Je gaat onderzoek doen met persoonsgegevens. Geweldig. Maar voordat je ook maar één enquêtestart of één medisch dossier opent, is er iemand die je plan onder de loep neemt: de AVG-officer.
▶Inhoudsopgave
En die heeft hoge verwachtingen. Een halfbakken Data Management Plan waar je wat vage zinnen in hebt geknikkerd? Dat gaat niet werken. In dit artikel lees je precies waar de AVG-officer op let, wat je DMP moet bevatten, en hoe je ervoor zorgt dat je plan niet op de verbranding belandt.
Wat is een Data Management Plan eigenlijk?
Een Data Management Plan — of DMP — is een document waarin je beschrijft hoe je met data omgaat. Niet alleen de mooie grafieken en resultaten, maar alles: hoe je data verzamelt, waar je het opslaat, wie erbij mag, hoe lang je het bewaart, en wat je ermee doet als het onderzoek klaar is. Voor onderzoek met persoonsgegevens is zo'n plan geen luxe.
Het is een must. De AVG — de Algemene Verordening Gegevensbescherming — vereit dat je transparant en verantwoordelijk omgaat met gegevens van mensen.
En een DMP is het bewijs dat je dat ook écht doet.
Wie is de AVG-officer en waarom moet je om hem geven?
De AVG-officer — ook wel DPO, Data Protection Officer, genoemd — is de persoon binnen jouw organisatie die toeziet op de naleving van de AVG. Hij of zij is het aanspreekpunt voor de Autoriteit Persoonsgegevens, de Nederlandse toezichthouder.
De AVG-officer beoordeelt jouw DMP niet omdat het leuk is, maar omdat hij of zij moet voorkomen dat jouw universiteit of onderzoeksinstelling een boete krijgt.
En die boeten zijn behoorlijk pijnlijk: tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. Dus ja, neem die AVG-officer serieus.
Wat checkt de AVG-officer in jouw DMP?
De AVG-officer leest je DMP met een kritische blik. Hieronder de zeven onderdelen waar hij of zij specifijk naar kijkt.
Begin bij het begin: wat voor data gebruik je? Niet alleen namen en adressen tellen als persoonsgegevens. Ook IP-adressen, anonieme codes die terug te leiden zijn naar een persoon, medische gegevens, DNA-profielen, zelfs locatiegegevens — het is allemaal persoonsgegevens volgens de AVG.
1. Welke persoonsgegevens verzamel je precies?
En let op: er is een bijzondere categorie. Gegevens over iemands gezondheid, etniciteit, religie, seksuele geaardheid of politieke overtuigingen vallen onder bijzondere persoonsgegevens.
Die extra bescherming vereisen. Dus wees in je DMP zo specifiek mogelijk: welke data, van wie, en waarom precies die data. Je kunt niet zomaar persoonsgegevens verwerken. De AVG kent zes rechtmatige grondslagen, en je moet aangeven welke van toepassing is.
In onderzoek komt het vaak neer op toestemming of gerechtvaardigd belang. Toestemming klinkt simpel, maar is lastiger dan je denkt.
2. Op welke grondslag verwerk je de data?
De toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. En de deelnemer moet zich altijd nog kunnen terugtrekken. Als je kiest voor gerechtvaardigd belang, moet je een belangenafweging maken en documenteren.
De AVG-officer wil dit allemaal terugzien in je DMP. Geen ruimte voor giswerk.
De AVG-officer wil weten hoe het verzamelproces werkt. Via een online vragenlijst? Telefonisch? Uit bestaande medische dossiers?
3. Hoe verzamel en verwerk je de data?
En belangrijker nog: heb je de data geminimaliseerd? Dat betekent dat je alleen verzamelt wat je écht nodig hebt voor je onderzoeksvraag.
Wil je onderzoeken of bepaalde medicijnen bijwerkingen hebben? Dan heb je waarschijnlijk niet iemans volledige voorgeschiedenis nodig.
Data minimalisatie is een kernprincipe van de AVG, en de AVG-officer zal er scherp op letten. Dit is waar het echt wordt. De AVG-officer wil een concreet beveiligingsplan zien.
4. Hoe veilig sla je de data op?
Niet zoiets als "we beveiligen de data goed", maar écht specifiek: welke encryptie gebruik je?
Wie heeft toegang tot de data? Waar staat de server — binnen de Europese Unie of daarbuiten? Gebruik je wachtwoordbeheer? Worden er back-ups gemaakt en zo ja, hoe en waar? En hoe ga je om met datalekken?
De AVG vereit dat je een lek binnen 72 uur meldt bij de Autoriteit Persoonsgegevens. Heb je een procedure voor klaar?
5. Deel je data met anderen?
Zo niet, tijd om er een te maken. Samenwerking in onderzoek is normaal. Maar het delen van persoonsgegevens met andere onderzoekers, universiteiten of bedrijven is een gevoelig punt.
De AVG-officer wil zien met wie je data deelt, waarom, en welke afspraken je daarover hebt gemaakt.
Een data-overeenkomst — een zogenaamde DPA, of Data Processing Agreement — is dan onmisbaar. En als je data deelt met partijen buiten de EU, wordt het nog ingewikkelder. Denk aan de Verenigde Staten, waar de bescherming van persoonsgegevens niet automatisch op hetzelfde niveau ligt.
6. Hoe ga je om met de rechten van deelnemers?
De AVG-officer zal hier extra kritisch naar kijken. Deelnemers aan je onderzoek hebben rechten.
Het recht om hun data in te zien, te corrigeren, te laten verwijderen, of bezwaar te maken tegen de verwerking. De AVG-officer wil zien dat je een helder proces hebt om met deze verzoeken om te gaan.
Wie behandelt een verzoek? Hoe snel reageerje? Hoe check je de identiteit van de aanvrager? Zorg dat dit proces goed is vastgelegd, zeker omdat reviewers letten op je DMP-kwaliteit.
7. Hoe monitor en evalueer je het hele proces?
Want als een deelnemer belt en niemand weet wat te doen, heb je een probleem.
Een DMP voor je PhD-traject is geen document dat je schrijft en vervolgens in een la laat verdwijnen. De AVG-officer wil zien dat je regelmatig controleert of alles nog werkt zoals beschreven. Voer je periodieke audits uit? Wie doet dat? Hoe vaak? En wat als er iets misgaat — heb je een escalatieproces?
Monitoring en evaluatie laten zien dat je serieus bent over dataprivacy. En dat is precies wat de AVG-officer wil zien.
Tips om je DMP te laten landen
Nu weet je waar de AVG-opper op let. Maar hoe zorg je ervoor dat je DMP er goed uitziet?
Een paar praktische tips. Begin vroeg. Schrijf je DMP al in de planningsfase van je onderzoek, niet als je al bezig bent.
Dan pas je je onderzoeksop aan, en niet andersom. Betrek de AVG-officer tijdig. Wacht niet tot het laatste moment om je plan te laten beoordelen. Een vroeg gesprek kan je veel herwerk besparen.
Wees concreet. Vermijd vage formuleringen. In plaats van "de data wordt veilig opgeslagen", schrijf "de data wordt versleuteld opgeslagen op een server van SURF, toegankelijk voor maximaal drie onderzoekers via tweefactorauthenticatie". Gebruik bestaande tools. De DMPonline tool van DANS helpt je met een gestructureerde aanpak. Ook de VSNU biedt templates en richtlijnen voor onderzoekers.
Houd het plan levend. Een DMP is geen statisch document. Zie het als een waardevol hulpmiddel in plaats van bureaucratie. Update het als je onderzoek verandert, als je nieuwe data-bronnen toevoegt, of als de wetgeving wijzigt.
Conclusie: een goed DMP is geen last, maar een kans
Ik hoor je denken: "Zo veel werk voor een document." Maar kijk het zo: een goed DMP beschermt niet alleen je deelnemers, maar ook jezelf. Het geeft structuur aan je onderzoek, voorkomt dat je data kwijtraakt, en zorgt ervoor dat je niet in de problemen komt met de Autoriteit Persoonsgegevens.
De AVG-officer is niet je vijand — hij of zij is er om je te helpen onderzoek te doen dat zowel wetenschappelijk sterk als ethisch verantwoord is.
Dus neem de tijd, doe het goed, en schrijf een DMP waar je AVG-officer — en jezelf — trots op kan zijn.