Zoals iedereen weet is sinds mei 2018 de AVG van kracht: een stevige update op de privacywetgeving in de lidstaten van de EU. Elke organisatie die ook maar iets met persoonsgegevens doet, heeft er mee te maken: betrokkenen hebben meer rechten, en als verwerker moeten we die rechten niet alleen borgen, maar ook pro-actief aantonen dat we zorgvuldig met persoonsgegevens omgaan. Ondanks dat de AVG niet uit de lucht is komen vallen een hele kluif, zeker voor universiteiten.
Een universiteit is een enorm complexe organisatie, waarin enorm veel persoonsgegevens verwerkt worden: van salarisadministratie tot studentendossiers en tentamenuitslagen. Een bijzondere plek nemen de persoonsgegevens voor onderzoek in. Want, veel onderzoek bij met name de alfa-, gamma-. en medische faculteiten gaat over mensen. Dan heb je het bijna automatisch over persoonsgegevens.
Net als de Wet Bescherming Persoonsgegevens kent de implementatiewet AVG uitzonderingen (‘derogaties’) voor onderzoek. En dat is maar goed ook: in veel onderzoek werken we bijvoorbeeld met bijzondere persoonsgegevens, die normaal gesproken niet verzameld mogen worden. Denk aan bijvoorbeeld religieuze of politieke overtuiging - een godsdienstwetenschapper of politicoloog kan wel inpakken als hiernaar niet gevraagd mag worden. Ook bepaalde rechten van betrokkenen, zoals het recht om vergeten te worden, mogen onder voorwaarden losgelaten worden voor wetenschappelijk onderzoek. En dat is handig: veel wetenschappers in de empirische wetenschappen gebruiken statistiek om tot hun conclusies te komen. Uit zo’n statistische analyse komen getallen rollen, zoals gemiddelden, standaardafwijkingen en overschrijdingskansen, die een belangrijke rol spelen in wetenschappelijke publicaties. Maar wat nou als een betrokkene aangeeft dat zijn of haar data verwijderd moet worden uit een dataset? Het zou betekenen dat alle analyses opnieuw moeten, alle getallen aangepast moeten worden en misschien een of meerdere publicaties herschreven moeten worden. Niet handig. Daarom staat de wetgever - gelukkig! - toe in dergelijke nauw omschreven gevallen uitzonderingen te maken op de AVG.
Maar ja, daarmee is de kous natuurlijk nog niet af. Ik ben zelf psycholoog en werk op een faculteit Gedrags- en Maatschappijwetenschappen. Juist in dit veld merken we dat er nog veel te leren valt. Persoonsgegevens voor onderzoek in de gedragswetenschappen vallen een beetje tussen de zeer gevoelige medische dossiers enerzijds en de registerdata, zoals bijvoorbeeld van het CBS, anderzijds. Met zowel medische data als registerdata is natuurlijk al enorm veel ervaring opgedaan op het terrein van bijvoorbeeld pseudonimisering en anonimisering. Helaas is veel van die ervaring niet één op één over te nemen in de gedragswetenschappen: veel onderzoekers in ons instituut zijn bij uitstek geïnteresseerd in individuele verschillen. De meest gangbare anonimiseringsmodellen en -algoritmes zorgen ervoor dat datasets onbruikbaar worden voor wetenschappelijk onderzoek. Hierbij speelt dan ook nog eens de uitdaging dat datasets specifiek voor onderzoek gecreëerd worden in bijvoorbeeld gedragsexperimenten. Het aantal variaties op variabelen die onderzoekers verzamelen in die experimenten is letterlijk eindeloos, waardoor catalogiseren en het aanleggen van standaardmaatregelen een heidens karwei is.
Daarbij is het leuke, maar gelijk ook enorm lastige, dat wetenschap altijd in beweging is. Gegevens die nu nog niet zouden gelden als bijzondere persoonsgegevens, kunnen dat in de toekomst wel worden. Denk bijvoorbeeld aan oogbewegingsregistraties. Een vrij onschuldige maat, zou je zeggen. Toch kan je uit oogbewegingspatronen veel opmaken over een persoon: er zijn aanwijzingen dat oogbewegingen iets kunnen zeggen over je persoonlijkheid, maar ook bijvoorbeeld over aanleg voor autisme. Daarmee zouden oogbewegingsdata onder de bijzondere persoonsgegevens vallen. Iets soortgelijks zie je bij reactiesnelheden bij bepaalde visuele zoektaakjes: er is een statistisch verband tussen bijvoorbeeld geloofsovertuiging en de snelheid waarmee onderzoeksdeelnemers bepaalde visuele puzzeltjes oplossen. Betekent dit dat we reactietijden nu ook onder de bijzondere persoonsgegevens moeten scharen omdat ze misschien iets kunnen verraden over iemands geloof?
Het mag duidelijk zijn dat sommige wetenschappers zich zorgen maken over de AVG, zeker nu steeds helderder wordt wat de reikwijdte van de nieuwe wetgeving is. Privacy, prima, zo wordt er vaak gezegd, maar het moet niet te koste gaan van de mogelijkheden om goed onderzoek te doen! Gelukkig heeft de wetgever en ook de European Data Protection Board (EDPB) erin voorzien dat wetenschap niet stil staat en altijd tegen situaties aan zal lopen die niet te vangen zijn in specifieke do’s en don’ts of afvinklijstjes. De EDPB, bijvoorbeeld, kent een belangrijke rol toe aan ethische toetsingscommissies, die uitspraken kunnen doen over complexe vragen omtrent privacy. De gegevensbeschermingseffectbeoordeling, oftewel de DPIA (data protection impact assessment) is daarbij een nuttig middel. In een DPIA kunnen risico’s en mogelijke maatregelen systematisch in kaart gebracht worden en kan tot een zorgvuldige afweging gekomen worden waarin zowel het belang van het wetenschappelijk onderzoek én de rechten van betrokkenen zo goed mogelijk gebalanceerd worden.
Inmiddels hebben we binnen ons instituut de nodige ervaring opgedaan met deze methodiek en na wat hobbels en opstartkwalen nu toch redelijk de slag te pakken. En dat is fijn, want op deze manier komen we wel tot best practices: wat is voor bepaalde scenario’s de beste aanpak? We proberen dit zoveel mogelijk landelijk aan te pakken, via bijvoorbeeld het Landelijk Coördinatiepunt Research Data Management (LCRDM) en het landelijk overleg Ethische Commissies in de gedragswetenschappen Nethics. Echter, er is nog veel te doen en te leren, waarbij we vaak afhankelijk zijn van bijvoorbeeld wetenschappers in Ethische Commissies die dat werk er ‘vrijwillig’ bij doen, en onderzoekers die hun onderzoek netjes aanmelden voor een volledige DPIA. Het is te hopen dat de universiteiten dit harde werk gaan waarderen, want dat is hard nodig!
Dit artikel is ook te vinden in het dossier AVG
