Privacybescherming

The best way to protect your participant's privacy may be not to collect certain identifiable information at all. The second best is anonymisation which allows data to be shared whilst protecting participant’s personal information. Anonymisation should be considered in the context of the whole project and how it can be utilised alongside, informed consent and access controls. For example, if a participant consents to their data being shared then the use of anonymisation may not be required | CESSDA, 2017c

Deze paragraaf staat in het teken van de bescherming van de privacy van personen die het onderwerp zijn van een wetenschappelijk onderzoek. Hierbij staan we stil bij (medisch) ethische toetsing en zoomen we in op de Algemene Verordening Gegevensbescherming (AVG) die sinds mei 2018 van kracht is. We kijken in het bijzonder naar anonimisering, pseudonimisering en consent als hulpmiddelen bij het FAIR publiceren van privacygevoelige onderzoeksdata.

Ethiek en de wet

Bij onderzoek waarbij menselijke deelnemers betrokken zijn, hebben onderzoekers de (morele) verplichting om te bekijken of de belangen van de deelnemers - zoals het recht op privacy - niet in het nauw komen.

Onderzoek dat onder de Wet medisch-wetenschappelijk onderzoek met mensen (WMO, Overheid.nl, 1998) valt, moet vooraf door de Centrale Commissie Mensgebonden Onderzoek (CCMO, n.d.a) of een van de andere 19 erkende Medisch Ethische ToetsingCommissie (CCMO, n.d.b.) worden getoetst. Medisch-wetenschappelijk onderzoek valt tevens onder de Algemene Verordening Gegevensbescherming (AVG, Europese Unie, 2016). Andersom valt veel onderzoek waarbij gegevens over personen worden verzameld niet onder de WMO. Voor de toetsing van de ethische aspecten van dit soort onderzoeksprojecten, zoals bijvoorbeeld onderzoek naar sociaal-culturele veranderingen in de maatschappij of onderzoek naar gedrag van mensen, zijn bij veel instellingen ethische toetsingscommissies ingericht. In alle gevallen is het zinvol om de 'toets der ethiek' op een onderzoeksontwerp los te laten. Denk bijvoorbeeld aan de impact van nieuwe technologische ontwikkelingen op het dagelijkse leven. Waar de wet gaat over 'wat er mag', gaat ethiek over 'wat het goede is om te doen'.

Een van de manieren om met een ethisch oog naar het verzamelen en verwerken van data te kijken is met de Data Ethics Decision Aid (Utrecht Data School, 2017). DEDA is een hulpmiddel voor onderzoekers om in een vroeg stadium na te denken over ethische dilemma's. De tool biedt deze mogelijkheid door een aantal open vragen te stellen die helpen om op een constructieve manier over ethische kwesties na te denken. De DEDA geeft geen volledig overzicht van relevante wetten en geeft ook geen advies. Het is een middel voor zelfevaluatie.

De AVG in een notendop

De AVG schrijft voor dat elke onderzoeker binnen de Europese Economische Ruimte die persoonsgegevens verzamelt en bewerkt van een burger van een land, waar ook ter wereld, de privacy van de onderzoeksdeelnemers moet beschermen. De AVG legt daarbij de nadruk op transparantie en duidelijke en begrijpelijke informatie. In onderstaande slideshow passeert een aantal wetenswaardigheden uit en over de AVG de revue.

FAIR data en privacy: maatregelen in beeld

Wat is er nodig om onderzoeksdata met persoonsgegevens FAIR te kunnen publiceren in een data-archief en tegelijkertijd de rechten van de onderzoeksdeelnemers te beschermen? In verschillende stadia van het onderzoek kunnen de volgende maatregelen genomen:

Planfase

Privacy by design in het onderzoeksontwerp
Al in het onderzoeksontwerp wordt het principe van 'Privacy by design' gehanteerd. Denk daarbij aan dataminimalisatie (alleen data verzamelen die strikt noodzakelijk zijn voor het doel van het onderzoek).
Toestemming vragen aan deelnemers
Een onderzoeker kan niet alleen toestemming (consent) vragen voor deelname maar ook voor het publiceren en delen van de data

Wat is consent?

Consent is het proces waarlangs een onderzoeker passende informatie over het onderzoek openbaar maakt, zodat een deelnemer een keuze kan maken om wel of niet mee te doen. Het is een belangrijk instrument om te voldoen aan wettelijk verplichtingen en om de ethisch toets te doorstaan. Consent dient ‘informed’ te zijn en ook ‘freely given’ (vrijwillig), zoals bepaald in de AVG, artikel 4, lid 11.

Enerzijds geeft de onderzoeker zich via het vragen van toestemming rekenschap van zijn/haar verplichtingen om de anonimiteit en vertrouwelijkheid van zijn/haar deelnemers te beschermen; tegelijkertijd is het een wettelijk middel om deelnemers vooraf te vragen of de data gepubliceerd en hergerbuikt mogen worden door anderen.

Zijn er voorbeelden van sjablonen voor het verkrijgen van consent?

Zeker, neem maar eens een kijkje bij:

Een template voor informed consent - in lijn met de AVG - ontwikkeld door TU Delft (Delft University of Technology, n.d.).

Wat is trouwens het verschil tussen consent en informed consent?

In de AVG bestaat alleen de term 'Consent'; de term 'Informed Consent' komt in de AVG niet voor. Deze term komt voort uit de Clinical Trials Regulation (Europese Commissie, 2019).

In de AVG, artikel 4, lid 11 staat over Consent:

'Consent' of the data subject means any freely given, specific, informed and unambiguous indication of the data subject's wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her.

Consent (toestemming) bevat meerdere aspecten:

Freely given;
Specific;
Informed;
Unambiguous indication of the data subject's wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her.

Een van deze vier aspecten is ‘informed’. In die zin kun je spreken van ‘informed consent’ als voorwaarde voor het doel: rechtsgeldige consent. Maar het doel is dus niet 'informed consent’ op zich, wat wel het geval is bij de Clinical Trial Regulations.

Wat zijn goede bronnen voor het verkrijgen van consent voor datapublicatie?

Bekijk de gids 'Informed consent for data sharing' van Universiteit Utrecht, n.d.
Bekijk de CESSDA Data Management Expert Guide (2017a) voor tips.

In present days, not only participation in the research project has to be consented, but also the archiving and sharing of the data. This will result in reproducible research and data with long term value. If appropriate, consent forms should address the possibility of sharing data, future data publication (including storage in a repository) or long-term retention of data for reproducibility | Utrecht University, n.d.

Onderzoeksfase
Tijdens het onderzoek worden data veilig gehouden met een reeks van technische (zoals encryptie) en organisatorische maatregelen (bijvoorbeeld afspraken over wie wanneer toegang heeft tot de data). Zie 'Tips om data veilig te houden', helemaal onderaan de paragraaf 'Data opslaan'.
Oogstfase
Bij het publiceren van de data kunnen data geanonimiseerd of gepseudonimiseerd worden. Als het niet mogelijk is om de data volledig te anonimiseren dan kunnen de data nog steeds gepubliceerd worden in een data-archief door de toegang te controleren en de data in 'restricted access' te publiceren met een machine-leesbare datalicentie. FAIR en open is niet hetzelfde. In dit artikel (Mons, et al., 2017) leggen de auteurs dat uit.

Wat is anonimiseren en pseudonimiseren?

Pseudonimiseren en anonimiseren zijn twee verschillende termen die onder verschillende categorieën vallen in de Algemene Verordening Gegevensbescherming (AVG; Europese Unie, 2016). Terwijl anonimiseren beoogt om onomkeerbaar elke manier om de betrokkene te identificeren onmogelijk te maken, maakt pseudonimiseren het in theorie mogelijk om de betrokkene opnieuw te identificeren met aanvullende informatie. De gegevens worden bij pseudonimisering versleuteld, maar zijn in principe nog steeds te herleiden tot de oorspronkelijke indenteit van de onderzoeksdeelnemer. Pseudonimiseren houdt dus geen anonimiseren in, maar is een methode om privacyrisico's te verkleinen.

Het LCRDM biedt enkele handreikingen bij pseudonimiseren en anonimiseren.

Kunnen data ooit echt anoniem zijn?

Dat hangt af van je definitie van anoniem.

De AVG zegt dat er passende technische maatregelen genomen moeten worden om de data en daarmee de rechten van Europese burgers te beschermen (Europese Commissie, 2016). Daarnaast zouden die maatregelen ook nog volgens de 'huidige stand der techniek' toegepast moeten worden. Maar wat is precies passend? En als data beveiligd is volgens de stand der techniek van vandaag is dat dan voldoende voor die van morgen? Kunnen de anonieme data van vandaag morgen toch niet anoniem blijken? Het zijn allemaal vragen waarop de antwoorden nog niet concreet zijn. Om toch te kunnen werken met anonimisatie als middel, werken instellingen met concept dat ze aantoonbaar hun best hebben gedaan om data te anonimiseren. Zo word anonimiseren dus een juridisch begrip.

Risico-gebaseerde anonimisering is een zinvol hulpmiddel op zoek naar balans tussen het beschermen van het individu en het optimaliseren van het datapotentieel.

Hoe kun je data het beste anonimiseren?

Een aantal ingangen met tips en tools:

OpenAire biedt de tool Amnesia (OpenAIRE, n.d.) welke belooft om identificerende informatie uit data te verwijderen en het daarmee - volgens de huidige stand der techniek - ook echt anoniem te maken. Een casus over het gebruik van Amnesia is beschikbaar op de site van de EOSC-Hub (n.d.).
De CESSDA Data Management Expert Guide biedt een hoofdstuk met uitgebreide tips voor het anonimiseren van onderzoeksdata uit kwantitatief en kwalitatief sociaal wetenschappelijk onderzoek (CESSDA, 2017c).
Kijk voor inspiratie ook eens op de infographic 'A visual guide to pratical de-idenficiation' van het Future of Privacy Forum (2017).

Anonymization is a critical piece of the data-sharing puzzle - by it very nature, it enables the responsible sharing of data for secondary purposes. When we use the term anonymization we mean anonymization that is legally defensable | Privacy Analytics, 2018

In de spotlight

Veel gestelde vragen over de AVG: Een interview met Marlon Domingus

RDNL vroeg Marlon Domingus, functionaris gegevensbescherming bij de Erasmus Universiteit Rotterdam (EUR), om de AVG in het algemeen en de rol van de data supporter in het beantwoorden van privacy-gerelateerde vragen in het bijzonder in een Q&A toe te lichten.

Casus data support in de praktijk: Privacy champions bij de Vrije Universiteit van Amsterdam

Privacy designer: Een tool om privacy by design makkelijker te maken

Privacy designer is een zelfevaluatietool waarmee je de grootste risico's op het gebied van privacy in kaart kunt brengen en vervolgens kunt werken aan het kiezen van de meeste geschikte strategieën van privacy by design (SURF, n.d.a.):

Minder verzamelen;
Splitsen;
Abstract maken;
Verbergen;
Minder bewaren;
Informeren;
Rechten van betrokkenen toepassen;
Afdwingen;
Aantonen.

Iedere strategie wordt uitgelegd aan de hand van voorbeelden uit de praktijk.

Informatiemateriaal voor de vertaalslag van de AVG naar de praktijk

Bronnen die kunnen helpen om de vertaalslag van wet naar praktijk te maken zijn:

De AVG in een notendop (Autoriteit Persoonsgegevens, n.d.);
De gids 'Handling Personal data' van RDM Support (Universiteit Utrecht, n.d.)
Handreikingen Privacy (LCRDM. n.d.b).
De CESSDA Data Management Expert Guide geeft praktisch advies over informed consent en anonimiseren (CESSDA, 2017 a,b,c).

Online cursussen

Een online module ‘Privacy in research’ (SURF, Erasmus Universiteit Rotterdam, 2019).
De online cursus ‘Protecting health data in the modern age’ op het leerplatform FutureLearn (University of Groningen, 2019).

Cases over privacybescherming en datapublicatie

Ook buiten interviewprojecten om kun je te maken krijgen met persoonsgegevens. Zo moesten de persoonsgegevens uit real life event logs (van Dongen, 2011) uit Eindhoven eerst weggepoetst worden voordat open access in 4TU.Centre for Research Data konden worden opgenomen.
Het artikel 'Realities of data sharing using the genome wars as case study - an historical perspective and commentary' geeft een historisch overzicht van de dilemma's en krachten die speelden bij het human genome project: hoe verhoudden privacy en open access zich tot elkaar? (Jasney, 2013).
Een casus over het gebruik van Amnesia is beschikbaar op de site van de EOSC-Hub (n.d.).

Bronnen

Klik om te openen/sluiten

Autoriteit Persoonsgegevens (n.d.) De AVG in een notendop. https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/notendop_avg.pdf

CCMO (n.d.a.). Centrale Commissie Mensgebonden Onderzoek. https://www.ccmo.nl/

CCMO (n.d.a.).Centrale Commissie Mensgebonden Onderzoek. Erkende METC's. https://www.ccmo.nl/metcs/erkende-metcs

CESSDA (2017a). Data Management Expert Guide. Informed consent. https://www.cessda.eu/Training/Training-Resources/Library/Data-Management-Expert-Guide/5.-Protect/Informed-consent

CESSDA (2017b). Data Management Expert Guide. Processing personal data. https://www.cessda.eu/Training/Training-Resources/Library/Data-Management-Expert-Guide/5.-Protect/Processing-personal-data

CESSDA (2017c). Data Management Expert Guide. Anonymisation. https://www.cessda.eu/Training/Training-Resources/Library/Data-Management-Expert-Guide/5.-Protect/Anonymisation

CESSDA (2017d). Data Management Expert Guide. Informed Consent. https://www.cessda.eu/Training/Training-Resources/Library/Data-Management-Expert-Guide/5.-Protect/Informed-consent

DANS (n.d.d.). Getuigenverhalen. http://getuigenverhalen.nl/

Delft University of Technology (2018). Template informed consent form. https://www.tudelft.nl/over-tu-delft/strategie/integriteitsbeleid/human-research-ethics/informed-consent-templates-and-guide

Europese Commissie (2018). Ethics and data protection. https://ec.europa.eu/research/participants/data/ref/h2020/grants_manual/hi/ethics/h2020_hi_ethics-data-protection_en.pdf

Europese Commissie (2019). Clinical Trials Regulation. https://eur-lex.europa.eu/eli/reg/2014/536/2022-12-05§

Europese Unie (2016). VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD. https://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32016R0679&from=en

Future of Privacy Forum (2017). A visual guide to practical de-identifcation. https://fpf.org/wp-content/uploads/2017/06/FPF_Visual-Guide-to-Practical-Data-DeID.pdf

LCRMD (n.d.b.) Handreikingen privacy. https://www.lcrdm.nl/handreikingen-privacy

Mons et al. (2017). Cloudy, increasingly FAIR; revisiting the FAIR Data guiding principles for the European Open Science Cloud. Information Services & Use, vol. 37, no. 1, pp. 49-56. https://doi.org/10.3233/ISU-170824

OpenAIRE (n.d.). Amnesia. https://amnesia.openaire.eu/

Privacy Analytics (2018). The five safes of risk-based anonymisation.https://privacy-analytics.com/wp-content/uploads/dlm_uploads/2020/06/5-SAFES-WHITE-PAPER_FINAL_ELECTRONIC.pdf

SURF e.a. (n.d.) Privacy designer. https://www.privacydesigner.nl

SURF, Erasmus University (2019). Privacy in research [Online course]. https://maken.wikiwijs.nl/125518/Privacy_in__Research

Utrecht Data School (2017). DEDA for Research.https://survey2.hum.uu.nl/index.php/778777?newtest=Y&lang=en

Utrecht University (n.d.). RDM Support. Informed consent for data sharing [Guide]. https://www.uu.nl/en/research/research-data-management/guides/informed-consent-for-data-sharing

University of Groningen (2019). Protecting Health Data in the Modern Age: Getting to Grips with the GDPR [Online course]. https://www.futurelearn.com/courses/protecting-health-data