AVG: hoe zorg ik ervoor dat de verwerking van persoonsgegevens rechtmatig gebeurt?

De verwerking van persoonsgegevens is alleen rechtmatig als die voldoet aan een van de voorwaarden of rechtsgronden van de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR).

Het is heel belangrijk om aan de start van je onderzoek de toepasselijke rechtsgrond voor de verwerking aan te duiden (in het AVG-register).

Er kan slechts één rechtsgrond zijn per doeleinde van gegevensverwerking. Maar, meerdere doeleinden kunnen gekoppeld zijn aan meerdere rechtsgronden. De verwerking van persoonsgegevens met het oog op wetenschappelijk onderzoek is mogelijks gebaseerd op het algemeen belang, terwijl je de toestemming van de betrokkenen nodig hebt om hun persoonsgegevens (bv. mailadressen) te verwerken voor het verzenden van een nieuwsbrief.

De verwerking van persoonsgegevens in je onderzoek zal gebaseerd zijn op een van de onderstaande zes rechtsgronden:

1. Toestemming

De betrokkenen hebben (expliciet) toestemming gegeven voor de verwerking van hun persoonsgegevens voor een of meer specifieke doeleinden.

Het is belangrijk om die toestemming als rechtsgrond in de AVG te onderscheiden van een ethische toestemming (als waarborg). Het is mogelijk dat je omwille van ethische redenen toestemming nodig hebt van de deelnemers om aan een bepaald onderzoek deel te nemen (dat kan wettelijk verplicht zijn of ethisch aanbevolen). Hoewel beide gecombineerd kunnen worden, is de ethische toestemming niet noodzakelijk onderworpen aan dezelfde voorwaarden als de toestemming als rechtsgrond in de AVG.

Er dient ook een onderscheid worden gemaakt tussen, enerzijds, de geïnformeerde toestemming met deelname aan een onderzoek (ethisch), en, anderzijds, de toestemming als grondslag voor de verwerking van persoonsgegevens die ermee gepaard gaat.

De toestemming als rechtsgrond moet volgens de AVG aan een aantal voorwaarden voldoen om geldig te zijn.

Daarnaast hebben betrokkenen ook verschillende rechten met betrekking tot de verwerking van hun persoonsgegevens. Betrokkenen kunnen op basis van de AVG bijvoorbeeld hun toestemming op elk moment weer intrekken; dat heeft tot gevolg dat er geen verdere verwerking van de reeds verzamelde persoonsgegevens meer kan plaatsvinden.

Als verantwoordelijke onderzoeker dien je te kunnen aantonen dat de betrokkene toestemming heeft gegeven.

2. Algemeen belang

Onderzoeksprojecten die persoonsgegevens verwerken kunnen ook uitgevoerd worden omdat dat noodzakelijk is om een taak van algemeen belang te vervullen (‘algemeen belang’).

Die rechtsgrond kan je enkel hanteren wanneer je kan aantonen dat er voor de verwerking van bepaalde persoonsgegevens een dringende maatschappelijke noodzaak bestaat. Dat betekent dat er een uitdrukkelijke kennisvermeerdering moet zijn in het belang van de maatschappij. Dat is echter niet standaard toepasbaar op het merendeel van het onderzoek. Dat kan bijvoorbeeld wel het geval zijn bij onderzoek naar armoedebestrijding.

Noteer dat de taak van algemeen belang door een norm moet opgedragen zijn aan de verwerkingsverantwoordelijke. Die taak moet vastgelegd worden in het nationaal recht van een lidstaat. Enkel als er een lidstaatrechtelijke basis is voor het onderzoek, kan die rechtsgrond ingeroepen worden.

In de oprichtingsdecreten van de UGent is het verrichten van wetenschappelijk onderzoek vastgelegd als een van de taken van de UGent; ook in de Codex Hoger Onderwijs wordt dat als taak toegekend aan de universiteiten.

Het toepassingsgebied van deze rechtsgrond is potentieel zeer ruim. Je zal geval per geval moeten nagaan of de taak van algemeen belang de verwerking rechtvaardigt.

Het gebruik van de rechtsgrond algemeen belang vereist dus een maatschappelijke noodzaak, een kennisvermeerdering voor de maatschappij en een uitdrukkelijke taak in het algemeen belang opgedragen aan de UGent.

Bij onderzoek gesponsord door farmaceutische bedrijven, zullen die bedrijven als verwerkingsverantwoordelijken de rechtsgrond bepalen. Die farmaceutische bedrijven kunnen zich niet beroepen op de rechtsgrond van algemeen belang.

3. Gerechtvaardigd belang

De verwerking is noodzakelijk om de gerechtvaardigde belangen te behartigen van de instelling of organisatie, of van een derde.

Om je als onderzoeker op deze rechtsgrond te kunnen beroepen moet je nagaan of de volgende 3 voorwaarden cumulatief vervuld zijn:

jij als onderzoeker namens de UGent (verwerkingsverantwoordelijke) of een derde streven een gerechtvaardigd belang na;
de verwerking van persoonsgegevens is noodzakelijk voor de realisatie van dit gerechtvaardigd belang;
de fundamentele rechten en vrijheden van de betrokkene prevaleren niet.
- In het geval van kinderen is dit doorgaans niet het geval. Bijgevolg is het inroepen van gerechtvaardigd belang als rechtsgrond bij de rechtstreekse (primaire) verwerving van persoonsgegevens bij kinderen in het kader van wetenschappelijk onderzoek quasi onmogelijk.
- Bij de secundaire verwerking van persoonsgegevens kan je die rechtsgrond eventueel wel gebruiken op voorwaarde er strikte waarborgen zijn ingesteld (bv. pseudonimisering).

Tot slot kan je de rechtsgrond gerechtvaardigd belang niet inroepen voor die taken die de UGent als overheidsinstantie voert in het algemeen belang (onderzoek).

4. Wettelijke verplichting

De verwerking van persoonsgegevens is noodzakelijk in het kader van een wettelijke verplichting van de instelling of organisatie, bijvoorbeeld op basis van een decreet.

5. Uitvoering overeenkomst

De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene (diegene wiens gegevens worden verwerkt) partij is, of om op verzoek van de betrokkene voor de sluiting van een overeenkomst maatregelen te nemen. Let op, dat gaat niet over de verwerkingsovereenkomst.

6. Vitale belangen

De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen.

Dit is een rechtsgrond waarvan het gebruik beperkt is, gelet op het feit dat je moet aantonen dat er een vitaal belang op het spel staat enerzijds en dat een gegevensverwerking noodzakelijk is om dit belang te bescherming anderzijds.

Meer informatie

Onderzoek en privacy

Meer tips

AVG: hoe ben ik transparant ten aanzien van de betrokkenen van mijn onderzoek? (Integer onderzoek & ethiek)
AVG: hoe beveilig ik mijn data op een correcte manier? (Integer onderzoek & ethiek)
AVG: hoe lang mag ik onderzoeksdata met persoonsgegevens bewaren? (Integer onderzoek & ethiek)
AVG: Hoe pseudonimiseer ik mijn data? (Integer onderzoek & ethiek)
AVG: hoe registreer ik mijn verwerkingen van persoonsgegevens? (Integer onderzoek & ethiek)
AVG: Mag ik onderzoeksdata met persoonsgegevens delen met andere onderzoekers of instellingen wanneer mijn onderzoeksproject afgelopen is? (Integer onderzoek & ethiek)
AVG: waar moet ik aan denken als ik (online) surveytools gebruik? (Integer onderzoek & ethiek)
AVG: Waar moet ik aan denken bij het ontwikkelen of gebruiken van AI? (Integer onderzoek & ethiek)
AVG: waar moet ik aan denken vooraleer ik bijzondere categorieën van persoonsgegevens verwerk? (Integer onderzoek & ethiek)
AVG: waar moet ik aan denken wanneer ik gebruik maak van een mailinglijst/verzendlijst in het kader van mijn onderzoek? (Integer onderzoek & ethiek)
AVG: waar moet ik aan denken wanneer ik persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten wil verwerken? (Integer onderzoek & ethiek)
AVG: waar moet ik aan denken wanneer ik persoonsgegevens verwerk van minderjarigen? (Integer onderzoek & ethiek)
AVG: Waar moet ik rekening mee houden als ik sociale media gegevens gebruik voor wetenschappelijk onderzoek? (Integer onderzoek & ethiek)
AVG: Waaraan moet ik denken bij de doorgifte van persoonsgegevens naar andere landen of internationale organisaties? (Integer onderzoek & ethiek)
AVG: waaraan moet ik denken bij het design van mijn onderzoek? (Integer onderzoek & ethiek)
AVG: Waaraan moet ik denken wanneer ik samenwerk met anderen of mijn data deel? (Integer onderzoek & ethiek)
AVG: waarom is het belangrijk om mij te houden aan deze wetgeving? (Integer onderzoek & ethiek)
AVG: wanneer doe ik aan ‘profilering’; waar moet ik aan denken? En wat is ‘uitsluitend geautomatiseerde besluitvorming’? (Integer onderzoek & ethiek)
AVG: wanneer is deze wetgeving van toepassing op mijn onderzoek? (Integer onderzoek & ethiek)
AVG: Wanneer verwerk ik persoonsgegevens met een hoog risico en wanneer moet ik een GEB uitvoeren? (Integer onderzoek & ethiek)
AVG: wat is de Algemene Verordening Gegevensbescherming? (Integer onderzoek & ethiek)
AVG: wat moet ik doen bij een verdere/secundaire verwerking van persoonsgegevens? (Integer onderzoek & ethiek)
AVG: Wat moet ik doen wanneer er sprake is van een datalek? (Integer onderzoek & ethiek)
AVG: wat verandert er ten opzichte van de vorige privacywetgeving? (Integer onderzoek & ethiek)
AVG: wat zijn de basisprincipes? (Integer onderzoek & ethiek)
AVG: wat zijn de verschillende rollen en verantwoordelijkheden? (Integer onderzoek & ethiek)
AVG: wat zijn persoonsgegevens? (Integer onderzoek & ethiek)
AVG: welke informatie moet ik opnemen in een informed consent formulier wanneer de verwerking van persoonsgegevens gebaseerd is op toestemming van de betrokkenen? (Integer onderzoek & ethiek)
AVG: welke rechten hebben de betrokkenen, hoe respecteer ik deze en welke uitzonderingen kunnen gelden voor onderzoek? (Integer onderzoek & ethiek)
AVG: wie wordt beschouwd als kwetsbare personen? (Integer onderzoek & ethiek)
Qualtrics: hoe gebruik ik deze surveytool? (Integer onderzoek & ethiek)
Toestemming in onderzoek – ethiek & privacy (AVG/GDPR) (Integer onderzoek & ethiek)

Vertaalde tips

GDPR: how can I ensure that the processing of personal data is lawful?

tags:

Integer onderzoek & ethiek

Laatst aangepast 19 december 2023 14:36

Vragen? Suggesties?

libservice@ugent.be