FAIR data principes in de praktijk

AVG en FAIR data: wat je mag publiceren als je met persoonsgegevens werkt

Lieke de Vries Lieke de Vries
· · 9 min leestijd

Je wilt je onderzoeksdata delen. Open, vindbaar, herbruikbaar — precies zoals FAIR data bedoeld is.

Inhoudsopgave
  1. FAIR data en privacy: een spagaat die best te dichten is
  2. Wanneer bevat je data persoonsgegevens volgens de AVG?
  3. Wat mag je publiceren als onderzoeker?
  4. De praktijk: hoe je FAIR én AVG-compliant werkt
  5. Veelgemaakte fouten bij het delen van onderzoeksdata
  6. De rol van de Autoriteit Persoonsgegevens
  7. Samengevat: je hoeft niet te kiezen tussen FAIR en AVG
  8. Veelgestelde vragen

Maar dan komt erbij dat je dataset persoonsgegevens bevat. En ineens staan je plannen stil.

Want mag dat wel? Hoe combineer je transparantie met privacy? En waar ligt nou precies de grens?

Goed nieuws: het hoeft geen onoplosbaar probleem te zijn. Maar je moet wel weten waar je aan toe bent. Want FAIR data en de AVG botsen niet per se — ze vragen alleen om een bewuste aanpak.

FAIR data en privacy: een spagaat die best te dichten is

FAIR staat voor Findable, Accessible, Interoperable en Reusable. Het idee is simpel: onderzoeksdata moet zoveel mogelijk beschikbaar zijn voor de wetenschappelijke wereld.

Maar de AVG zegt iets anders: persoonsgegevens beschermen, en ze zeker niet zomaar publiceren.

De kern van het dilemma? FAIR wil openheid. De AVG wil bescherming. En jij zit er tussenin als onderzoeker.

Maar hier is het belangrijke: FAIR betekent niet automatisch "open voor iedereen". FAIR betekent dat data vindbaar en toegankelijk is — maar toegankelijkheid kan goed worden geregeld met toegangsbeheer. Je mag dus een dataset FAIR maken zonder die voor de hele wereld open te zetten. Dat is een misverstand dat veel onderzoekers nog hebben.

Wanneer bevat je data persoonsgegevens volgens de AVG?

De AVG kijkt naar persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Dat klinkt abstract, maar het is breder dan je denkt.

Denk aan: Zelfs gepseudonimiseerde data kan nog persoonsgegevens zijn. Want als je met een sleutel de gegevens weer aan een persoon kunt klinken, telt het onder de AVG.

  • Naam, adres, e-mailadres
  • Burgerservicenummer (BSN)
  • IP-adres, device-ID
  • Combinaties van gegevens die samen iemand kunnen identificeren — bijvoorbeeld leeftijd, postcode en beroep

Alleen anonimiseerde gegevens — waar geen enkele herleiding naar een persoon meer mogelijk is — vallen buiten de AVG. Dit is waar het vaak misgaat. Pseudonimisering betekent dat je directe identificatoren vervangt door codes.

Het verschil tussen pseudonimisering en anonimisering

Maar de data is nog steeds persoonsgegevens onder de AVG, omdat herleiding mogelijk is. Anonimisering gaat verder: je verwijdert of vervangt alle gegevens die iemand zouden kunnen identificeren, en dat is onomkeerbaar.

Pas dan valt je dataset buiten de AVG. Maar echt anonimiseren is lastiger dan het klinkt, vooral bij kleine steekproeven of unieke combinaties van variabelen.

Wat mag je publiceren als onderzoeker?

Het korte antwoord: je mag persoonsgegevens alleen publiceren als je een geldige grondslag hebt om dat te doen. De AVG kent zes grondslagen, maar voor onderzoek zijn er twee relevant: De deelnemer heeft expliciet toestemming gegeven voor het publiceren van de gegevens. Let op: die toestemming moet vrijwillig, specifiek en geïnformeerd zijn.

1. Toestemming

"Ja, je mag met mijn gegevens doen wat je wilt" telt niet.

2. Gerechtvaardigd belang of publieke taak

De deelnemer moet precies weten waar ze toestemming voor geven. Voor universiteiten en onderzoeksinstellingen kan de publieke taak (wetenschappelijk onderzoek) een grondslag zijn.

Maar dan moet je wel een belangenafweging maken: weegt het belang van publicatie op tegen de privacyrisico's voor de deelnemer? In de praktijk betekent dit: als je geen toestemming hebt voor openbare publicatie, kun je data het beste delen via beheerde toegang. Dat betekent dat andere onderzoekers de data kunnen opvragen, maar alleen na goedkeuring en onder voorwaarden.

De praktijk: hoe je FAIR én AVG-compliant werkt

Laat het nu concreet worden. Wat doe je als je een dataset hebt met persoonsgegevens en je wilt die zo FAIR mogelijk maken, terwijl je rekening houdt met het onderscheid tussen FAIR en open data?

Stap 1: anonimiseer zoveel mogelijk

Verwijder of pseudonimiseer directe identificatoren. Denk aan namen, adressen, BSN.

Stap 2: maak data vindbaar zonder ze open te zetten

Kijk kritisch naar je variabelen: kun je iets herleiden naar een individu? Bij kleine groepen of zeldzame kenmerken is het risico groter. Een metadata-versie van je dataset publiceren — zonder de persoonsgegevens — is een goede manier om vindbaarheid te creëren. Andere onderzoekers zien dat de dataset bestaat, wat erin zit, en onder welke voorwaarden ze toegang kunnen krijgen.

Stap 3: regel toegangsbeheer voor de volledige dataset

Dat is FAIR, zonder dat je privacy schendt. Als de data te gevoelig is voor open publicatie, gebruik dan een beheerd toegangsmodel voor data achter een login.

Stap 4: documenteer alles in een Data Management Plan

In Nederland bieden zoals DANS (Data Archiving and Networked Services) mogelijkheden om data onder voorwaarden te delen. Andere onderzoekers dienen een aanvraag in, je beoordeelt of ze betrouwbaar zijn, en ze krijgen alleen toegang tot wat ze nodig hebben. Een goed Data Management Plan (DMP) laat zien hoe je met persoonsgegevens omgaat.

Welke grondslag je gebruikt, hoe je anonimiseert, hoe je toegang regelt. Nederlandse onderzoeksfinanciers zoals NWO en de EU vragen steeds vaker om een DMP. En het helpt jezelf ook om helder te hebben wat je wel en niet mag.

Veelgemaakte fouten bij het delen van onderzoeksdata

Er zijn veelgemaakte fouten bij het FAIR maken die onderzoekers tegenkomen. Even op een rijtje:

  • "Onze dataset is anonimiseerd, dus we mogen hem open publiceren." — Weet je het zeker? Echt onomkeerbaar? Bij kleine datasets of unieken combinaties is re-identificatie vaak makkelijker dan je denkt.
  • "We hebben toestemming voor het onderzoek, dus we mogen ook de data delen." — Toestemming voor dataverwerking is niet automatisch toestemming voor openbare publicatie. Check de toestemmingsverklaring.
  • "FAIR betekent open, dus we moeten alles publiceren." — Nee. FAIR betekent vindbaar en toegankelijk onder voorwaarden. Gesloten toegang kan perfect FAIR zijn.
  • "We delen de data gewoon via een e-mail als iemand vraagt." — Dat is niet AVG-compliant. Je hebt een grondslag nodig voor elke vorm van delen, en je moet dat ook documenteren.

De rol van de Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP) houdt in Nederland toezicht op de naleving van de AVG. Als je persoonsgegevens verwerkt — en publiceren is ook verwerking — moet je je houden aan de regels.

De AP benadrukt dat toestemming specifiek moet zijn. Als je deelnemers hebt verteld dat hun gegevens anoniem worden gebruikt voor onderzoek, kun je die gegevens niet zomaar hergebruiken voor een ander doel of ze openbaar maken zonder nieuwe toestemming. Bij schending van de AVG kunnen boetes oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet — voor organisaties. Voor individuele onderzoekers is de kans op een directe boete kleiner, maar de reputatieschade en de gevolgen voor je onderzoeksinstelling kunnen aanzienlijk zijn.

Samengevat: je hoeft niet te kiezen tussen FAIR en AVG

Het is geen of-of. Je kunt je data FAIR maken én de AVG naleven.

Het vraagt alleen om doordachtheid: anonimiseer waar je kunt, regel toegangsbeheer waar je moet, documenteer je keuzes, en wees transparant tegenover je deelnemers.

De beste start? Bespreek het vroeg in je onderzoek met je privacy officer of data steward. Die mensen bestaan op vrijwel elke Nederlandse universiteit, en ze helpen je graag voordat je in problemen komt — niet nadat het te laat is.

Veelgestelde vragen

Kan ik data FAIR maken zonder de privacy van individuen te schenden?

Ja, dat is zeker mogelijk! FAIR data vereist vindbaarheid en toegankelijkheid, maar je kunt dit bereiken door toegangsbeheer te implementeren. Dit betekent dat je de dataset niet automatisch voor iedereen openzet, maar wel regels stelt voor wie toegang heeft en wat ze ermee mogen doen, waardoor de privacy van de deelnemers wordt beschermd.

Wat wordt precies verstaan onder ‘persoonsgegevens’ volgens de AVG?

Onder ‘persoonsgegevens’ vallen alle informatie die een individu identificeert, zoals namen, adressen of e-mailadressen.

Wanneer is data echt beschermd tegen de AVG, en wanneer niet?

Zelfs pseudonimiseerde data kan nog steeds als persoonsgegevens worden beschouwd als herleiding naar een persoon mogelijk is, bijvoorbeeld door het gebruik van sleutels. Het is dus belangrijk om te overwegen of herleiding mogelijk is.

Wat zijn de belangrijkste verschillen tussen pseudonimisering en anonimisering?

Data valt buiten de reikwijdte van de AVG als deze volledig is geanonimiseerd, wat betekent dat er geen enkele mogelijkheid meer is om de data te koppelen aan een specifiek persoon. Echter, het anonimiseren is vaak complexer dan het lijkt, vooral bij kleine datasets of unieke combinaties van variabelen. Daarom is het cruciaal om dit zorgvuldig te beoordelen.

Welke gronden zijn er om persoonsgegevens te delen in onderzoek, volgens de AVG?

Pseudonimisering vervangt directe identificatoren door codes, waardoor directe identificatie van individuen wordt bemoeilijkt, maar herleiding nog steeds mogelijk is.

Anonimisering daarentegen verwijdert alle gegevens die een persoon zouden kunnen identificeren, en dit proces is onomkeerbaar, waardoor de data buiten de AVG valt. Onderzoekers mogen persoonsgegevens alleen publiceren als er een geldige grondslag is, zoals expliciete toestemming van de deelnemers of wanneer het delen van informatie noodzakelijk is voor het welzijn van een kind. Het delen van data moet noodzakelijk, proportioneel en relevant zijn voor het onderzoek.

Lees ook
Wat zijn FAIR data principes en waarom doet elke Nederlandse onderzoeker er iets mee in 2026 Het verschil tussen FAIR data en open data: wat je als onderzoeker moet weten Findable: hoe zorg je dat jouw onderzoeksdata écht gevonden wordt via Google Dataset Search Accessible: wat betekent toegankelijkheid voor data die achter een login zit Interoperable: waarom jouw dataformaat bepaalt of collega's jouw data kunnen gebruiken Reusable: de vijf dingen die jouw dataset herbruikbaar maken voor andere onderzoekers
Lieke de Vries
Lieke de Vries
Expert in Open Science principes

Lieke adviseert onderzoekers over het publiceren van FAIR data volgens de nieuwste normen.

Meer over FAIR data principes in de praktijk

Bekijk alle 42 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat zijn FAIR data principes en waarom doet elke Nederlandse onderzoeker er iets mee in 2026
Lees verder →