Je hebt een mooi onderzoek afgerond, je data staat klaar, en je wilt het uploaden naar een repository. Klinkt simpel, toch? Maar wacht even.
▶Inhoudsopgave
Voordat je op die uploadknop drukt, is er één ding dat je écht goed moet checken: voldoet je data aan de GDPR? Want in 2026 is dat geen kleine bijzaak meer. Het is een harde eis. En als je het niet goed doet, loop je risico op boetes, reputatieschade, of erger: je onderzoek wordt niet gepubliceerd omdat de repository je data weigert.
Geen paniek. In dit artikel neem ik je mee door de belangrijkste dingen die je moet controleren voordat je data uploadt.
Geen droge juridische taal, maar praktisch en to-the-point. Precies wat je nodig hebt als onderzoeker die gewoon aan de slag wil — maar wel op de juiste manier.
Waarom GDPR steeds belangrijker wordt voor repositories
Laten we even terugkijken. De AVG — of GDPR, zoals de rest van Europa zegt — bestaat al sinds 2018. Maar in 2026 is de wereld er heel anders uitgezien.
Toezichthouders zijn strenger geworden. Boetes lopen op tot 20 miljoen euro of 4% van de wereldwijde omzet — afhankelijk van wat het hoogst is.
En dat zijn geen theoretische bedragen. Bedrijven en universiteiten zijn er al mee geconfronteerd.
Maar het gaat verder dan alleen boetes. De Europese Commissie heeft de handhaving flink aangescherpt. De zogenaamde One-Stop-Shop-procedure — waarbij je in één land je compliance regelt als je in meerdere EU-landen actief bent — werkt nu beter.
Dat klinkt positief, maar het betekent ook dat toezichthouders makkelijker onderling samenwerken.
Als je ergens een fout maakt, wordt die sneller opgemerkt. En dan heb je nog de Data Protection Impact Assessments, of DPIA's. Die zijn inmiddels verplicht voor bijna elke vorm van dataverwerking die een hoog risico oplevert voor de privacy van personen. Voor onderzoeksdata geldt: als je werkt met persoonsgegevens — en dat doe je vaker dan je denkt — dan moet je een DPIA hebben.
En die moet ook écht goed zijn. Niet zomaar een formulier invullen en doorsturen, maar een echte analyse van de risicoen en de maatregelen die je neemt om die risico's te beperken.
Wat betekent dit concreet voor jouw upload?
Oké, nu het belangrijkste. Je staat voor je scherm, je data is klaar, en je wilt uploaden naar een repository zoals DANS, Zenodo, Figshare, of een eigen institutie-repository.
1. Heb je echt alleen de data die je nodig hebt?
Wat moet je dan controleren? Hieronder de vijf belangrijkste punten. Dit heet data minimization, en het is een van de kernprincipes van de GDPR. De regel is simpel: verzamel en bewaar alleen wat je echt nodeg hebt voor je onderzoek.
Kijk kritisch naar je dataset. Staat erin wat niet relevant is?
Dan moet het eruit. Voordat je uploadt, vraag jezelf af: heb ik dit écht nodig?
2. Kun je data ook weer verwijderen als iemand dat vraagt?
Kan ik mijn onderzoeksvraag beantwoorden zonder deze specifieke gegevens? En als je persoonsgegevens hebt — bijvoorbeeld namen, e-mailadressen, IP-adressen, of zelfs anonieme codes die terug te herleiden zijn naar een persoon — dan is pseudonimisering je beste vriend. Vervang herleidbare gegevens door codes, en bewaar de sleutel om die codes te ontcijferen op een aparte, beveiligde plek.
De repository zelf mag die sleutel niet bevatten. Mensen hebben recht op toegang tot hun gegevens, recht op correctie, en recht op verwijdering.
Dat laatste staat bekend als het recht om te worden vergeten. En hier wordt het lastig voor repositories. Stel: iemand vraagt of zijn of haar data wordt verwijderd.
Dan moet jij — of de repository — daar aan voldoen. Maar wat als je data hebt ondergebracht in een repository buiten je eigen vakgebied en de data al is gedownload door anderen?
3. Is transparantie gegarandeerd?
Wat als er backups zijn? In 2026 wordt hier steeds strenger naar gekeken.
Zorg daarom dat je repository een duidelijk protocol heeft voor verwijderingsverzoeken. En check vooraf: hoe lang wordt je data bewaard en ondersteunt de repository die je kiest dit proces? Vraag het na.
Het is je verantwoordelijkheid. Transparantie is geen buzzword — het is een wettelijke eis. Als je data uploadt, moet duidelijk zijn wie de data verzamelt, waarvoor hij wordt gebruikt, hoe lang hij wordt bewaard, en wie er toegang toe heeft. Dit geldt zowel voor de repository zelf als voor jou als onderzoeker.
Check de privacyverklaring van de repository. Is die duidelijk en begrijpelijk? Wil je je data tijdelijk afschermen? Leer dan wanneer je een data-embargo instelt.
4. Hoe is de data beveiligd?
Wordt er uitgelegd welke cookies worden gebruikt? Wordt er vermeld met wie data wordt gedeeld?
En belangrijk: heb jij zelf ook een duidelijke informatieverstrekking aan je proefpersonen of respondenten? Zonder geldige toestemming of een andere wettelijke grond mag je simpelweg niet uploaden. Repositories moeten technische en organisatorische maatregelen nemen om data te beveiligen.
Maar jij als uploader draagt ook verantwoordelijkheid. Check of de repository gebruikmaakt van versleuteling — zowel bij opslag als bij overdracht.
Kijk of er regelmatig beveiligingsaudits worden uitgevoerd. En vraag of er een incidentresponseplan is: wat gebeurt er als er een datalek optreedt? In 2026 is cybersecurity geen nice-to-have meer.
5. Gaat data de EU uit?
Het is een basisvereiste. Als je repository hier geen duidelijke antwoorden op kan geven, dan is dat een serieus signaal om verder te kijken.
Veel populaire repositories — denk aan Zenodo, dat beheerd wordt door CERN in Zwitserland, of Amerikaanse platforms — slaan data op buiten de Nederlandse grens, soms zelfs buiten de EU. Dat is niet per se een probleem, maar het vereist wel extra voorzichtigheid.
Als data naar de Verenigde Staten wordt overgebracht, kun je vertrouwen op het EU-US Data Privacy Framework.
Maar check of de ontvangende partij daadwerkelijk gecertificeerd is onder dat framework. Voor andere landen kun je gebruikmaken van Standaardcontractclausules, of SCC's. Het punt is: weet waar je data staat, en zorg dat de juridische dekking op orde is.
De spanning tussen Open Science en privacy
Hier zit een interessante paradox. Open Science wil dat data zo open mogelijk is: vindbaar, toegankelijk, herbruikbaar.
De GDPR wil dat data zo beschermd mogelijk is. Die twee doelen lijken elkaar tegen te werken. Maar dat hoeft niet.
De FAIR-principes — Findable, Accessible, Interoperable, Reusable — zijn nog steeds de gouden standaard voor onderzoeksdata. Maar in 2026 voegen we daar een vijfde principe aan toe, informeel wel P voor Privacy genoemd.
Het gaat erom dat je data FAIR maakt zonder de privacy te schenden. Hoe?
Door slim te werken met toegangsbeheer. Niet alle data hoeft openbaar te zijn. Je kunt metadata openbaar maken — zodat anderen kunnen zien dat je data bestaat — terwijl de daadwerkelijke dataset alleen toegankelijk is na aanvraag en goedkeuring. Datamanagementplannen spelen hierbij een cruciale rol.
Voordat je begint met dataverzameling, bedenk al wie wat mag zien, hoe lang je data bewaart, en wat je doet met verzoeken om verwijdering. Documenteer dit. Niet alleen voor de GDPR, maar ook voor jezelf. Want over twee jaar, als iemand vraagt waarom je bepaalde keuzes hebt gemaakt, ben je blij dat je het hebt opgeschreven.
Wat kun je vandaag nog doen?
Je hoeft niet te wachten tot 2026 om je huis op orde te krijgen. Begin nu.
Neem je meest recente dataset en loop de vijf controlepunten door. Vraag je bibliotheek of research support office om hulp — die bestaat precies voor dit soort vragen. Check of je institutionele repository voldoende GDPR-voorzieningen heeft.
En praat met je collega's: deel ervaringen, wijs elkaar op risico's, en leer van elkaars fouten. GDPR-compliance is geenmalige actie.
Het is een continu proces. Maar als je nu de tijd neemt om het goed te doen, dan hoef je je later geen zorgen te maken.
Je data is veilig, je onderzoek is betrouwbaar, en je upload gaat gesmeerd. En dat, vriend, is het waard.