Er is nog steeds veel onduidelijkheid over het uitvoeren van onderzoek na de invoering van de nieuwe Europese privacywet, de Algemene Verordening Gegevensbescherming (AVG), ook wel GDPR genoemd. Hieronder beschrijven we kort wat de impact is van de nieuwe AVG op het uitvoeren van onderzoek.
Wat staat er in de AVG?
Op basis van de Europese GDPR is op nationaal niveau in Nederland de vertaalslag gemaakt naar de AVG. Daarin wordt een duidelijke splitsing gemaakt tussen marketing en sales gericht verwerking en (wetenschappelijk verantwoord) op onderzoek gerichte verwerking.
De AVG stelt dat gegevens alleen mogen worden gebruikt voor de doelen waarvoor ze zijn verkregen.
Indien je deze gegevens voor andere doeleinde wilt gebruiken dan moet je hier expliciet toestemming voor vragen. Binnen de AVG staat hierover het volgende, mits het doel ‘verenigbaar’ is met het oorspronkelijke doel is het niet nodig om hier apart toestemming voor te vragen. Uiteraard moet wel onderbouwd kunnen worden waarom deze twee dingen verenigbaar zijn.
Toestemming vragen
Moet ik klanten of medewerkers toestemming vragen voor het uitvoeren van onderzoek? Nee, gelukkig niet. Expliciet staat in de wet dat wetenschappelijk en statistisch onderzoek aangemerkt worden als verenigbaar. Er is dus geen onderbouwing nodig om aan te tonen dat het doel verenigbaar is met het oorspronkelijke doel waarvoor de gegevens verkregen zijn.
Deze uitzondering is overigens niet beperkt tot universiteiten of ander hoogwaardig wetenschappelijk werk. Een organisatie mag dus gewoon (statistisch) onderzoek doen en de resultaten daarvan binnen de organisatie gebruiken voor bijvoorbeeld het verbeteren van de dienstverlening of interne processen.
Waar staat hierover in de AVG?
Om het wat makkelijker te maken hebben we hieronder paragraaf 50 uit de Algemene Verordening Gegevensbescherming toegevoegd waarin dit beschreven staat:
“De verwerking van persoonsgegevens voor andere doeleinden dan die waarvoor de persoonsgegevens aanvankelijk zijn verzameld, mag enkel worden toegestaan indien de verwerking verenigbaar is met de doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld. In dat geval is er geen andere afzonderlijke rechtsgrond vereist dan die op grond waarvan de verzameling van persoonsgegevens werd toegestaan. Indien de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, kan in het Unierecht of het lidstatelijke recht worden vastgesteld en gespecificeerd voor welke taken en doeleinden de verdere verwerking als rechtmatig en verenigbaar met de aanvankelijke doeleinden moet worden beschouwd. De verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, moet als een met de aanvankelijke doeleinden verenigbare rechtmatige verwerking worden beschouwd.
De Unierechtelijke of lidstaatrechtelijke bepaling die als rechtsgrond voor de verwerking van persoonsgegevens dient, kan ook als rechtsgrond voor verdere verwerking dienen. Om na te gaan of een doel van verdere verwerking verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, moet de verwerkingsverantwoordelijke, nadat hij aan alle voorschriften inzake rechtmatigheid van de oorspronkelijke verwerking heeft voldaan, onder meer rekening houden met: een eventuele koppeling tussen die doeleinden en de doeleinden van de voorgenomen verdere verwerking; het kader waarin de gegevens zijn verzameld; met name de redelijke verwachtingen van de betrokkenen op basis van hun verhouding met de verwerkingsverantwoordelijke 4.5.2016 L 119/9 Publicatieblad van de Europese Unie NL betreffende het verdere gebruik ervan; de aard van de persoonsgegevens; de gevolgen van de voorgenomen verdere verwerking voor de betrokkenen; en passende waarborgen bij zowel de oorspronkelijke als de voorgenomen verdere verwerkingen.” (zie onderaan een link naar de AVG).
Deze uitzondering zorgt er voor dat we nog steeds mensen kunnen uitnodigen deel te nemen aan onderzoeken en de uitkomsten van deze onderzoeken op geaggregeerd niveau (niet individueel herleidbaar) terug kunnen koppelen.
Wat moeten we wel regelen?
Uiteraard moeten we een aantal maatregelen nemen om te zorgen dat het onderzoek zo netjes mogelijk uitgevoerd wordt. Onder de huidige AVG een aantal belangrijke regels:
Verwerkersovereenkomst
Indien persoonsgegevens door een externe partij (onderzoeksbureau of applicatie leverancier) wordt er aan de juridische zijde altijd gewerkt met bewerkersovereenkomsten of zoals we nu hanteren verwerkersovereenkomsten.
In de Verwerkersovereenkomst staat welke juridische positie we ten opzichte van elkaar hebben (Verantwoordelijke of Verwerker), dat er persoonsgegevens worden verwerkt, op welke manier dat gaat, dat er maatregelen zijn genomen ter bescherming van deze gegevens en hoe te handelen als het toch mis gaat.
De AVG schrijft voor dat de Verantwoordelijke de Verwerkersovereenkomst opstelt. En dat houdt in dat de opdrachtgevers deze moeten opstellen. Niet iedereen is zich hiervan bewust, noch bedreven in daarom heeft de MOA een voorbeeld overeenkomst opgesteld (zie onderaan een link naar de MOA richtlijnen).
Persoonsgegevens opslaan
Door de AVG wordt er ook strikter gekeken naar het nut en noodzaak van het opslaan en behouden van persoonsgegevens. Standaard geldt dat zo lang het noodzakelijk is voor het doeleinde, persoonsgegevens mogen worden opgeslagen en gebruikt.
We onderscheiden twee soorten persoonsgegevens, de direct herleidbare en de profiel gegevens. Onder direct herleidbare gegevens verstaan we alle direct herleidbare persoonsgegevens, denk aan achternaam, e-mailadres, id-nummers, etc. En profielgegevens zijn bijvoorbeeld het merk auto dat een respondent rijdt, postcode, geslacht, opleiding, etc. Ook bijzondere persoonsgegevens (ras, religie, etc.) mogen gebruikt worden voor onderzoeksdoeleinden, mits er zeer zorgvuldig mee wordt omgegaan en er voldaan wordt aan bepaalde regels.
Over het algemeen geldt dat de direct herleidbare persoonsgegevens alleen worden gebruikt om een persoonlijke uitnodiging te verzenden naar de respondenten. Zodra het ‘uitnodigingsproces’ is afgerond zullen deze gegevens worden verwijderd.
De profielgegevens behouden we alleen indien dit noodzakelijk is voor onderzoeks- en/of analyse doeleinden. Dit doen we in principe maximaal 1 jaar, tenzij deze gegevens noodzakelijk zijn voor een langere periode.
Terugkoppelen persoonsgegevens
De uitkomsten van de onderzoeken worden altijd op geaggregeerd niveau (niet individueel herleidbaar en anoniem) teruggekoppeld naar de opdrachtgever.
Een respondent kan zijn of haar anonimiteit opheffen of toestemming geven wel persoonsgegevens te willen terug te koppelen naar de opdrachtgever om bijvoorbeeld zijn/haar reactie te bespreken met de organisatie.
Steeds vaker wordt er gekozen om het onderzoek ‘niet anoniem’ uit te voeren bijvoorbeeld bij kleine onderzoekspopulaties of in service omgeving zodat een reactie ten alle tijden besproken of opgevolgd kan worden. Bij niet anoniem onderzoek zijn de uitkomsten direct herleidbaar naar een individu. Bij het uitvoeren van niet anoniem onderzoek zal een respondent hier voorafgaand en tijdens het onderzoek nadrukkelijk op gewezen moeten worden (zie onderaan een link naar Anoniem vs. niet anoniem onderzoek).
Tot slot
Iedere dag zijn we enerzijds bezig met het verzamelen van inzichten van klantervaringen, medwerkerbevlogenheid of ketenpartners, anderzijds zijn we ook iedere dag bezig uit te leggen hoe we er continu voor zorgen dat we gegevens veilig en op de juiste manier verwerken in lijn zijn met wet- en regelgeving.
Handige links:
Gratis e-book!
Benieuwd hoe wij organisaties in 7 stappen naar tevreden klanten begeleiden? Onze jarenlange kennis, tips en valkuilen hebben wij nu in een gratis te downloaden whitepaper verwerkt. Benieuwd? Ontvang het binnen 1 minuut de mailbox.
