De vraag of gegevens anoniem zijn, is zeer relevant omdat de AVG niet van toepassing is op anonieme gegevens. Met anonieme gegevens kun je dus veel vrijer omgaan dan met persoonsgegevens.

Hieronder vind je eerst het korte antwoord op de vraag wanneer gegevens anoniem zijn, inclusief voorbeelden van gegevens die dat niet zijn. Het lange antwoord is genuanceerder, maar ook veel ingewikkelder.

Er zijn situaties waarin je weliswaar kunt garanderen dat het onderzoek anoniem verloopt, maar waarin het onderwerp zó gevoelig is dat je kunt verwachten dat sommige potentiële deelnemers alleen mee willen doen als ze de mogelijkheid krijgen om hun gegevens op een later moment alsnog te laten verwijderen, bijvoorbeeld als ze spijt krijgen van hun deelname of als een onderzoek veel media-aandacht krijgt. Deze mogelijkheid kan bepaalde potentiële deelnemers over de streep trekken zodat ze, ondanks eerdere twijfels, tóch meedoen aan je onderzoek.

Er ontstaat dan echter een probleem, want omdat de gegevens anoniem zijn, kun je in je dataset niet meer nagaan welke gegevens van de desbetreffende deelnemer zijn. Daar is een oplossing voor.

1. Genereer per deelnemer een random code en koppel die aan de onderzoeksgegevens van de deelnemer.
   Bij een anonieme online vragenlijst zou je Qualtrics bijvoorbeeld opdracht kunnen geven om een code te genereren.
2. Stel de deelnemer op de hoogte van de code maar koppel de code zelf niet aan identificerende gegevens van de deelnemer.
   Jij weet dus niet wie welke code heeft. Bijvoorbeeld: bij een onderzoek waarin je fysieke gezondheidsmetingen verricht, zou je de code op een briefje kunnen schrijven en dit aan de deelnemer kunnen overhandigen.
3. Druk de deelnemer op het hart om de code geheim te houden en goed te bewaren.
4. Vermeld in je informatiebrief (of inleiding op de vragenlijst) dat de deelnemer die code moet vermelden bij het uitoefenen van zijn of haar rechten.
   Omdat de code is gekoppeld aan de onderzoeksgegevens van de deelnemer, kun je die onderzoeksgegevens opzoeken aan de hand van de door de deelnemer verstrekte code. De deelnemer kan de gegevens dan inzien en kan ze laten corrigeren of wissen.

Dit is een relevante vraag omdat de verwerking van bijzondere persoonsgegevens verboden is, belangrijke uitzonderingen daargelaten.

De AVG geeft een limitatieve opsomming van bijzondere categorieën van persoonsgegevens (kortweg: bijzondere persoonsgegevens). Dit zijn zeer gevoelige gegevens over iemands:

• ras of etnische afkomst;
• politieke opvattingen;
• religieuze of levensbeschouwelijke overtuigingen;
• lidmaatschap van een vakbond;
• gezondheid (fysiek én geestelijk);
• seksuele gedrag of seksuele gerichtheid;
• genetica;
• biometrie (althans bij gebruik voor identificatiedoeleinden, zoals vingerafdrukken);
• strafrechtelijk verleden of strafrechtelijke veroordelingen (strikt genomen zijn dit geen bijzondere persoonsgegevens, maar in de praktijk is er weinig verschil).

Deze categorieën worden ruim geïnterpreteerd. Iemands ‘politieke opvattingen’ blijken bijvoorbeeld niet alleen uit de partij waarop hij of zij gestemd heeft, maar ook uit diens opvattingen over de inrichting van de maatschappij. En er is al sprake van ‘medische gegevens’ als je vastlegt dat iemand dyslexie heeft.

Soms is het voor je onderzoek noodzakelijk dat je deelnemers met een bepaalde eigenschap selecteert. Denk bijvoorbeeld aan dyslexie, een bepaalde seksuele gerichtheid of een bepaalde religie. Dit zijn bijzondere persoonsgegevens. Het verwerken van bijzondere persoonsgegevens is weliswaar verboden, maar mede omdat er enkele uitzonderingen op deze regel bestaan, is het meestal heel goed mogelijk om de gewenste selectie desondanks te maken. Bij de verdere verwerking gelden er nog wel enkele aandachtspunten.

Het juist en volledig informeren van deelnemers is niet alleen een van de belangrijkste eisen die de AVG aan je onderzoek stelt, het is ook een belangrijke voorwaarde voor informed consent van potentiële deelnemers. Informed consent is immers niets anders dan vrijwillige deelname op basis van alle relevante informatie.

Je moet je deelnemers altijd informeren over doel en opzet van je onderzoek, wat er van hen wordt verwacht, eventuele voor- en nadelen van deelname en jouw contactgegevens. Dat is het ethische deel.

Ga je binnen je onderzoek ook persoonsgegevens verzamelen, dan moet je je deelnemers ook onder meer laten weten welke persoonsgegevens dat zijn, wat je ermee gaat doen, hoe lang je ze wilt bewaren, wie er toegang toe krijgen, hoe je ze gaat beveiligen, wat de wettelijke grondslag voor de verwerking is, welke rechten je deelnemers hebben en dat de UU een functionaris gegevensbescherming heeft.

Gewoonlijk informeer je je deelnemers via een uitnodigings- of informatiebrief, of via de inleiding van een vragenlijst. In bepaalde gevallen is het echter ook mogelijk om hen mondeling of via een privacyverklaring te informeren.

• Uitgebreide informatie over al deze onderwerpen vind je in de Leidraad informatieplicht wetenschappelijk onderzoek – Ethiek en AVG.

• Voor een groot aantal praktische templates kun je terecht op de intranetsite van de FETC Geesteswetenschappen.

Als je bijvoorbeeld archiefonderzoek of big data-onderzoek doet (zoals web scraping), verzamel je daarbij vaak persoonsgegevens van mensen die niet echt “deelnemers” aan jouw onderzoek zijn. Maar het feit dat je persoonsgegevens verzamelt, betekent wel dat de AVG van toepassing is. En de AVG vereist van jou dat je de mensen op wie die persoonsgegevens betrekking hebben, informeert over jouw onderzoek.

Dit wordt al gauw een probleem, bijvoorbeeld omdat je niet weet hoe je die mensen moet bereiken of omdat het om een te groot aantal gaat. Voor dat laatste bestaat een oplossing:

1. Schrijf een privacyverklaring waarin je alle relevante informatie verstrekt. Neem voor het schrijven daarvan contact op met privacy.gw@uu.nl of privacy.rebo@uu.nl.
2. Plaats die privacyverklaring op een openbaar toegankelijke website.
3. Stel een kort bericht op met een beschrijving van je onderzoek.
4. Plaats dat bericht op een veelgelezen sociaal medium (bijvoorbeeld het medium dat je scrapet) en neem in dat bericht een link naar jouw privacyverklaring op.

Voor situaties waarin het echt ondoenlijk is om personen te informeren over de verwerking van hun persoonsgegevens bevat de AVG een uitzondering die specifiek geldt voor wetenschappelijk onderzoek:

Als het informeren van de betrokken personen onevenredig veel inspanning kost of als het de uitvoering van je onderzoek in gevaar dreigt te brengen, mag van informatieverstrekking worden afgezien mits je er alles aan doet om de rechten, vrijheden en belangen van die personen te beschermen.

Meer informatie:

• J. Gerritsen: Tactvol Contactloos Onderzoek (PDF)
• Zelfreflectiegids Mensgebonden Big Data Onderzoek (internet)
• Leidraad informatieplicht wetenschappelijk onderzoek – Ethiek en AVG (PDF)
• Templates voor informatiebrieven en toestemmingsverklaringen (Intranet)

Ja, dat klopt, althans waar het gaat om toestemming voor de verwerking van hun persoonsgegevens.

Laten we vooropstellen: er mag geen misverstand over bestaan dat ieders deelname aan jouw onderzoek vrijwillig moet zijn, en dat de beslissing om deel te nemen gebaseerd moet zijn op alle relevante informatie over jouw onderzoek. Dit is niets anders dan de traditionele informed consent.

In veel gevallen is er echter meer aan de hand. Je gaat binnen je onderzoek ook persoonsgegevens van de deelnemers verwerken. Om dat te mogen doen heb je een zg. wettelijke grondslag (of rechtsgrond) nodig. Toestemming van de deelnemers is een mogelijke grondslag, maar niet zo’n handige. De Algemene verordening gegevensbescherming (AVG) stelt namelijk zeer hoge eisen aan de toestemming; die moet

1. vrijwillig gegeven zijn;

2. specifiek betrekking hebben op jouw onderzoek;

3. gebaseerd zijn op alle relevante informatie; en

4. aantoonbaar zijn.

De eisen 1 en 3 leveren geen problemen op (die zijn gelijk aan informed consent), maar de eisen 2 en 4 wel. Omdat de toestemming specifiek voor jouw onderzoek geldt, is het niet mogelijk om de verzamelde persoonsgegevens te delen binnen de bredere wetenschappelijke gemeenschap. En omdat de toestemming aantoonbaar moet zijn, is het vaak noodzakelijk om veel moeite te doen voor het verzamelen van handtekeningen of iets dergelijks. En dat terwijl de deelnemers hun toestemming tot het moment van publicatie gewoon nog kunnen intrekken, zonder opgaaf van redenen.

Gelukkig biedt de AVG een andere wettelijke grondslag waarop universitaire onderzoekers een beroep kunnen doen wanneer ze persoonsgegevens verwerken ten behoeve van wetenschappelijk onderzoek: de uitvoering van een taak van algemeen belang. Aan de universiteit doen wij immers onderzoek dat een maatschappelijk belang dient (kennisvermeerdering van de maatschappij).

Wanneer je deze grondslag gebruikt, hoef je je deelnemers dus niet meer te vragen om toestemming, althans niet voor de verwerking van hun persoonsgegevens. Er is dus ook geen toestemming meer die ze kunnen intrekken. In plaats daarvan kunnen ze op grond van hun specifieke situatie nog wel bezwaar maken tegen de verwerking. Als universiteit maken we dan een afweging: Wat weegt zwaarder, het wetenschappelijk belang van het onderzoek of de rechten en vrijheden van degene die klaagt? Het staat dus zéker niet vast dat je de gegevens van de klager moet wissen. En omdat je niet gebonden bent aan de specificiteit van de toestemming, kun je de persoonsgegevens in veel bredere (wetenschappelijke) kring delen.

Zie voor meer informatie dit artikel op het intranet.

Als het om wetenschappelijk onderzoek aan de UU gaat, moet de deelname altijd vrijwillig zijn (“informed consent”). De verwerking van persoonsgegevens vindt in beginsel niet plaats op basis van de grondslag ‘toestemming’, maar op basis van de grondslag ‘algemeen belang’. Meer informatie daarover vind je hier.

Toch kan aanvullende toestemming in bepaalde situaties wél vereist zijn:

• Als je bijzondere persoonsgegevens gaat verwerken. Bijvoorbeeld: je vraagt vooraf bij een school om informatie over kinderen met dyslexie. De school mag jou deze gegevens pas verstrekken na toestemming van de ouders. Of je snijdt tijdens een interview onderwerpen aan waarbij je bijzondere persoonsgegevens verwerkt, zoals de geloofsbeleving van de deelnemer of de etnische achtergrond van een gezin.
• Als je van plan bent om je onderzoeksgegevens ook buiten de wetenschappelijke context te gebruiken, bijvoorbeeld als je ze wilt doorgeven aan een niet-officieel archief. Voor doorgifte aan erkende (nationale) archieven is toestemming meestal juridisch niet nodig, maar kan toestemming op ethische gronden gewenst zijn.

Daarnaast zijn er situaties waarin je de deelnemers moet vragen of ze akkoord gaan. We spreken dan niet van toestemming in de zin van de AVG, maar bijvoorbeeld van akkoordverklaring:

• Als je beeld- en/of geluidsopnames gaat maken. Een akkoordverklaring is dan meestal op ethische gronden vereist. Ga je de opnames ook buiten je onderzoek gebruiken, dan kan toestemming in het kader van het portretrecht in bepaalde gevallen eveneens vereist zijn.
• Als de deelnemers kinderen zijn en als er sprake is van niet-klassikaal onderzoek. De ouder of voogd moet dan akkoord geven voor deelname van het kind, niet voor de verwerking van diens persoonsgegevens. Als deelname betekent dat de kinderen lestijd gaan missen, hanteert de FETC-GW de volgende regels:
• Als een kind uit de klas of les gehaald moet worden om mee te kunnen doen aan het onderzoek, dan is soms op ethische gronden akkoord van ouders/voogden nodig voor deelname.
  • Let op! Als het onderzoek klassikaal plaatsvindt, is akkoord van ouders/voogden niet nodig; de school fungeert dan als eerste filter, en de ouder kan wel bezwaar maken tegen deelname.

Nogmaals: ongeacht of het onderzoek in of buiten de klas plaatsvindt, de wettelijke AVG-grondslag kan in beide gevallen ‘algemeen belang’ zijn. De akkoordverklaring bij niet-klassikaal onderzoek heeft immers betrekking op de deelname van het kind. Na afloop van de deelname kan de ouder of voogd – zoals gezegd – nog bezwaar maken tegen de verwerking van de persoonsgegevens van het kind.

Een voorbeeld: Je gaat niet-didactisch klassikaal onderzoek doen op een school en je verwerkt alleen reguliere persoonsgegevens (dus géén bijzondere persoonsgegevens). Uiteraard moet je de ouders informeren over het feit dat er onderzoek gaat plaatsvinden. Bovendien moet je hen in de gelegenheid stellen om bezwaar te maken. Dat bezwaar richt zich op twee aspecten, afhankelijk van het moment waarop het wordt geuit:

• Vooraf kunnen de ouders bezwaar maken tegen de deelname van hun kind. De ouders hoeven niet expliciet akkoord te gaan met de deelname, want de leerkracht bepaalt de gang van zaken in de klas (“eerste filter”). Uit ethische overwegingen moeten ouders in veel gevallen echter wel een bezwaarmogelijkheid hebben.
• Achteraf kunnen de ouders bezwaar maken tegen de verwerking van de persoonsgegevens van hun kind. Voor die verwerking hoef je hen niet om toestemming te vragen, want daarvoor doen we een beroep op het algemeen belang.

In veel gevallen moet je toestemming vragen voor het maken van beeld- en/of geluidsopnamen. Waarvoor je dan precies toestemming vraagt, hangt af van de situatie. Hieronder vind je een brede schets. Voor heel specifieke situaties kun je het beste contact opnemen met de privacy officers (privacy.gw@uu.nl of privacy.rebo@uu.nl).

Een van kernpunten van de AVG is dat mensen van wie je persoonsgegevens verwerkt, of dat nu deelnemers – in de klassieke zin van het woord – of andere “betrokkenen” zijn, geïnformeerd moeten worden over die verwerking. Vaak doe je dat via een informatiebrief, soms via een privacyverklaring. Het belangrijkste doel van die informatieverstrekking is dat je de betrokkenen de mogelijkheid biedt om hun AVG-rechten uit te oefenen, zoals inzage (controle), correctie, verwijdering en bezwaar.

Als een verwijderverzoek of bezwaar van een deelnemer wordt toegewezen, ben je verplicht om diens gegevens te verwijderen. Maar moet je die gegevens dan echt wissen, of is anonimiseren voldoende?

Als je persoonsgegevens anonimiseert, zijn het geen persoonsgegevens meer en zijn de oorspronkelijke persoonsgegevens dus niet meer aanwezig, net als wanneer je ze wist. Qua resultaat is er geen verschil. Er is uiteraard wel een verschil in het type verwerking dat je uitvoert om tot dat resultaat te komen, maar dat is niet doorslaggevend.

Het is een bekende en geaccepteerde werkwijze om data aan het eind van de bewaartermijn te anonimiseren, bijvoorbeeld voor onderzoeksdoeleinden. Formeel is er geen verschil tussen wissen/anonimiseren “op verzoek” of “omdat de bewaartermijn verstreken is”.

Als een deelnemer bezwaar maakt of zijn toestemming intrekt, mag je diens gegevens dus naar eigen keuze wissen of anonimiseren. Het is een goede gewoonte om gegevens hoe dan ook – van het begin af aan – zo veel mogelijk te anonimiseren, uiteraard op voorwaarde dat je na anonimisering nog wel een relevante dataset overhoudt. Anonimiseren is een vorm van dataminimalisatie.

Er kan echter een goede reden zijn om identificeerbare gegevens te bewaren. Stel dat je niet kúnt anonimiseren vanwege de relevantie van identificeerbare gegevens binnen je dataset. Als iemand in dat geval bezwaar maakt of zijn toestemming intrekt, moet je kiezen: óf je wist de gegevens, óf je anonimiseert ze en brengt ze over naar een dataset met geanonimiseerde gegevens die wellicht in het kader van ander onderzoek relevant is.

In de informatiebrief voor deelnemers moet altijd worden beschreven wat je gaat doen: wissen of anonimiseren.

Als een of meer deelnemers bezwaar maken tegen de verwerking van hun persoonsgegevens of als ze een van hun andere AVG-rechten willen uitoefenen (zoals inzage, correctie, “bevriezing”, intrekking van toestemming), moet Juridische Zaken (JZ) altijd worden betrokken bij de afhandeling daarvan. Dat moet om meerdere redenen:

• JZ is verplicht om een registratie bij te houden van alle AVG-verzoeken die binnen de UU worden ingediend.
• JZ weet precies op welke manier de identiteit van de aanvrager kan worden geverifieerd.
• Een reactie op een AVG-verzoek (of je dat nu honoreert of niet) wordt beschouwd als een besluit in de zin van de Algemene wet bestuursrecht (Awb). Dit houdt in dat de UU alle stapjes uit die wet netjes moet doorlopen. Een besluit moet binnen een bepaalde termijn worden genomen, er moet bepaalde informatie in staan (met als sanctie dwangsommen voor de UU als dit niet goed gebeurt), betrokkenen kunnen in bezwaar gaan tegen een besluit, besluiten moeten namens het CvB worden verstuurd, etc.

Het Formulier privacy verzoek is voor deelnemers de aangewezen manier om een AVG-verzoek in te dienen. Deelnemers hebben soms echter ook de mogelijkheid om hun AVG-verzoek in te dienen bij de onderzoeker zelf. Dit is persoonlijker en het voelt voor deelnemers directer en vertrouwenwekkender. Bij ontvangst van een dergelijk verzoek moet de onderzoeker meteen contact opnemen met JZ (eventueel via de facultaire privacy officer) om het AVG-verzoek te melden.

JZ moet de deelnemer identificeren alvorens het verzoek in behandeling te kunnen nemen. Identificatie is maatwerk en verschilt per verzoek; dit zal in afstemming met de onderzoeker gebeuren. Soms zal deze afstemming niet meer nodig zijn en is het duidelijk dat de persoon is wie hij of zij zegt te zijn.

De onderzoeker kan in deze procedure worden beschouwd als een soort doorgeefluik of tussenpersoon. Als er een AVG-verzoek binnenkomt bij de onderzoeker, moet dit zo snel mogelijk naar JZ worden gestuurd (privacy@uu.nl). De termijnen kunnen namelijk direct beginnen te lopen. Pas na overleg tussen JZ en de onderzoeker en op verzoek van JZ kan de onderzoeker actie ondernemen zoals bijv. gegevens verwijderen.

Dus ook als de UU het verzoek gewoon kan honoreren, dan nóg moet JZ de deelnemer daarvan op de hoogte stellen. Het is dus JZ die – na afstemming met de onderzoeker – een brief (per mail) stuurt met de inhoud van het besluit (bijvoorbeeld dat de gegevens zijn verwijderd/geanonimiseerd).

Onder kinderen wordt verstaan: personen jonger dan 16 jaar.

• Tot en met 11 jaar zijn de ouders/voogden formeel als enigen beslissingsbevoegd.
• Bij kinderen van 12 tot en met 15 jaar beslissen ouders en kinderen samen. Dat wil zeggen: ouders/voogden én het kind moeten akkoord zijn.
• Vanaf de leeftijd van 16 jaar hebben jongeren zelf volledige beslissingsbevoegdheid.

Als je onderzoek doet met kinderen, moeten ouders/voogden daarvoor in veel gevallen toestemming geven. De vraag is nu of de toestemming van één ouder/voogd voldoende is, of dat van beide ouders/voogden toestemming wordt verlangd. Dit laatste is in de praktijk een grote belemmering voor de uitvoering van het onderzoek.

De vuistregel voor het beantwoorden van de “één-of-beiden-vraag” luidt als volgt:

• Voor invasief of risicovol onderzoek is toestemming van beide ouders/voogden vereist.
• Voor niet-invasief/niet-risicovol onderzoek is toestemming van slechts één ouder/voogd vereist.
• In twijfelgevallen beslist de Facultaire Ethische ToetsingsCommissie (FETC).

Uiteraard is er discussie mogelijk over de vraag of onderzoek al dan niet invasief resp. risicovol is, maar in veel gevallen zal daarover consensus zijn. In geval van twijfel doet de FETC uitspraak.

Om te bepalen of je opnamen (of andere persoonsgegevens) van deelnemers mag doorgeven aan een andere organisatie (zoals een archief), kun je het onderstaande lijstje van vragen nalopen.

1. Heb je je deelnemers om toestemming gevraagd voor de doorgifte aan de organisatie?
   • Ja – Uiteraard is er geen probleem. Je kunt de gegevens doorgeven op basis van de toestemming.
   • Nee – Ga naar de volgende vraag.
2. Heb je je deelnemers wél om toestemming gevraagd voor het gebruik van hun persoonsgegevens (en/of bijzondere persoonsgegevens) ten behoeve van je onderzoek, maar niet voor de doorgifte van die gegevens?
   • Uitleg: Toestemming moet specifiek zijn. Als je toestemming hebt gevraagd om persoonsgegevens voor een bepaald doel te gebruiken, mag je ze niet gebruiken voor een doel dat niet verenigbaar is met dat oorspronkelijke doel.
   • Ja – Je moet de deelnemers apart om toestemming vragen voor de doorgifte. De eerder gegeven toestemming heeft namelijk géén betrekking op de doorgifte en is daarom niet bruikbaar om doorgifte mogelijk te maken.
   • Nee – Ga naar de volgende vraag.
3. Wil je de persoonsgegevens doorgeven aan een organisatie die werkt in het algemeen belang?
   • Uitleg: Hieronder vallen overheidsinstellingen zoals nationale archieven, maar ook zg. anbi’s (algemeen nut beogende instellingen) die actief zijn op hetzelfde terrein als jouw onderzoek (bijvoorbeeld: jij doet onderzoek naar mensenrechten en de instelling is Amnesty International). Uit je antwoorden op de vorige vragen blijkt dat jij de persoonsgegevens verwerkt op basis van de grondslag ‘algemeen belang’.
   • Ja – Geen belemmering. Ga door naar de volgende vraag. Als je je deelnemers nog niet geïnformeerd hebt over de doorgifte, moet je proberen dat alsnog te doen.
   • Nee – Je moet de deelnemers apart om toestemming vragen voor de doorgifte.  
4. Is het doel dat de ontvanger met de gegevens beoogt, verenigbaar met het wetenschappelijke doel waarvoor je de gegevens hebt verzameld?
   • Uitleg: Je mag persoonsgegevens alleen doorgeven als die doorgifte verenigbaar (of: “in lijn”) is met het oorspronkelijke doel. Bij wetenschappelijke instellingen is dat geen probleem, maar bij andere organisaties kan het de doorgifte belemmeren. Zo is doorgifte aan een archief dat opnamen van interviews met oorlogsslachtoffers archiveert, iets anders dan doorgifte aan een instelling die jouw persoonsgegevens wil gebruiken om je deelnemers om een donatie te vragen.
   • Ja –  Geen belemmering. Ga door naar de volgende vraag.
   • Nee – Je moet de deelnemers apart om toestemming vragen voor de doorgifte.
5. Gaat het bij de doorgifte om een organisatie binnen de Europese Economische Regio?
   • Uitleg: De Europese Economisch Regio (EER) bestaat uit de EU, aangevuld met Noorwegen, IJsland en Liechtenstein. Dit zijn de landen waar de AVG van toepassing is. Buiten deze landen is goede rechtsbescherming van persoonsgegevens niet automatisch gegarandeerd.
   • Ja – Je mag de gegevens in beginsel doorgeven.
   • Nee – De kans is groot dat je aanvullende maatregelen moet nemen om de gegevens te mogen doorgeven. Neem contact op met de privacy officers (privacy.gw@uu.nl of privacy.rebo@uu.nl).

Het is beleid van de UU om data ‘zo open als mogelijk en zo gesloten als nodig’ te publiceren.

Veel onderzoekers willen de ruwe data die zijn afgeleid van opnamen (bijv. transcripten of kijktijden) publiceren als open data, in geanonimiseerde vorm. Het grote voordeel daarvan is dat de AVG niet geldt. De AVG is immers niet van toepassing op geanonimiseerde gegevens. In veel gevallen kunnen de oorspronkelijke opnamen vervolgens worden gewist omdat ze geen toegevoegde waarde hebben.

In bepaalde gevallen zijn er echter goede redenen om de oorspronkelijke opnamen juist wél te bewaren. Bijvoorbeeld om te bewijzen dat jouw interviews daadwerkelijk hebben plaatsgevonden, inclusief de gedane uitspraken. Of omdat de manier waaróp iets gezegd wordt of de manier waaróp iemand kijkt, of de manier waaróp de onderzoeker iets heeft geïnterpreteerd, van belang kan zijn voor replicatie of controle van het onderzoek, voor vervolgonderzoek of voor heel ander onderzoek.

Er kunnen dus goede redenen zijn om ook de oorspronkelijke opnamen op de een of andere manier beschikbaar te stellen. Het probleem dat dan ontstaat, is dat de geanonimiseerde dataset die eveneens wordt gepubliceerd, gedeanonimiseerd kan worden op basis van de beschikbaar gestelde opnamen. In die opnamen zijn immers nog identificerende persoonsgegevens aanwezig en die kunnen worden gekoppeld aan de geanonimiseerde gegevens, zodat de anonimisering wordt opgeheven. Dat is onwenselijk, want op gedeanonimiseerde gegevens is de AVG wél weer van toepassing. Dergelijke gegevens mag je niet zomaar publiceren.

Daar is een workaround voor. Ga als volgt te werk:

1. Publiceer de geanonimiseerde transcripten open access, zoals de bedoeling was.
2. Publiceer de oorspronkelijke opnamen zeer restricted access. Hanteer daarbij strenge toegangseisen. Bijvoorbeeld:
   1. Uitsluitend andere onderzoekers toegang kunnen krijgen tot je dataset.
   2. Ze moeten een goed uitgewerkt onderzoeksplan hebben, of iets vergelijkbaars. Dit wordt door jou als oorspronkelijke onderzoeker gecheckt.
   3. Ze moeten naar de UU komen en de opnamen hier ter plaatse bekijken of beluisteren. Zo wordt voorkomen dat ze kopieën van de opnamen maken. Van deze stap kan eventueel worden afgezien wanneer het om triviale, risicoloze persoonsgegevens gaat en de onderzoeker akkoord is gegaan met een kopieerverbod, of wanneer de andere partij een gebleken betrouwbare partner is.
   4. Ze moeten een geheimhoudingsverklaring tekenen waarin ze aangeven geen pogingen te zullen ondernemen om gegevens te deanonimiseren en geen informatie met anderen te zullen delen over toevallig geïdentificeerde personen.

Het is de vraag of de omschrijving “anoniem” dan nog 100% opgaat voor de open access dataset, maar we hebben dan in ieder geval een pakket maatregelen getroffen om de persoonlijke levenssfeer van de betrokkenen te beschermen.

“Pseudonimiseren is niet hetzelfde als anonimiseren. Bij gepseudonimiseerde gegevens is weliswaar niet direct duidelijk over welke personen de gegevens gaan, maar de gegevens kunnen alsnog herleidbaar zijn tot specifieke personen door aanvullende gegevens te gebruiken.” (bron: website van de Autoriteit Persoonsgegevens)

Er zijn situaties waarin je binnen je onderzoek méér persoonsgegevens binnenkrijgt dan waarnaar je op zoek was, of waarin die persoonsgegevens gevoeliger van aard zijn dan verwacht. Dit kan bijvoorbeeld gebeuren wanneer je interviews afneemt of wanneer je in een vragenlijst open vragen stelt. Dergelijke bijvangst kan jou voor problemen plaatsen omdat je vaak geen goede reden hebt om deze persoonsgegevens te verwerken.

Hoe je met deze gegevens omgaat, lees je in de Leidraad bijvangst in wetenschappelijk onderzoek – Ethiek en AVG.

Wat de AVG betreft levert veldwerk in een niet-Westers land enkele knelpunten op die je bij vergelijkbaar onderzoek in een Westers land niet zou tegenkomen, of in mindere mate.

Er zijn tal van omstandigheden die het noodzakelijk kunnen maken om met andere partijen tot formele afspraken te komen over de verwerking van persoonsgegevens, hetzij in de vorm van een overeenkomst, hetzij in de vorm van een regeling of verklaring. We spreken dan van een “instrument”. In bepaalde gevallen komen deze instrumenten bovenop andere overeenkomsten, of worden ze daarin opgenomen. Zo is een verwerkersovereenkomst vaak een bijlage bij een dienstenovereenkomst.

[1] De landen van de EU aangevuld met IJsland, Noorwegen en Liechtenstein