Opslag privégegevens in wetenschap en cultureel erfgoed: veiligheid van onze persoonlijke data

In de wereld van zowel wetenschappelijk onderzoek als cultureel erfgoed wordt steeds meer digitale informatie opgeslagen, óók van persoonlijke aard. Wat mag er met deze persoonlijke gegevens? En wat niet?

Door: Heiko Tjalsma 

Regelmatig wij opgeschrikt door berichten uit de media dat onze persoonlijke gegevens op straat zijn komen te liggen of in handen van hackers terecht zijn gekomen. Dat leidt bij velen tot de zenuwachtige vraag hoe veilig deze persoonlijke gegevens eigenlijk opgeslagen en bewaard worden. Hoe staat het met de veiligheid van onze bankgegevens of onze medische gegevens bij huisarts of ziekenhuis of onze belastinggegevens bij de Belastingdienst?

Nu zijn dit bij uitstek ‘gevoelige’ persoonsdata, maar niet iedereen realiseert zich mogelijk op hoeveel andere plaatsen ook privacygevoelige data worden opgeslagen. Zo zal zeker niet iedereen zich ervan bewust zijn dat er een goede kans is dat zijn of haar persoonsdata ergens voor wetenschappelijk onderzoek gebruikt worden of dat persoonsdata in een elektronisch archief terecht zijn gekomen.

Op zich is dat niet zo verwonderlijk want zeker ook in de wetenschappelijke onderzoekswereld en die van het cultureel erfgoed, zoals bibliotheken en archieven, wordt steeds meer digitale informatie opgeslagen, óók van persoonlijke aard. Wat mag er nu eigenlijk met deze persoonlijke gegevens, wat mag er niet? Hoe wordt daar in de praktijk mee omgesprongen, speciaal in data-repositories als de bovengenoemde?

Persoonsdata

Persoonsdata zijn, volgens de Wet bescherming persoonsgegevens (Wbp), gegevens met betrekking tot geïdentificeerde of identificeerbare natuurlijke levende personen. Er bestaan daarbinnen nog verschillende categorieën met bijpassende beschermingsregimes. Voor bijzondere persoonsgegevens, bijvoorbeeld over iemands seksuele geaardheid, gezondheid, geloof of politieke overtuiging, zijn er strengere regels dan voor de ‘gewone’ gegevens van achternaam, adres of woonplaats. De regels zijn nog strenger ten aanzien van data die patiëntgegevens of een SOFI-nummer bevatten.

Wat mogen anderen met deze gegevens doen? Wat mag in het bijzonder een repository waarin persoonsdata terecht zijn gekomen daarmee aanvangen? In principe heel weinig. Het kan best zijn dat deze persoonsdata zich in een repository bevinden zonder dat de persoon in kwestie daarvoor ooit bewust toestemming heeft gegeven of dat er een duidelijke reden is om specifieke persoonsdata op te slaan. Persoonsdata in huis hebben mag wel wanneer dat een duidelijke functie heeft, een ‘doelbinding’ volgens de wet. Een sportvereniging mag bijvoorbeeld voor de administratie de persoonsdata van haar leden opslaan. Wanneer deze administratie echter na een aantal jaren naar een archief zou verhuizen, ontstaat er een andere situatie. Het kan dan zelfs de vraag zijn of de persoonsdata zich überhaupt in dit repository mogen bevinden.

Zeker is dat dit wel mag als er door de betrokkenen uitdrukkelijk toestemming is gegeven, de zogenaamde ‘informed consent’. Dit houdt in dat er vooraf duidelijk is gemaakt voor welk onderzoek de persoonsdata gebruikt gaan worden. Dat kan een wetenschappelijk onderzoek betreffen waar de betrokkene een proefpersoon is, maar het kan ook gaan om bewaring en raadpleging van bijvoorbeeld een interview dat in een repository ondergebracht gaat worden. Wanneer dit, zoals in het laatste geval, van tevoren duidelijk is gemaakt aan de betrokken geïnterviewden en deze geen bezwaar daartegen hebben, dan mogen deze persoonsdata in een repository opgeslagen en ter beschikking gesteld worden. Denk bijvoorbeeld aan ‘oral history interviews’ die kunnen gaan over wat iemand tijdens de Tweede Wereldoorlog beleefd heeft en waarin vaak over heel persoonlijke zaken verteld kan worden.1

Uitzondering voor onderzoek

Wanneer er geen informed consent is gegeven, maakt de wet raadpleging voor ‘wetenschappelijk, statistisch of historisch onderzoek’ bij wijze van uitzondering mogelijk. Daarbij moet aan vier voorwaarden – vooral met betrekking tot de bijzondere persoonsdata – zijn voldaan:

  • het onderzoek moet een algemeen belang dienen;
  • de verwerking is voor het betreffende onderzoek noodzakelijk;
  • het vragen van uitdrukkelijke toestemming blijkt onmogelijk of kost een onevenredige inspanning;
  • de persoonlijke levenssfeer van de betrokkene mag niet onevenredig worden geschaad tijdens de uitvoering van het onderzoek.2

Hoofdbrekens

De repository moet actief toetsen of het onderhavige onderzoek aan deze vier eisen voldoet. Het zal duidelijk zijn dat dit niet zo eenvoudig in de praktijk is te hanteren. Wanneer is nu wel en wanneer nog niet de persoonlijke levenssfeer van de betrokkene ‘onevenredig’ geschaad? En wanneer is er sprake van een onevenredige inspanning? Is dat bijvoorbeeld het geval wanneer we twintig jaar later vijfhonderd proefpersonen nog moeten navragen of ze het ermee eens zijn dat hun gegevens uit een sociologisch onderzoek destijds (her)gebruikt mogen worden?

Het is kortom niet altijd even duidelijk hoe de artikelen van de Wbp in de praktijk ten uitvoer moeten worden gebracht. Dit levert de datarepositories vaak de nodige hoofdbrekens op. Juist voor wetenschappelijk onderzoek zijn de bijzondere persoonsgegevens vaak het meest interessant; het gaat niet in de eerste plaats om de namen, maar om het kunnen verbinden aan elkaar van deze bijzondere gegevens. Bijvoorbeeld om per persoon gegevens met betrekking tot scholing te kunnen relateren aan die van werkloosheid. In toenemende mate worden ook beelden geluidsopnamen gebruikt en bewaard. Deze kunnen heel snel privacygevoelige gegevens bevatten. Daarnaast is bij data met beeld het portretrecht van toepassing. Het herkenbaar afbeelden van personen is niet toegestaan zonder uitdrukkelijke, vooraf gegeven, toestemming.

Wat ook niet erg helpt is dat er relatief weinig jurisprudentie op dit punt bestaat. Door deze onduidelijkheden kan er van een grijs gebied gesproken worden. Verschillende repositories hebben dit opgelost door een klachtenprocedure in te stellen bij het publiceren van persoonsdata op het web waarvan het niet zeker is of deze naar buiten mogen. Ook zijn er steeds meer repositories die een privacyreglement hanteren. Mocht een betrokkene zichzelf herkennen en er bezwaar tegen hebben zo ‘te kijk te staan’, dan kan hij altijd verzoeken zijn gegevens weg te laten halen. De wet beperkt zich tot levende personen. Dit betekent dat persoonsgegevens van overleden personen niet (meer) onder de invloedssfeer van de Wbp vallen, al moet wel de privacy van nog levende nabestaanden in acht genomen worden.

Europese wetgeving

De Europese Unie bereidt overigens nieuwe, strengere en voor alle lidstaten uniforme, wetgeving op dit punt voor. Zonder uitdrukkelijk gegeven toestemming van de betrokkene mag dan vrijwel niets meer met persoonsdata. Deze strengere wetgeving is heel duidelijk ingegeven door de wens om de ‘Europese burger’ te beschermen tegen internetgiganten als Google of Facebook, waarvan het onduidelijk is wat deze nu eigenlijk met persoonlijke informatie doen en laten.

Er komen zeer zware boetes op overtreding en elke instelling die persoonsdata in huis heeft, moet een Data Protection Officer aanstellen.3 Het is nog onduidelijk of wetenschappelijk onderzoek in deze nieuwe wet de eerdergenoemde uitzondering behoudt.

Privacy en trusted digital repositories

De bescherming van persoonsgegevens vergt dus veel aandacht. In dit verband moet het relatief nieuwe concept Trusted Digital Repositories (TDR) genoemd worden. Dit begrip wordt sinds een aantal jaren gebruikt in de wereld van digitale bibliotheken en archieven. In het woord ‘trusted’ zit het aspect van veiligheid besloten. Dat heeft in dit verband vooral betrekking op veilige toegang tot en langetermijnbewaring van data.

‘Veilig’ veronderstelt dat de TDR waarin deze data worden bewaard betrouwbaar is, nu en in de verdere toekomst. De data moeten zodanig bewaard worden dat de authenticiteit en de integriteit gewaarborgd blijven, dat wil zeggen: dat er geen veranderingen in plaats hebben gevonden. Dit is een essentieel punt. Maar veilig betekent ook dat de data volgens de bestaande wetten, regels en eventuele verdere afspraken toegankelijk worden gemaakt. Het gaat dan vooral om de Archiefwet, de Auteurswet of de Databankenwet. Maar het is uiteraard speciaal ook relevant voor persoonsgevoelige data. Om dit verder handen en voeten en te geven, wordt er sinds enige jaren aan certificering van TDR’s gewerkt.

Safe Place

Om persoonsdata helemaal veilig te kunnen behandelen, overwegen sommige repositories een ‘Safe Place’ te bouwen, een (fysieke) ruimte in de instelling zelf waar gevoelige persoonsdata onder zeer gecontroleerde omstandigheden binnen de repository geraadpleegd kunnen worden.4

Het Centraal Bureau voor de Statistiek maakt hier in Nederland al gebruik van. Een andere mogelijkheid is het creëren van een Trusted Third Party (TTP), een onafhankelijke en betrouwbare organisatie die als taak heeft om zeer gevoelige persoonsdata om te zetten naar een volledig gepseudonimiseerde vorm. Dat betekent dat proefpersonen (patiënten) niet meer geïdentificeerd kunnen worden, met andere woorden volstrekt anoniem kunnen blijven. Het wordt nu vooral ten aanzien van patiëntdata, zorgdata ten behoeve van wetenschappelijk onderzoek, gebruikt. Een TTP is niet hetzelfde als een data repository.5

Uitdagingen

De beveiliging van persoonsdata is, samenvattend, een complexe aangelegenheid in een repository. Een belangrijk punt daarbij is uiteraard de beveiliging in technische zin, het voorkómen dat data, waar niet iedereen zomaar bij mag, gehackt of misbruikt worden. Ook in juridische en organisatorische zin moet voortdurend goed opgelet worden dat de data ter beschikking worden gesteld op de afgesproken wijze aan degenen die daartoe bevoegd zijn. Dit laatste geldt ook binnen de repository. Van de mensen die met deze data mogen omgaan, mag gevraagd worden dat deze dit uiterst zorgvuldig doen. Iedereen dient zich goed bewust te zijn van de extra bescherming die deze data nodig hebben. Daarom wordt steeds meer een geheimhoudingsverklaring voor alle medewerkers verplicht gesteld. De omgang met persoonsdata zal de komende jaren een uitdagend onderwerp blijven.

Noten

  1. Zie bijvoorbeeld getuigenverhalen.nl.
  2. A. Beunen en T. Schiphof, Juridische Wegwijzer Archieven en Musea online (Taskforce digitale toegankelijkheid archieven en de Museumvereniging, 2006) hoofdstuk 1.2. tinyurl.com/kwr3ad3.
  3. Zie hierover bijvoorbeeld tinyurl.com/kgj9b9o.
  4. Zie bijvoorbeeld ukdataservice.ac.uk/get-data/secureaccess.aspx.
  5. Evert-Ben van Veen, Patient data for health research. A discussion paper on anonymisation procedures for the use of patient data for health research (The Hague, October 2011), speciaal pagina’s 11-15, tinyurl.com/k8b9dey.

Heiko Tjalsma is beleidsmedaewerker en adviseur bij DANS / Data Archiving and Networked Services, een instituut van KNAW en NWO.

Deze bijdrage komt uit IP nr. 2 / 2014. Het gehele nummer kun je hier lezen

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *