Universiteit Leiden

nl en

Dataprotectie

In onderzoeksprojecten waarin privacy- of anderszins gevoelige gegevens worden verzameld, zullen extra maatregelen getroffen moeten worden ter bescherming van de data.

Dit kunnen maatregelen zijn voor de opslag en beveiliging van de gegevens. Of maatregelen om de data minder gevoelig te maken, zoals het anonimiseren of versleutelen van de data. Vooral de fase van het verzamelen en vervoeren of verzenden van data verdient speciale aandacht. Ook de manier waarop data worden gedeeld is belangrijk. Consortia dienen overeenstemming te hebben over de veiligheidsmaatregelen voordat  wordt begonnen met het verzamelen van gegevens.

Financiers vragen vaak om de omgang met de data in detail te beschrijven. De Dataprotection officer – ook bekend als Functionaris Gegevensbescherming – zal wanneer het datamanagement van het onderzoek  aantoonbaar in overeenstemming is met wet- en regelgeving - dienovereenkomstig een verklaring kunnen afgeven.

Maatregelen ter bescherming van persoonsgegevens

In de eerste plaats is het goed om je af te vragen welke persoonsgegevens strikt noodzakelijk zijn voor je onderzoek. Verzamel niet meer dan nodig. Wees vooral voorzichtig met de vertrouwelijkheid van bijzondere persoonsgegevens als godsdienst, gezondheid of politieke gezindheid.

Het is aan te raden om  tot een persoon herleidbare gegevens direct bij het verzamelen van de data te scheiden. Als dat niet lukt, wees dan voorzichtig met het vervoeren of uploaden van de gegevens. Surfdrive kan bijvoorbeeld een alternatief zijn voor GoogleDrive of Dropbox. Deze laatste twee zijn niet toegestaan bij het verwerken van persoonsgegevens. Zorg dat usb-sticks of laptops beveiligd zijn met een wachtwoord  en  versleutel de data.

De gevoeligheid van de gegevens kan vervolgens worden verminderd door te anonimiseren

of pseudonimiseren. Audiovisuele data is zeer moeilijk te anonimiseren. Voor deze gegevens is beperking van de toegang vaak de enige oplossing.

Tot slot: beperk de opslag- en backuplocaties van bijzondere persoonsgegevens zoveel mogelijk en bewaar deze offline. Vernietig vertrouwelijke gegevens na afloop van een project binnen de gestelde wettelijke termijn (momenteel binnen 6 maanden na afronding van het onderzoek). Het verwijderen van een bestand is overigens vaak niet voldoende om het ook echt te vernietigen.

Datalek

De meldplicht datalekken geldt in Nederland al sinds 2016. Onder de nieuwe Europese privacywet, de Algemene verordening gegevensbescherming (AVG), blijft de meldplicht datalekken bestaan. Als persoonsgegevens onbedoeld in handen van derden vallen dan is er sprake van een zogeheten datalek. Denk aan het openbaar worden van wachtwoorden, diefstal van een onbeveiligde laptop of het verlies van een USB-stick met onversleutelde onderzoeksgegevens. Een datalek moet direct worden gemeld, bij de ISSC-helpdesk (tel. 8888) of via abuse@leidenuniv.nl. Neem bij twijfel eerst contact op met de informatiemanager van uw eenheid.

Deze website maakt gebruik van cookies. Meer informatie