AVG: hoe zorg ik ervoor dat de verwerking van persoonsgegevens rechtmatig gebeurt?

De verwerking van persoonsgegevens is alleen rechtmatig als die voldoet aan een van de voorwaarden of rechtsgronden van de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR).

Het is heel belangrijk om aan de start van je onderzoek de toepasselijke rechtsgrond voor de verwerking aan te duiden (in het AVG-register).

Er kan slechts één rechtsgrond zijn per doeleinde van gegevensverwerking. Maar, meerdere doeleinden kunnen gekoppeld zijn aan meerdere rechtsgronden. De verwerking van persoonsgegevens met het oog op wetenschappelijk onderzoek is mogelijks gebaseerd op het algemeen belang, terwijl je de toestemming van de betrokkenen nodig hebt om hun persoonsgegevens (bv. mailadressen) te verwerken voor het verzenden van een nieuwsbrief.

De verwerking van persoonsgegevens in je onderzoek zal gebaseerd zijn op een van de onderstaande zes rechtsgronden:

1. Toestemming

De betrokkenen hebben (expliciet) toestemming gegeven voor de verwerking van hun persoonsgegevens voor een of meer specifieke doeleinden.

Het is belangrijk om die toestemming als rechtsgrond in de AVG te onderscheiden van een ethische toestemming (als waarborg). Het is mogelijk dat je omwille van ethische redenen toestemming nodig hebt van de deelnemers om aan een bepaald onderzoek deel te nemen (dat kan wettelijk verplicht zijn of ethisch aanbevolen). Hoewel beide gecombineerd kunnen worden, is de ethische toestemming niet noodzakelijk onderworpen aan dezelfde voorwaarden als de toestemming als rechtsgrond in de AVG.

Er dient ook een onderscheid worden gemaakt tussen, enerzijds, de geïnformeerde toestemming met deelname aan een onderzoek (ethisch), en, anderzijds, de toestemming als grondslag voor de verwerking van persoonsgegevens die ermee gepaard gaat.

De toestemming als rechtsgrond moet volgens de AVG aan een aantal voorwaarden voldoen om geldig te zijn.

Daarnaast hebben betrokkenen ook verschillende rechten met betrekking tot de verwerking van hun persoonsgegevens. Betrokkenen kunnen op basis van de AVG bijvoorbeeld hun toestemming op elk moment weer intrekken; dat heeft tot gevolg dat er geen verdere verwerking van de reeds verzamelde persoonsgegevens meer kan plaatsvinden.

Als verantwoordelijke onderzoeker dien je te kunnen aantonen dat de betrokkene toestemming heeft gegeven.

2. Algemeen belang

Onderzoeksprojecten die persoonsgegevens verwerken kunnen ook uitgevoerd worden omdat dat noodzakelijk is om een taak van algemeen belang te vervullen (‘algemeen belang’).

Die rechtsgrond kan je enkel hanteren wanneer je kan aantonen dat er voor de verwerking van bepaalde persoonsgegevens een dringende maatschappelijke noodzaak bestaat. Dat betekent dat er een uitdrukkelijke kennisvermeerdering moet zijn in het belang van de maatschappij. Dat is echter niet standaard toepasbaar op het merendeel van het onderzoek. Dat kan bijvoorbeeld wel het geval zijn bij onderzoek naar armoedebestrijding.

Noteer dat de taak van algemeen belang door een norm moet opgedragen zijn aan de verwerkingsverantwoordelijke. Die taak moet vastgelegd worden in het nationaal recht van een lidstaat. Enkel als er een lidstaatrechtelijke basis is voor het onderzoek, kan die rechtsgrond ingeroepen worden.

In de oprichtingsdecreten van de UGent is het verrichten van wetenschappelijk onderzoek vastgelegd als een van de taken van de UGent; ook in de Codex Hoger Onderwijs wordt dat als taak toegekend aan de universiteiten.

Het toepassingsgebied van deze rechtsgrond is potentieel zeer ruim. Je zal geval per geval moeten nagaan of de taak van algemeen belang de verwerking rechtvaardigt.

Het gebruik van de rechtsgrond algemeen belang vereist dus een maatschappelijke noodzaak, een kennisvermeerdering voor de maatschappij en een uitdrukkelijke taak in het algemeen belang opgedragen aan de UGent.

Bij onderzoek gesponsord door farmaceutische bedrijven, zullen die bedrijven als verwerkingsverantwoordelijken de rechtsgrond bepalen. Die farmaceutische bedrijven kunnen zich niet beroepen op de rechtsgrond van algemeen belang.

3. Gerechtvaardigd belang

De verwerking is noodzakelijk om de gerechtvaardigde belangen te behartigen van de instelling of organisatie, of van een derde.

Om je als onderzoeker op deze rechtsgrond te kunnen beroepen moet je nagaan of de volgende 3 voorwaarden cumulatief vervuld zijn:

  • jij als onderzoeker namens de UGent (verwerkingsverantwoordelijke) of een derde streven een gerechtvaardigd belang na;
  • de verwerking van persoonsgegevens is noodzakelijk voor de realisatie van dit gerechtvaardigd belang;
  • de fundamentele rechten en vrijheden van de betrokkene prevaleren niet.
    • In het geval van kinderen is dit doorgaans niet het geval. Bijgevolg is het inroepen van gerechtvaardigd belang als rechtsgrond bij de rechtstreekse (primaire) verwerving van persoonsgegevens bij kinderen in het kader van wetenschappelijk onderzoek quasi onmogelijk.
    • Bij de secundaire verwerking van persoonsgegevens kan je die rechtsgrond eventueel wel gebruiken op voorwaarde er strikte waarborgen zijn ingesteld (bv. pseudonimisering).

Tot slot kan je de rechtsgrond gerechtvaardigd belang niet inroepen voor die taken die de UGent als overheidsinstantie voert in het algemeen belang (onderzoek).

4. Wettelijke verplichting

De verwerking van persoonsgegevens is noodzakelijk in het kader van een wettelijke verplichting van de instelling of organisatie, bijvoorbeeld op basis van een decreet.

5. Uitvoering overeenkomst

De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene (diegene wiens gegevens worden verwerkt) partij is, of om op verzoek van de betrokkene voor de sluiting van een overeenkomst maatregelen te nemen. Let op, dat gaat niet over de verwerkingsovereenkomst.

6. Vitale belangen

De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen.

Dit is een rechtsgrond waarvan het gebruik beperkt is, gelet op het feit dat je moet aantonen dat er een vitaal belang op het spel staat enerzijds en dat een gegevensverwerking noodzakelijk is om dit belang te bescherming anderzijds.

Meer informatie

Meer tips

Vertaalde tips


Laatst aangepast 28 augustus 2024 09:53