar indirect, bijvoorbeeld via web scraping, neem dan contact op met de data manager, gw@uu.nl.
  • Vrijwillige deelname: kunnen deelnemers vrijelijk kiezen om mee te doen en altijd stoppen met deelnemen zonder nadelige gevolgen?
  • Onverwachte resultaten: blijkt bijvoorbeeld uit een test dat iemand dyslexie kan hebben of dat iemand wellicht iets illegaals heeft gedaan? Zo ja, wat doe je dan?
  • Oncomfortabel onderzoek: wordt er bijv. naar emotionele herinneringen gevraagd of betreft het EEG-onderzoek waarbij de deelnemers lang stil moeten zitten en waarbij er gel in hun haar komt?
  • Anonimiteit en privacy: blijven de deelnemers anoniem of worden er pseudoniemen gebruikt, of is de deelnemer akkoord met het bekend maken van zijn/haar identiteit?
  • Adequaat gegevensbeheer: worden de gegevens van de deelnemers op een adequate manier verwerkt en beheerd?
  • Misleiding: soms kun je van tevoren niet zeggen waar het onderzoek over gaat omdat anders het resultaat mogelijk wordt beïnvloed. In zulke gevallen moet je de deelnemers achteraf informeren.
  • Informatiebrief, geïnformeerde toestemming en toestemmingsformulier: informatie en toestemming zijn essentieel bij onderzoek met deelnemers! Zijn de deelnemers, voordat ze toestemming verleenden, juist en volledig geïnformeerd over alle aspecten van het onderzoek? En worden de toestemmingen voor verschillende aspecten of onderdelen van het onderzoek op de juiste manier van elkaar gescheiden?

AVG

Documenten voor geïnformeerde toestemming moeten vanzelfsprekend voldoen aan de AVG. Heb je vragen over de AVG, neem dan contact op met de privacy officer van GW (privacy.gw@uu.nl) voordat je je aanvraag indient bij de FETC-GW.

Wat is de AVG?

De Algemene Verordening Gegevensbescherming is een wet die de regels voor de verwerking van persoonsgegevens door particulieren, bedrijven en overheidsinstanties standaardiseert voor de hele EU plus Noorwegen, Liechtenstein en IJsland (samen de Europese Economische Ruimte of EER). Sinds de AVG in mei 2018 van kracht werd, kent de gehele EER één privacywet.

Wat zijn persoonsgegevens?

Persoonsgegevens zijn alle gegevens die direct of indirect, afzonderlijk of in combinatie, te herleiden zijn naar een natuurlijk persoon. De definitie “natuurlijke persoon” sluit rechtspersonen en overledenen uit. Persoonsgegevens kunnen onder meer bestaan uit beeld, geluid en tekst. Bijvoorbeeld:

  • Audio- / video-opnames
  • Naam
  • Adres
  • Telefoonnummer
  • E-mailadres
  • Leeftijd / geboortedatum
  • Geslacht / gender
  • Opleiding
  • Beroep
  • IP-adres
  • Moedertaal/talen
  • Antwoorden op vragen (ook ja/nee)
  • Inloggegevens
  • Gezichtsafbeeldingen
  • Resultaten van tests

Sommige persoonsgegevens zijn bijzondere persoonsgegevens. Dit zijn zeer gevoelige gegevens waar je uiterst zorgvuldig mee om moet gaan omdat ze aanleiding kunnen geven tot uitsluiting, discriminatie of stigmatisering. Onder bijzondere persoonsgegevens vallen gegevens over iemands:

  • Godsdienst / levensovertuiging
  • Ras / raciale identificatie / etnische achtergrond
  • Politieke voorkeur
  • Lidmaatschap van een vakbond
  • Gezondheid (bijv. dyslexie, trauma)
  • Gender & Seksuele leven
  • Biometrische gegevens (met het oog op de unieke identificatie van personen)
  • Genetische gegevens
  • Strafrechtelijk verleden

Ga je bijzondere persoonsgegevens verwerken? Neem dan altijd ruim op tijd contact op met de privacy officer van GW (privacy.gw@uu.nl). Er moet dan namelijk een privacybeoordeling worden uitgevoerd.

Dan is er nog het BSN. Dat mag alleen in wettelijk bepaalde situaties worden gebruikt. Onderzoek valt hier niet onder. Je mag voor je onderzoek dus nooit een BSN vragen aan je deelnemers.

Een goed overzicht van de verschillende soorten persoonsgegevens is te vinden op het intranet: Categorieën van persoonsgegevens

Wat betekent “verwerking van persoonsgegevens” precies?

Onder het ‘verwerken’ van persoonsgegevens valt letterlijk álles wat je als onderzoeker met die gegevens doet of door een ander laat doen: verzamelen, opslaan, bewaren, analyseren, anonimiseren, aan anderen laten zien, publiceren, etc.

Mag ik met persoonsgegevens werken, en zo ja: hoe?

Voordat je met persoonsgegevens gaat werken, maak je twee belangrijke afwegingen:

  • Mag ik de persoonsgegevens verwerken? (Bepaal het onderzoeksdoel en de AVG grondslag.)
  • En zo ja, hoe verwerk ik de persoonsgegevens op een zorgvuldige manier? (Bepaal welke gegevens je wilt verzamelen en hoe je die veilig opslaat.)

Stap 1. Onderzoeksdoel en grondslag

Voor deze stap heb je nodig:

  1. een concreet doel voor de verwerking (bijvoorbeeld het vragen naar een e-mailadres om een deelnemer concrete informatie te kunnen toesturen, of het verwerken van gegevens ten behoeve van een specifiek onderzoeksproject) en
  2. een (juridische) grondslag voor de verwerking. De juridische grondslag voor onderzoek is vrijwel altijd Toestemming. Alleen als het onmogelijk, ondoenlijk of verstorend is om deelnemers om toestemming te vragen (bijvoorbeeld als je daarmee de uitkomsten van je onderzoek beïnvloedt) kun je een beroep doen op de grondslag Algemeen belang (als universiteit zijn wij namelijk belast met een taak van algemene belang: het uitvoeren van wetenschappelijk onderzoek).[1]

Wanneer je toestemming vraagt aan je deelnemers (stap 1.B), ben je verplicht hen goed te informeren via bijvoorbeeld een informatiebrief, zodat deelnemers weten waarvoor ze goedkeuring geven. Actieve toestemming (dus NIET een vooraf ingevuld vakje voor toestemming!) is nodig voor:

  • deelname (ook bij anoniem onderzoek),

tenzij de gegevens buiten het onderzoek om hoe dan ook zouden worden verzameld; denk bijvoorbeeld aan het onderzoeken van de proefwerkresultaten van kinderen. Dit is een voorbeeld van de grondslag ‘Algemeen belang’. De deelnemers moeten dan achteraf worden geïnformeerd en ze kunnen achteraf ook bezwaar maken.[2]

  • audio- en video-opnamen (NB, dit zijn per definitie géén anonieme gegevens)
  • het delen van persoonsgegevens met derden.

Hoe je rechtsgeldige, “geïnformeerde” toestemming verkrijgt, wordt uitgelegd in het document “Richtlijnen voor ‘geïnformeerde toestemming’ bij het doen van wetenschappelijk onderzoek, zie https://fetc-gw.wp.hum.uu.nl/geinformeerde_toestemming/ (onder ‘Privacy en AVG’).

Alleen als er én een concreet doel is én een grondslag, mag je de persoonsgegevens verwerken.

Stap 2. Welke gegevens en data-opslag

Nadat je stap 1 hebt voltooid, gaat het bij stap 2 om de manier waarop je de persoonsgegevens verwerkt. Denk daarbij aan het volgende:

  • Vraag niet méér gegevens op dan nodig is voor het onderzoeksdoel. Dit heet dataminimalisatie: need to know EN NIET nice to know.
  • Sla gegevens veilig op.
  • Zorg voor een veilige opslagplaats – liefst UU-opslag en opslag in de cloud (geen Dropbox en geen Google Drive). Haal data zo snel mogelijk van mobiele apparaten af;
  • Gebruik naast een wachtwoord ook encryptie (bv. Bitlocker), zéker op mobiele apparaten;
  • Scheid contactgegevens zo snel mogelijk van onderzoeksgegevens;
  • Probeer je data zo snel mogelijk te anonimiseren (de link tussen onderzoeksgegevens van de deelnemer en diens persoonsgegevens wordt onherroepelijk verbroken – óók de onderzoeker weet dan niet meer wie welke deelnemer is!) of, als dat niet kan, te pseudonimiseren (de deelnemer is terug te vinden m.b.v. bijvoorbeeld een sleutel).
  • Regel toegang tot de gegevens op een goede manier (autorisaties).
  • Stel concrete bewaartermijnen vast: net als bij andere Nederlandse universiteiten is de standaard bewaartermijn van onderzoeksdata bij de UU minimaal 10 jaar na publicatie.

En nu?

Heel kort samengevat: wanneer je werkt met deelnemers, heb je goedkeuring nodig van de Facultaire Ethische Toetsings Commissie van de faculteit Geesteswetenschappen (FETC-GW) vóórdat je met je onderzoek begint. Dit kan worden geregeld via de portal van de FETC-GW. Je kunt hierop inloggen met je SolisID. Daar kun je een nieuwe aanvraag aanmaken en vervolgens de vragen beantwoorden en de informatiebrief/brieven en toestemmingsverklaring(en) indienen. Voorbeelden hiervan zijn te vinden op intranet (de teksten, zonder verwijzing naar de FETC-GW, zijn ook te vinden op de website van de FETC-GW).

Studenten en promovendi kunnen niet zelf een aanvraag indienen, maar zij kunnen wel een aanvraag starten. In de aanvraag moeten zij aangeven wie hun begeleider/promotor is. De aanvraag kan pas in behandeling worden genomen als de begeleider/promotor de aanvraag heeft goedgekeurd.

Werk je met persoonsgegevens, dan is de AVG van toepassing. Volg in dat geval de bovengenoemde instructies. Verder vereist de AVG registratie van je project; dit wordt in de nabije toekomst mogelijk.

Voor meer informatie:

 

[1] Er is nog een derde mogelijke grondslag: gerechtvaardigd belang. Daarvoor geldt echter een extra eis, namelijk dat je een schriftelijke afweging maakt tussen het belang van je onderzoek en de privacyrisico’s voor de deelnemers.

[2] In deze situatie is er sprake van het ethische begrip “passieve toestemming”.