AVG

Op deze pagina lees je meer over de AVG (Algemene Verordening Gegevensbescherming) inhoudt en wat ze betekent voor onderwijs en onderzoek.

Wat is de AVG?

De AVG heeft per 25 mei 2018 de Wet bescherming persoonsgegevens in Nederland vervangen. Deze EU-verordening (in het Engels GDPR) is van toepassing op de verwerking van persoonsgegevens en zorgt ervoor dat in heel Europa dezelfde wetgeving voor privacy geldt.

De AVG:

  • Geeft meer rechten aan personen van wie de gegevens verwerkt worden;
  • Legt meer plichten op aan organisaties en bedrijven die gegevens verwerken;
  • Geeft de toezichthoudende autoriteit (in Nederland is dit de Autoriteit Persoonsgegevens) de bevoegdheid tot het opleggen van hoge boetes als de AVG niet wordt nageleefd.

Wat zijn persoonsgegevens?

Alle gegevens waarmee een persoon bewust rechtstreeks of indirect geïdentificeerd kan worden. Voorbeelden hiervan zijn: naam, (e-mail)adres, telefoonnummer, zoekgedrag, IP-adres, et cetera. Bijzondere persoonsgegevens zoals gevoelige gegevens over religie, ras of gezondheid, worden extra beschermd.

Wat is verwerken?

Dit is een ruim begrip. Termen als verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, et cetera vallen daaronder. Zelfs het meekijken op iemands scherm is verwerken. Verwerken is daarmee feitelijk alles wat je met persoonsgegevens kunt doen.

Wanneer mag je verzamelde persoonsgegevens verwerken?

Het verwerken (gebruiken) van persoonsgegevens is alleen rechtmatig wanneer je een rechtmatige grondslag hebt. Je hebt een rechtmatige grondslag voor de verwerking van persoonsgegevens als je aan een van de volgende voorwaarden voldoet:

  • Je hebt toestemming van de betrokkene;
  • Je moet de persoonsgegevens verwerken voor de uitvoering van een overeenkomst  waarbij de betrokkene partij is;
  • Je moet de persoonsgegevens verwerken om te voldoen aan een wettelijke verplichting;
  • Je moet de persoonsgegevens verwerken om de vitale belangen van betrokkene of een ander te beschermen;
  • Je moet de persoonsgegevens verwerken omdat je een taak van algemeen belang of openbaar gezag vervult;
  • Je hebt een gerechtvaardigd belang om de persoonsgegevens te verwerken en dit belang weegt zwaarder dan het belang van de betrokkene.

Bovenstaande geldt alleen voor de opgegeven duur en het specifieke doel waarvoor je de gegevens hebt verzameld. Let wel: de toestemming van de betrokkene mag ook weer door hem of haar ingetrokken worden. De betrokkene heeft daarnaast ook recht op onder andere inzage, verwijdering of correctie.

De AVG en onderzoek

Tijdens je onderzoek zul je jezelf steeds de volgende vragen moeten stellen als je persoonsgegevens verwerkt of wilt gaan verwerken:

  • Gebruik je de persoonsgegevens alleen voor het doel van je onderzoek?
  • Heb je een rechtmatige grondslag voor de verwerking van de persoonsgegevens?
  • Gebruik je alleen die gegevens die noodzakelijk zijn om het vastgestelde doel te bereiken?
  • Heb je de betrokkenen vooraf geïnformeerd over het doel van de gegevensverwerking?
  • Heb je de persoonsgegevens goed beveiligd en heb je nagedacht over de wijze waarop je de gegevens opslaat, (digitaal) verstuurd, et cetera?
  • Kloppen de persoonsgegevens nog die je hebt gebruikt?
  • Heb je de gegevens echt nog nodig na een bepaalde periode? Zo nee, verwijder de gegevens dan.

Privacy by Design en Privacy by Default

In het onderzoeksplan moet helder beschreven staan hoe je de privacy gaat waarborgen en of bij iedere stap in het onderzoeksproces hiervoor de juiste technische en organisatorische (beveiligings)maatregelen treft. Het principe van dataminimalisatie kan hierbij helpen: verzamel geen (gevoelige) gegevens die niet echt nodig zijn voor het onderzoek.

Data Protection Impact Assessment (DPIA)

De DPIA is een risico-assessment dat dient plaats te vinden voordat je persoonsgegevens gaat verwerken. De DPIA laat op een gestructureerde manier de risico's met betrekking tot de omgang met persoonsgegevens binnen een onderzoek zien. Een DPIA uit (laten) voeren is verplicht wanneer er op grote schaal persoonsgegevens verwerkt of systematisch geëvalueerd zullen gaan worden. Als je twijfelt, vraag dan aan de functionaris gegevensbescherming (FG) of privacy-contactpersoon (PCP) van je instelling of een DPIA nodig is.

Vragen?

Heb je naar aanleiding van deze pagina nog vragen? Neem dan contact op met een van de medewerkers van het Auteursrechten informatiepunt (AIP) van je instelling.