By Trix Mulder, LL.M.

New technological developments and globalisation have made it increasingly easier to collect and share personal data, also in scientific research. This collecting and sharing of personal data often doesn’t stop at the borders of a country. In order to ensure that the free movement of personal data within the European Union can go hand in hand with a high level of protection, the new General Data Protection Regulation (GDPR) enters into force on May 25, 2018. Researchers must also take account of that regulation when – during their research – they process personal data.

Personal data
So the GDPR therefore revolves around the protection of personal data, but what exactly are these? This question is answered by the GDPR itself: all information about identified or identifiable natural persons, whereby identification can take place both directly and indirectly. In other words: once information can be traced back to a person, even if it is indirect, it is personal data and the rules of the GDPR must be taken into account.

The concept of direct identification speaks for itself, but because identification can also take place indirectly, it is important to determine to what extent it is possible to indirectly identify a person in a dataset.

Personal data can be anonymised irreversibly. After that it is no longer possible to trace the data back to persons and then the GDPR does not apply. If the process is not irreversible, we do not speak of anonymisation but of pseudonymisation. Pseudonymisation is mentioned in the GDPR as a security measure, but because natural persons can still be identified on the basis of these data, the GDPR is applicable here. Because sometimes datasets are linked to other datasets, and thus are being reused, it should not be assumed too quickly that they are anonymised. The risk of re-identification is always there.

Technical and organisational measures
In addition to pseudonymisation, the GDPR also refers to encryption as a security measure for working with personal data. Other security measures are not mentioned. The protection of personal data doesn't depend on the technology that is used, but on the nature of the data and the involved risk of processing for the person concerned. The data determine which technical and organisational protective measures are appropriate. When working with sensitive personal data, these measures will have to go further than when working with less sensitive personal data.

Sensitive data are data related to race or ethnic origin, political opinion, religious or philosophical belief, union membership, genetic data, biometrics and data on health, sexual behaviour or sexual orientation. Processing of these data is prohibited in principle. However, an exception has been included for research. In that case, appropriate safeguards must be provided.

How to proceed further?
The abovementioned requirements give an idea of ​​how the GDPR offers protection of personal data and how it works in combination with research. It is important that persons responsible can always prove that the principles stated in article 5 of the GDPR are being respected when processing personal data. Among other things, it is important that the data are processed in a legitimate, proper and transparent manner, that no more data are processed than necessary and that the data are stored no longer than needed.

The GDPR, however, not only makes demands, but also offers a tool that can help to protect personal data in the best way: the data protection impact assessment (DPIA). By performing a DPIA before data are actually processed, the impact of the processing on the privacy of the persons concerned can be determined. The DPIA is not always mandatory, but it is advisable. It can help to meet the requirements of the GDPR, such as the aforementioned data minimisation, but also data protection by design and default.

More information
Do you want to know more about DPIA? The Data Federation Hub can help researchers with this. In addition, the Security Technology and e-Privacy Research Group of the Faculty of Law has developed two free Massive Open Online Courses, in which the requirements of the GDPR are further explained:

• Understanding the GDPR (duration: four weeks).
• Protecting Health Data in the Modern Age: Getting to Grips with (duration: two weeks).
  

Both courses start again in June 2018.

For help with GDPR please contact:
RUG
researchdata@rug.nl
www.rug.nl/researchdata

UMCG
clinical-research-office@umcg.nl
https://www.umcg.nl/EN/Research/Researchers/Facilities/RDS/Paginas/default.aspx

================================================================

Wetenschappelijk onderzoek en de nieuwe Algemene Verordening Gegevensbescherming (AVG)

Door Trix Mulder, LL.M.

Nieuwe technologische ontwikkelingen en globalisering hebben het steeds gemakkelijker gemaakt om persoonsgegevens te verzamelen en te delen, ook in wetenschappelijk onderzoek. Dat verzamelen en delen van persoonsgegevens houdt vaak niet op bij de grenzen van een land. Om ervoor te zorgen dat het vrije verkeer van persoonsgegevens binnen de Europese Unie kan samengaan met een hoge mate van bescherming, is vanaf 25 mei 2018 de nieuwe Algemene Verordening Gegevensbescherming (AVG) van kracht. Ook onderzoekers moeten – als ze tijdens hun onderzoek persoonsgegevens verwerken – rekening houden met die verordening.

Persoonsgegevens
De AVG draait dus om de bescherming van persoonsgegevens, maar wat zijn dat precies? Die vraag wordt door de AVG zelf beantwoord: alle informatie over geïdentificeerde of identificeerbare natuurlijke personen, waarbij identificatie zowel direct als indirect kan plaatsvinden. Met andere woorden: zodra informatie te herleiden is naar een persoon, ook al is dat indirect, zijn het persoonlijke gegevens en moet rekening worden gehouden met de regels van de AVG. Het begrip directe identificatie spreekt voor zich, maar omdat identificatie ook indirect kan plaatsvinden, is van belang om vast te stellen in hoeverre het mogelijk is om een persoon indirect te identificeren in een dataset.

Persoonsgegevens kunnen onomkeerbaar worden geanonimiseerd. Daarna is het niet meer mogelijk om ze te herleiden naar personen en dan is de AVG niet van toepassing. Als het proces niet onomkeerbaar is, spreken we niet over anonimiseren maar over pseudonimiseren. Pseudonimisatie wordt in de AVG genoemd als een beveiligingsmaatregel, maar omdat natuurlijke personen nog steeds aan de hand van deze gegevens kunnen worden geïdentificeerd, is de AVG hier wél van toepassing. Omdat datasets soms worden gekoppeld aan andere datasets en zo worden hergebruikt, moet er niet te snel van worden uitgegaan dat ze zijn geanonimiseerd. Het risico van re-identificatie is altijd aanwezig.

Technische en organisatorische maatregelen
Naast pseudonimisatie wordt in de AVG ook nog encryptie als beveiligingsmaatregel voor het werken met persoonsgegevens genoemd. Andere beveiligingsmaatregelen worden niet gegeven. De bescherming van persoonsgegevens is niet afhankelijk van de technologie die wordt gebruikt, maar wél van de aard van de gegevens en het risico dat verwerking ervan met zich meebrengt voor de betreffende persoon. De gegevens bepalen welke technische en organisatorische beschermende maatregelen passend zijn. Als wordt gewerkt met gevoelige persoonsgegevens, zullen die maatregelen verder moeten gaan dan wanneer er met minder gevoelige persoonsgegevens wordt gewerkt.

Gevoelige gegevens zijn gegevens die te maken hebben met ras of etnische afkomst, politieke opvatting, religieuze of levensbeschouwelijke overtuiging, het lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens en gegevens over de gezondheid, seksueel gedrag of seksuele geaardheid. Verwerking hiervan is in principe verboden. Ten behoeve van oor onderzoek is echter een uitzondering opgenomen. Wel moeten in dat geval passende waarborgen worden geboden.

Hoe nu verder?
Bovenstaande vereisten geven een idee van hoe de AVG bescherming biedt aan persoonsgegevens en hoe het werkt in combinatie met onderzoek. Belangrijk is dat verantwoordelijken altijd kunnen aantonen dat bij de verwerking van persoonsgegevens de beginselen die genoemd worden in artikel 5 van de AVG in acht worden genomen.

Onder andere gaat het erom dat de gegevens op een rechtmatige, behoorlijke en transparante manier worden verwerkt, dat niet méér gegevens worden verwerkt dan noodzakelijk en dat de gegevens niet langer worden bewaard dan nodig is.

De AVG stelt echter niet alleen eisen, maar biedt ook een tool die kan helpen om persoonsgegevens op de beste manier te beschermen: de data protection impact assessment (DPIA). Door – voordat gegevens daadwerkelijk worden verwerkt – een DPIA uit te voeren, kan worden bepaald wat de impact van de verwerking op de privacy van de betreffende personen is. De DPIA is niet altijd verplicht, maar wel aan te raden. Het kan helpen om te voldoen aan de vereisten van de AVG, zoals de eerdergenoemde dataminimalisatie, maar ook data protection by design en default.

Meer informatie
Wil je meer weten over DPIA? De Data Federation Hub kan onderzoekers hiermee verder helpen. Daarnaast heeft de Security Technology en e-Privacy Research Groep van de Faculteit Rechten een tweetal gratis Massive Open Online Courses ontwikkeld, waarin de vereisten van de AVG verder worden uitgelegd:

• Understanding the GDPR (duur: vier weken).
• Protecting Health Data in the Modern Age: Getting to Grips with (duur: twee weken).

Beide cursussen starten weer in juni 2018.

Voor hulp bij de AVG, kunt u contact opnemen met:
RUG
researchdata@rug.nl
www.rug.nl/researchdata

UMCG
clinical-research-office@umcg.nl
https://www.umcg.nl/EN/Research/Researchers/Facilities/RDS/Paginas/default.aspx