Deze pagina is nog in aanbouw. Jouw feedback is van harte welkom!
Mail naar privacy.gw@uu.nl of naar privacy.rebo@uu.nl.

Op studenten die onderzoek gaan doen is de Algemene verordening gegevensbescherming (AVG) net zo goed van toepassing als op de aan de UU verbonden onderzoekers en de UU als geheel.

Wie is er verantwoordelijk?

Het is de verantwoordelijkheid van de docent om ervoor te zorgen dat studenten die onderzoek doen waarbij ze met persoonsgegevens werken, op de hoogte zijn van de grondbeginselen van de AVG.

Hebben studenten dus een vraag over de AVG? Dan is het aan jou om die te beantwoorden. Uiteraard weet jij ook niet alles. Kost het je moeite om een antwoord te formuleren? Dan kun je voor ondersteuning altijd terecht bij de privacy officers, via privacy.gw@uu.nl of privacy.rebo@uu.nl. Vragen van de studenten zelf worden door de privacy officers slechts bij hoge uitzondering in behandeling genomen.

Om studenten én docenten te informeren, is er een miniboekje beschikbaar: Ben je student en ga je zelfstandig onderzoek doen? Dit moet je weten van de AVG. Vraag je studenten om dit handzame boekje door te nemen voordat ze beginnen met het opzetten van hun onderzoek. Ze kunnen dan vanaf het allereerste begin rekening houden met de privacyregels. Dit wordt privacy-by-design genoemd.

Het is absoluut aan te bevelen om dit boekje ook als docent zorgvuldig door te nemen, zodat je in ieder geval een informatievoorsprong hebt op je studenten.

In de paragrafen hieronder vind je (onder meer) een korte samenvatting van enkele onderwerpen die in het boekje aan bod komen. Voor uitleg over enkele basisbegrippen van de AVG word je verwezen naar het boekje zelf en naar het Data Privacy Handbook.

Datamanagementplan (DMP)

Op universitair of facultair niveau zijn studenten niet verplicht om een datamanagementplan op te stellen. Op deze regel geldt één uitzondering, althans bij Geesteswetenschappen, namelijk wanneer studenten onderzoek willen gaan doen met deelnemers en ze in overleg met jou als docent hebben besloten om over hun onderzoek te gaan publiceren in een vaktijdschrift. Jij kunt dan namens hen ethische toetsing aanvragen bij de Facultaire Ethische ToetsingsCommissie Geesteswetenschappen (FETC-GW). De FETC-GW neemt aanvragen alleen in behandeling als ze vergezeld gaan van een datamanagementplan.

Er zijn nog meer omstandigheden waarin een DMP aan te bevelen is. Wanneer het onderzoek van een student dusdanig omvangrijk of onoverzichtelijk is dat er chaos dreigt, kun jij, als docent, de student adviseren om een DMP op te stellen. Een DMP is immers een uitstekend middel om orde te scheppen in een dreigende chaos.

Deelnemers informeren

Studenten die met deelnemers werken (bijv. interviews of vragenlijsten) moeten die deelnemers informeren over het doel en de aard van het onderzoek en over wat er van de deelnemers wordt verwacht. De eisen voor deze informatievoorziening door studenten zijn gelijk aan de eisen die gelden voor professionele onderzoekers, al zal de door de student verstrekte informatie waarschijnlijk wel wat beknopter zijn. In de meeste gevallen zal de student een informatiebrief schrijven, maar andere vormen van informatieverstrekking, zoals mondeling, via mail of via de inleiding van een online vragenlijst, zijn eveneens denkbaar.

Als de student in het kader van het onderzoek persoonsgegevens van de deelnemers gaat verwerken (wat heel vaak het geval zal zijn), zal de informatieverstrekking uitgebreider moeten zijn dan wanneer het onderzoek volledig anoniem plaatsvindt. De AVG eist namelijk dat de deelnemers worden geïnformeerd over allerlei aspecten van die verwerking van hun persoonsgegevens. De student moet bijvoorbeeld uitleggen welke persoonsgegevens hij gaat verwerken, hoe lang hij die gegevens bewaart, hoe hij gaat beveiligen, met wie hij ze eventueel gaat delen en welke AVG-rechten de deelnemers hebben. De belangrijkste rechten zijn: toestemming intrekken, persoonsgegevens inzien en deze – indien nodig – laten corrigeren of wissen, en een klacht indienen bij de UU of de Autoriteit Persoonsgegevens. Een voorbeeld van een informatiebrief is te vinden in het bovengenoemde boekje voor studenten.

Deelnemers om toestemming vragen

Als studenten hun deelnemers om toestemming vragen, dient dat meestal een tweeledig doel:

1. De toestemming moet garanderen dat de deelnemers – op basis van alle relevante informatie – hebben besloten om vrijwillig mee te doen. Dit is de traditionele informed consent of ‘ethische toestemming’.
2. Als de student van plan is om persoonsgegevens van de deelnemers te gaan verwerken, moeten die deelnemers daar in de meeste gevallen toestemming voor geven (zie verderop voor enkele uitzonderingen). Dit is toestemming in de zin van de AVG.

De AVG stelt hoge eisen aan toestemming. Wil toestemming rechtsgeldig zijn, dan moet deze vrijelijk zijn gegeven, specifiek zijn, gebaseerd zijn op alle relevante informatie en aantoonbaar zijn. Meer hierover, inclusief een voorbeeld van een toestemmingsverklaring, vind je in het eerder genoemde boekje.

Uitzonderingen op de eis om toestemming te vragen in de zin van de AVG:

• De student werkt mee aan een onderzoek van de docent, of neemt een deel van dat onderzoek voor zijn rekening. De docent kan in veel gevallen een beroep doen op een andere grondslag, namelijk het vervullen van een taak van algemeen belang. Meer hierover is te vinden op het intranet.
• In overleg met de docent heeft de student besloten om over het onderzoek te gaan publiceren in een vaktijdschrift, en om die reden vraagt de docent namens de student ethische toetsing aan bij de Facultaire Ethische Toetsingscommissie (FETC). Wanneer de FETC het onderzoek goedkeurt, mag de student de verwerking van persoonsgegevens baseren op de eerder genoemde wettelijke grondslag ‘algemeen belang’. Dit is een van de zeer weinige situaties waarin de student deze grondslag mag gebruiken.

Dataminimalisatie

Een belangrijk uitgangspunt van de AVG is dat je niet méér persoonsgegevens verzamelt en verwerkt dan noodzakelijk is om het met de verwerking nagestreefde doel te bereiken. Dit houdt onder meer in:

• Dat de student nagaat of er manieren zijn om hetzelfde doel te bereiken met minder of geen persoonsgegevens (bijv. literatuuronderzoek in plaats interviews).
• Dat de student alleen persoonsgegevens verzamelt die hij of zij nodig heeft;
• Dat het niet is toegestaan om gegevens die voor een bepaald doel zijn verzameld (bijv. studentenadministratie) te gebruiken voor een doel dat daarmee “niet verenigbaar” is (bijv. onderzoek door studenten);
• Dat de student probeert om de verzamelde persoonsgegevens zo snel mogelijk te anonimiseren; en
• Dat de student voor de niet-geanonimiseerde persoonsgegevens een bewaartermijn vaststelt na welke de student de persoonsgegevens wist.

Veilig omgaan met persoonsgegevens

Van studenten mag worden verwacht dat ze veilig omgaan met de persoonsgegevens die onderzoeksdeelnemers aan hen toevertrouwen. Probeer er wat dat betreft als docent zo veel mogelijk op toe te zien:

• dat studenten geen gebruikmaken van onveilige software (bijv. Dropbox) of onveilige hardware (bijv. USB-sticks zonder wachtwoord),
• dat ze hun laptop goed beveiligen,
• dat ze geen persoonsgegevens opnemen in AI-prompts en
• dat ze veilig mailen.

Meer informatie vind je in de genoemde brochure voor studenten.

Rechten van deelnemers

Mensen van wie er persoonsgegevens worden verwerkt (de zg. betrokkenen) hebben allerlei rechten. Deze rechten zijn erop gericht om de betrokkenen maximale controle te geven over de op hen betrekking hebbende persoonsgegevens en op de verwerking daarvan. Het belangrijkste recht is dat betrokkenen worden geïnformeerd over de verwerking. Immers, als je niet weet dat jouw persoonsgegevens worden verwerkt, kun je jouw andere rechten ook niet uitoefenen. Met het schrijven van een informatiebrief of het anderszins informeren van deelnemers komt de student tegemoet aan dit recht.

Daarnaast hebben deelnemers aan student-onderzoek het recht om hun persoonsgegevens in te zien (bijvoorbeeld ook opnamen – als die nog bestaan – of transcripten van interviews) zodat ze kunnen nagaan of alle gegevens kloppen. Klopt er iets daadwerkelijk niet, dan heeft de deelnemer het recht om dat te laten corrigeren. Vaak zal dit gebeuren in overleg met de student (en met jou als docent). Willen deelnemers hun persoonsgegevens helemaal laten wissen, dan kunnen ze in de meeste gevallen het beste gewoon hun toestemming voor de verwerking van hun persoonsgegevens intrekken. De student is dan verplicht om die persoonsgegevens te verwijderen, maar alles wat de student er tot dan toe mee heeft gedaan mag blijven zoals het is. Het verwijderen heeft dus geen terugwerkende kracht.

Een belangrijk recht van deelnemers is het klachtrecht. Studenten zijn onervaren in het uitvoeren van onderzoek en kunnen daarin dus gemakkelijk fouten maken. Deelnemers kunnen bij hen – of bij jou als docent – een klacht indienen over de manier waarop de student in kwestie met hun persoonsgegevens is omgegaan. Voor ondersteuning bij het afhandelen van zo’n klacht kun je terecht bij privacy.gw@uu.nl of privacy.rebo@uu.nl.

Lukt het jou niet om met de klager tot overeenstemming te komen, dan kan de klager een klacht indienen bij de functionaris gegevensbescherming (FG) van de UU. Dat is onze interne adviseur en controleur met betrekking tot de AVG. Kan ook de FG de klager niet tevredenstellen, dan kan de klager een klacht indienen bij de Autoriteit Persoonsgegevens. Maar laten we er alles aan doen om te voorkomen dat het zo ver komt.

De uiteindelijke scriptie

Officiële scripties van studenten worden beschouwd als zg. academische uitdrukkingsvormen. In het kader van de academische vrijheid en de vrijheid van (wetenschappelijke) meningsuiting kunnen dergelijke uitingen rekenen op wettelijke bescherming vanuit de AVG. Om ruim baan te geven aan deze vrijheden is in art. 43 van de Nederlandse implementatiewet van de AVG (de UAVG) bepaald dat de AVG voor een groot deel niet van toepassing is op dergelijke academische uitingen (net als op journalistiek, kunst en literatuur). Dit betekent dat de AVG niet kan worden gebruikt om wetenschappers de mond te snoeren. (Er gelden uiteraard wel andere relevante wettelijke beperkingen, vooral met betrekking tot onrechtmatige daad, waaronder smaad en laster.)

Ook al is het studenten op grond van de AVG dus niet verboden om allerlei persoonsgegevens in hun scriptie op te nemen, het is op ethische gronden belangrijk dat je er als docent goed op let dat de student in zijn of haar scriptie op een verantwoorde manier omgaat met persoonsgegevens. Die omgang moet vooral proportioneel zijn: publiceer persoonsgegevens alléén als het wetenschappelijk (of eventueel maatschappelijk) belang prevaleert boven het particuliere belang van de personen op wie de persoonsgegevens betrekking hebben. Dit moet de student per geval kunnen verantwoorden. Uiteraard is een en ander des te belangrijker wanneer een student ervoor kiest om zijn of haar scriptie te publiceren in Osiris Zaak (Intranet).

Een goede manier van werken is dat studenten met de deelnemers aan hun onderzoek bindende afspraken maken over de manier waarop die deelnemers worden opgevoerd in de scriptie. Willen ze bijvoorbeeld anoniem worden geciteerd, of mag hun naam worden genoemd? In voorkomende gevallen kan de student uiteraard opnieuw met de deelnemer overleggen voordat de scriptie wordt afgerond en gepubliceerd.