AVG: hoe zorg ik ervoor dat de verwerking van persoonsgegevens rechtmatig gebeurt?

De verwerking van persoonsgegevens is alleen rechtmatig als die voldoet aan een van de voorwaarden of rechtsgronden van de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR).

Het is heel belangrijk om aan de start van je onderzoek de toepasselijke rechtsgrond voor de verwerking aan te duiden (in het AVG-register). De verwerking van persoonsgegevens in je onderzoek zal gebaseerd zijn op een van de onderstaande rechtsgronden.

Er kan namelijk slechts één rechtsgrond zijn per doeleinde van gegevensverwerking. Wanneer de verwerking van persoonsgegevens op het algemeen belang berust, is de toestemming van de betrokkene niet vereist opdat de verwerking rechtmatig is. Die toestemming kan in dat geval echter wel dienen als ethische waarborg.

Meerdere doeleinden kunnen gekoppeld zijn aan meerdere rechtsgronden. De verwerking van persoonsgegevens met het oog op wetenschappelijk onderzoek is mogelijks gebaseerd op het algemeen belang, terwijl je de toestemming van de betrokkenen nodig hebt om hun persoonsgegevens (bv. mailadressen) te verwerken voor het verzenden van een nieuwsbrief.

1. Toestemming

De betrokkenen hebben expliciet toestemming gegeven voor de verwerking van hun persoonsgegevens.

Het is belangrijk om die toestemming als rechtsgrond in de AVG te onderscheiden van een ethische toestemming (als waarborg). Het is mogelijk dat je omwille van ethische redenen toestemming nodig hebt van de deelnemers om aan een bepaald onderzoek deel te nemen (dat kan wettelijk verplicht zijn of ethisch aanbevolen). Hoewel beide gecombineerd kunnen worden, is de ethische toestemming niet noodzakelijk onderworpen aan dezelfde voorwaarden als de toestemming als rechtsgrond in de AVG.

De toestemming als rechtsgrond moet volgens de AVG aan een aantal voorwaarden voldoen om geldig te zijn.

Daarnaast hebben betrokkenen ook verschillende rechten met betrekking tot de verwerking van hun persoonsgegevens en kunnen zij op basis van de AVG bijvoorbeeld hun toestemming op elk moment weer intrekken. Dat heeft tot gevolg dat er geen verdere verwerking van de reeds verzamelde persoonsgegevens meer kan plaatsvinden.

2. Algemeen belang

Onderzoeksprojecten die persoonsgegevens verwerken kunnen ook uitgevoerd worden omdat dat noodzakelijk is om een taak van algemeen belang te vervullen (‘algemeen belang’).

Die rechtsgrond kan je enkel hanteren wanneer je kan aantonen dat er voor de verwerking van bepaalde persoonsgegevens een dringende maatschappelijke noodzaak bestaat. Dat betekent dat er een uitdrukkelijke kennisvermeerdering moet zijn in het belang van de maatschappij. Dat is echter niet standaard toepasbaar op het merendeel van het onderzoek. Dat kan bijvoorbeeld wel het geval zijn bij onderzoek naar armoedebestrijding.

Daarnaast vereist die rechtsgrond ook dat er een effectieve taak van algemeen belang opgedragen werd aan de verwerkingsverantwoordelijke. Die taak moet vastgelegd worden in het nationaal recht van een lidstaat. Enkel als er een lidstaatrechtelijke basis is voor het onderzoek, kan die rechtsgrond ingeroepen worden. In de oprichtingsdecreten van de UGent is het verrichten van wetenschappelijk onderzoek vastgelegd als een van de taken van de UGent; ook in de Codex Hoger Onderwijs wordt dat als taak toegekend aan de universiteiten.

Het gebruik van de rechtsgrond algemeen belang vereist dus een maatschappelijke noodzaak, een kennisvermeerdering voor de maatschappij en een uitdrukkelijke taak in het algemeen belang opgedragen aan de UGent.

Bij onderzoek gesponsord door farmaceutische bedrijven, zullen die bedrijven als verwerkingsverantwoordelijken de rechtsgrond bepalen. Die farmaceutische bedrijven kunnen zich niet beroepen op de rechtsgrond van algemeen belang.

3. Gerechtvaardigd belang

De verwerking is noodzakelijk om de gerechtvaardigde belangen te behartigen van de instelling of organisatie, of van een derde.

De rechtsgrond gerechtvaardigd belang kan je enkel inroepen wanneer het belang om een bepaald onderzoek te verrichten zwaarder doorweegt dan de belangen van de personen wiens persoonsgegevens verwerkt worden, wat in het geval van kinderen doorgaans niet het geval is. Bijgevolg is het inroepen van gerechtvaardigd belang als rechtsgrond bij de rechtstreekse (primaire) verwerving van persoonsgegevens bij kinderen in het kader van wetenschappelijk onderzoek quasi onmogelijk.

Bij de secundaire verwerking van persoonsgegevens kan je die rechtsgrond eventueel wel gebruiken op voorwaarde dat je de nodige beschermende maatregelen neemt (bv. pseudonimisering).

Tot slot kan je de rechtsgrond gerechtvaardigd belang niet inroepen voor die taken die de UGent als overheidsinstantie voert in het algemeen belang (onderzoek).

4. Wettelijke verplichting

De verwerking van persoonsgegevens is noodzakelijk in het kader van een wettelijke verplichting van de instelling of organisatie, bijvoorbeeld op basis van een decreet.

5. Uitvoering overeenkomst

De verwerking is noodzakelijk voor de uitvoering van een overeenkomst met de betrokkene(n), diegene(n) wiens gegevens worden verwerkt. Let op, dat gaat niet over de verwerkingsovereenkomst.