Onderzoek

De algemene regels van de AVG en van de Kaderwet zijn van toepassing op onderzoek gevoerd aan de hand van persoonsgegevens. Anonieme gegevens (informatie die redelijkerwijs niet meer kan gekoppeld worden aan een geïdentificeerde of identificeerbare natuurlijke persoon) en gegevens van overledenen vallen buiten het toepassingsgebied van de AVG (zie overwegingen 26 en 27 bij de AVG).


Onderzoek wordt in de AVG (vooral in overwegingen 159 e.v.) ruim ingevuld.

De AVG erkent ook duidelijk het belang van wetenschappelijk, statistisch en historisch onderzoek. Dit blijkt uit een aantal versoepelingen in de regelgeving, specifiek gericht op onderzoek, zoals:

  • mogelijkheid tot hergebruik voor onderzoek van gegevens die initieel voor andere doeleinden werden ingezameld (vermoeden van verenigbaarheid);
  • mogelijkheid van ‘ruimere’ toestemming voor bepaalde terreinen van wetenschappelijk onderzoek,
  • langere bewaartermijn voor onderzoeksdoeleinden,
  • mogelijkheid tot beperking van de rechten van betrokkenen bij lopend onderzoek,
  • ….

Respect voor gegevensbescherming versterkt niet allen het vertrouwen van de onderzoekssubjecten en burgers in het algemeen, maar draagt ook bij aan de kwaliteit en betrouwbaarheid van onderzoek(sresultaten).

Als onderzoeker kan je een onderzoek voeren aan de hand van speciaal daartoe ingezamelde gegevens (initiële verwerking). Je kan echter ook bestaande gegevensbestanden hergebruiken voor onderzoeksdoeleinden (verdere verwerking).

Initiële verwerking

Onderzoek met persoonsgegevens gebeurt rechtmatig wanneer deze een rechtsgrond vindt in artikel 6 van de AVG en -in de mate dat ook speciale categorieën van gevoelige gegevens worden verwerkt- in artikel 9, §2 van de AVG.

De toestemming van de betrokkene is zeker niet de enige rechtsgrond die in aanmerking komt en veelal niet de meest aangewezen.

Er moet vooreerst een duidelijk onderscheid worden gemaakt tussen, enerzijds, de geïnformeerde toestemming met deelname aan een onderzoek, en, anderzijds, de toestemming als grondslag voor de verwerking van persoonsgegevens die ermee gepaard gaan.

Een toestemming moet voorts vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Toestemming is ook te allen tijde intrekbaar; wat deze alleszins niet tot de meest stabiele verwerkingsgrond maakt voor onderzoek.

Onderzoek kan ook kaderen in de vervulling van een taak van algemeen belang (artikel 6. 1.e) AVG) of in de behartiging van een gerechtvaardigd belang in hoofde van de onderzoeker (artikel 6.1.f) AVG)

Voor onderzoek met speciale categorieën van ‘gevoelige’ persoonsgegevens voorziet artikel 9.2.j) van de AVG in een specifieke grondslag voor wetenschappelijk, historisch of statistisch onderzoek.

Verdere verwerking

De regel is dat persoonsgegevens enkel gebruikt mogen worden voor een welbepaald en duidelijk vooraf gesteld doel (zo kan bv. informatie ingezameld door een arts in het kader van zorgverstrekking, niet zomaar worden hergebruikt voor de risico-inschatting met het oog op het afsluiten van een verzekeringscontract). Enkel de gegevens nodig om dat vooraf gestelde doel te bereiken, mogen verwerkt worden (zo is bv. informatie omtrent iemands inkomen in principe niet nodig voor een diagnose van griep).

Om historisch, statistisch of wetenschappelijk onderzoek mogelijk te maken, wordt voormelde regel grotendeels versoepeld:

  • na het bereiken van het oorspronkelijk doel, mogen persoonsgegevens toch verder bewaard worden op voorwaarde dat ze enkel voor onderzoeksdoeleinden nog gebruikt zullen worden (artikel 5.1.e) AVG)
  • de verwerking voor historische, wetenschappelijke en statistische doeleinden wordt steeds verenigbaar geacht met de oorspronkelijke doeleinden, op voorwaarde dat de onderzoeker de regels volgt zoals beschreven in artikel 89.1 van de AVG (artikel 5.1.b) AVG).

Het onderzoeksdoeleinde wordt dus beschouwd als een met de aanvankelijke doeleinden verenigbare rechtmatige verwerking, waarvoor geen afzonderlijke rechtsgrond is vereist (zie overweging 50 bij de AVG).

De AVG schrijft verschillende verantwoordelijkheden en verplichtingen voor aan (gezamenlijke) verwerkingsverantwoordelijken en verwerkers. Het is dus van belang deze rollen bij de start van een onderzoek vast te leggen en, in voorkomend geval, terzake samenwerkings- of verwerkersovereenkomsten af te sluiten (artikelen 26 en 28 AVG).

De verwerkingsverantwoordelijke bepaalt het doel en de middelen van de verwerking (artikel 4.7) AVG): dit kan de sponsor van het onderzoek zijn, maar ook de onderzoeker zelf. Bij onderzoek binnen een consortium zal vaak sprake zijn van gezamenlijke verwerkingsverantwoordelijken.

Een onderzoeker kan ook als verwerker (artikel 4.8) AVG) optreden wanneer deze onderzoeken voert in opdracht van een onderneming of overheid (bv. beleidsondersteunend onderzoek). Een onderzoeker kan voorts ook zelf beroep doen op andere onderzoekers als verwerkers voor bepaalde deelaspecten van een onderzoekproject.Voor elke concreet onderzoek zal moeten worden nagegaan hoe de verschillende rollen dienen ingevuld.

Artikel 89.1 van de AVG vereist dat de verwerking van persoonsgegevens voor onderzoeksdoeleinden moet worden onderworpen aan passende waarborgen. Deze waarborgenn moeten ervoor zorgen dat technische en organisatorische maatregelen zijn getroffen om het beginsel van ‘minimale gegevensverwerking’ (artikel 5.1.c) AVG) te garanderen, zoals bv. pseudonimisering.

Als onderzoeker ben je dus verplicht anonieme gegevens (hetzij gegevens die de identificatie van de betrokkene niet of niet langer toelaat) te gebruiken voor zover dit toelaat het beoogde onderzoeksdoeleinde te verwezenlijken. Wanneer anonieme gegevens de verwezenlijking van het doeleinde niet toelaat, mag een onderzoek gebruik maken van gepseudonimiseerde persoonsgegevens (bv. longitudinale studies waarbij gegevens van betrokkenen doorheen de tijd aan elkaar moeten kunnen worden gekoppeld). Wanneer ook deze niet toelaten het beoogde doeleinde te verwezenlijken, kan uitzonderlijk gebruik gemaakt worden van niet-gepseudonimiseerde persoonsgegevens (bv. wanneer een onderzoek contactname met de betrokkene noodzaakt zoals een klinische studie).

Proportionaliteit of minimale gegevensverwerking betekent immers niet alleen beperking van de noodzakelijke variabelen, maar ook pseudonimiseren of anonimiseren van deze variabelen waar mogelijk.

Het eenvoudig pseudonimiseren of weglaten van identificatiegegevens (zoals naam, adres, …) zal niet altijd volstaan om te kunnen spreken van gespeudonimiseerde of anonieme gegevens. Er dient tevens op te worden toegezien dat bepaalde inhoudelijke gegevens of combinaties ervan op zich niet reeds een heridentificatie van de betrokkene toelaten.In het kader van het proportionaliteitsprincipe mogen gegevens ook niet langer worden bewaard dan noodzakelijk voor de verwezenlijking van het beoogde doeleinde (artikel 5.1.e) AVG).

Transparantie naar de betrokkenen van een onderzoek is uiteraard heel belangrijk (artikel 12 AVG). Transparantie vereist dat alle informatie met betrekking tot de gegevensverwerking naar de betrokkenen wordt gecommuniceerd in een beknopte, begrijpelijke en gemakkelijk toegankelijke vorm. Er wordt daarbij gebruik gemaakt van duidelijke en eenvoudige taal. De te verstrekken informatie betreft (artikelen 13 en 14 AVG):

  • identiteit en contactgegevens van de onderzoeker en (in voorkomend geval) de functionaris voor gegevensbescherming;
  • verwerkingsdoeleinden, alsook de rechtsgrond;
  • toelichting inzake het gerechtvaardigd belang van de onderzoeker, voor zover dit de rechtsgrond voor het onderzoek is;
  • vermelding dat de toestemming te allen tijde intrekbaar is, voor zover toestemming de rechtsgrond voor het onderzoek is;
  • (categorieën van) persoonsgegevens (wanneer deze niet rechtstreeks bij de betrokkene worden ingezameld);
  • (categorieën van) ontvangers van de gegevens;
  • in voorkomend geval, het voornemen van doorgifte van persoonsgegevens aan een derde land of een internationale organisatie en de terzake genomen waarborgen inzake gegevensbescherming;
  • opslagperiode;
  • bron van de persoonsgegevens (wanneer deze niet rechtstreeks bij de betrokkene worden ingezameld);
  • rechten van de betrokkenen: recht van inzage en rectificatie of wissing van persoonsgegevens  of beperking van de verwerking; recht van bezwaar en recht op gegevensoverdraagbaarheid;  recht om een klacht in te dienen bij de GBA.

Wanneer het voor de onderzoeker onmogelijk is of onevenredig veel inspanningen vraagt om voormelde informatie rechtstreeks aan de betrokkene te verstrekken (bij een verdere verwerking bv.), levert hij inspanningen om deze informatie op een andere manier openbaar te maken (artikel 14.5.b) AVG). 

De AVG voorziet in een aantal rechten van betrokkenen wiens persoonsgegevens worden verwerkt en waarvan een onderzoeker, in voorkomend geval, de uitoefening moet faciliteren. Het gaat hierbij om:

  • recht van inzage (artikel 15 AVG)
  • recht op rectificatie (artikel 16 AVG)
  • recht op gegevenswissing (artikel 17 AVG)
  • recht op beperking van de verwerking (artikel 18 AVG)
  • recht op overdraagbaarheid van gegevens (artikel 20 AVG)
  • recht van bezwaar (artikel 21 AVG)

Artikel 89.2 van de AVG voorziet dat regelgeving in afwijkingen of beperkingen kan voorzien op de rechten uit artikelen 15, 16, 18 en 21 van de AVG, voor zover deze noodzakelijk zijn om het beoogde onderzoeksdoeleinde te bereiken. Hierbij kan bv. worden gedacht aan een afwijking op het recht van inzage bij een dubbelblind onderzoek met placebo.

In de mate dat een onderzoeker bepaalde rechten van de betrokkenen zou willen inperken omdat het welslagen van het onderzoek dit vereist moet deze, in navolging van artikel 89.2 van de AVG, eveneens de bepalingen onder Titel 4 (artikelen 186 e.v.) van de Kaderwet naleven:

  • zo dient het verwerkingsregister de verantwoording te vermelden van het gebruik van al dan niet gepseudonimiseerde persoonsgegevens en van de inperking van de rechten van betrokkenen;
  • zo zal, bij een verdere verwerking, de onderzoeker een overeenkomst moeten afsluiten met de verantwoordelijke van de initiële verwerking;
  • zo regelt voormelde Titel 4 de wijze waarop en door wie persoonsgegevens worden geanonimiseerd of gepseudonimiseerd met het oog op verwerking voor onderzoeksdoeleinden;
  • ….

Op het vlak van informatiebeveiliging, neemt de onderzoeker de gepaste technische en organisatorische maatregelen ter bescherming van de persoonsgegevens die hij of zij verwerkt. Hij of zij houdt daarbij rekening met:

  • de stand van de techniek;
  • de uitvoeringskosten;
  • de aard, de omvang en de context van de verwerking en de verwerkingsdoeleinden;
  • de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de betrokkenen.

De onderzoeker baseert zich hiervoor in de eerste plaats op artikel 32 van de AVG, waarin sprake van:

  • pseudonimisering en versleuteling;
  • vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen;
  • herstel van beschikbaarheid en toegang tot gegevens bij fysiek of technisch incident;
  • evaluatieprocedure voor doeltreffendheid van beveiligingsmaatregelen.

Op deze website vindt u een aanbeveling betreffende de na te leven veiligheidsmaatregelen ter voorkoming van gegevenslekken.

Voor zover het onderzoek ook een verwerking van speciale categorieën van ‘gevoelige’ persoonsgegeven impliceert, neemt de onderzoeker ook artikel 9 van de Kaderwet in acht, meer bepaald:

  • de onderzoeker moet de (categorieën van) personen aanduiden (met omschrijving van de hoedanigheid waarin) die persoonsgegevens mogen raadplegen;
  • deze lijst moet ter beschikking worden gehouden van de GBA;
  • de aldus aangewezen  personen moeten door een wettelijke of statutaire verplichting, of door een evenwaardige contractuele bepaling ertoe gehouden zijn het vertrouwelijk karakter van de betrokken gegevens in acht te nemen.

Gekoppeld aan deze beveiligingsverplichting, moet een onderzoeker ook melding van gebeurlijke inbreuken op de beveiliging doen aan de GBA en in bepaalde gevallen ook aan de betrokkenen zelf (zie artikel 33 en 34 van de AVG).

Onderzoekers en onderzoeksinstellingen moeten een register van de verwerkingsactiviteiten bijhouden (artikel 30 AVG). Het betreft een interne documentatieverplichting die kadert in het ‘accountability’ principe. In dit register geven onderzoekers, hetzij als verwerkingsverantwoordelijke, hetzij als verwerker, een overzicht van de verwerkingen van persoonsgegevens die ze verrichten.

Op deze website wordt door de GBA een model voor een verwerkingsregister ter beschikking gesteld.

De aanstelling van een DPO is verplicht voor zover een onderzoeker/onderzoeksinstelling (artikel 37 AVG):

  • een overheidsinstantie of overheidsorgaan is;
  • hoofdzakelijk is belast met verwerkingen die regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereist;
  • hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van ‘gevoelige’ persoonsgegevens.

Wanneer een gegevensverwerking, gelet op de aard, de omvang, de context en doeleinden, waarschijnlijk een hoog risico inhoud voor de rechten en vrijheden van de betrokkenen, moet terzake een GEB worden uitgevoerd (artikel 35 AVG). Hierbij worden de risico’s in kaart gebracht, evenals de maatregelen om deze aan te pakken.

Ook onderzoekers moeten nagaan of de met hun onderzoek gepaard gaande verwerking een GEB vereist. Elementen die een indicatie kunnen zijn van een onderzoek met een hoog risico  voor de rechten en vrijheden van betrokkenen zijn o.a.:

  • verwerking van bijzondere categorieën van ‘gevoelige’ persoonsgegevens;
  • verwerking betreffende kwetsbare personen (bv. kinderen, zieken, gedetineerden, ….)
  • verwerking van gegevens op grote schaal, vanwege het grote aantal gegevens en/of het aantal betrokkenen;
  • verwerking impliceert kruising of koppeling van gegevens uit verschillende bronnen;
  • beperking van de rechten van betrokkenen;
  • gebruik van niet-gespeudonimiseerde persoonsgegevens;

Aangezien de AVG zorgt voor eenzelfde niveau inzake gegevensbescherming binnen de Europese Unie, kunnen persoonsgegevens daar vrij circuleren. Gegevensdoorgiften buiten de Europese Unie zijn in principe verboden, tenzij een passend beschermingsniveau wordt gegarandeerd via:

  • een adequaatheidsbesluit: een besluit waarbij de Europese Commissie vaststelt dat een derde land of internationale organisatie een adequaat beschermingsniveau waarborgt (artikel 45 AVG);
  • passende waarborgen ingevolge o.a. goedgekeurde bindende bedrijfsvoorschriften,  standaardbepalingen of gedragscodes (artikelen 46 en 47 AVG);

Bij gebreke hieraan, kan voor incidentele doorgiften de uitdrukkelijke toestemming van de betrokkenen worden gevraagd, na deze te hebben ingelicht over de risico’s van een dergelijke doorgifte (artikel 49 AVG).

Wanneer een onderzoeker gezondheidsgegevens hergebruikt (bv. gegevens uit een patiëntendossier) gaat dit gepaard met een mededeling van gezondheidsgegevens die voorafgaandelijk moet worden voorgelegd aan de kamer sociale zekerheid en gezondheid van het Informatieveiligheidscomité. Artikel 42, §2, 3° van de wet van 13 december 2006 houdende diverse bepalingen betreffende gezondheid schrijft immers voor dat voormeld Informatieveiligheidscomité een beraadslaging moet afleveren voor elke mededeling van gezondheidsgegeven, met uitzondering van:

  • de mededeling tussen zorgverstrekkers die gebonden zijn door het beroepsgeheim en persoonlijk betrokken zijn zorgverlening aan de betrokken patiënt;
  • de mededeling die is toegestaan door regelgeving, na advies van de GBA;
  • de mededeling tussen instanties van eenzelfde Gemeenschap of Gewest die geen gebruik maken van de basisdiensten van het eHealth-platform.