AVG: wat zijn de verschillende rollen en verantwoordelijkheden?
Binnen de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) worden verschillende rollen gedefinieerd bij de verwerking van persoonsgegevens. De belangrijkste rollen zijn:
- verwerkingsverantwoordelijke
- gezamenlijke verwerkingsverantwoordelijke
- verwerker
Aangezien verwerkingsverantwoordelijken en verwerkers verschillende verantwoordelijkheden en verplichtingen hebben, is het belangrijk dat je deze rollen (samen met de andere partners in je onderzoek) aan de start van het onderzoek duidelijk bepaald.
Verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke wordt gedefinieerd als “de instelling/organisatie die het doel en de middelen van de verwerking bepaalt”. Let op, het louter ter beschikking stellen van onderzoeksfinanciering (zoals door het FWO, de Europese Commissie,…) is niet voldoende om in het kader van onderzoek verwerkingsverantwoordelijke te zijn. In dit geval blijft de UGent de verwerkingsverantwoordelijke.
Voorbeelden:
- Je bent FWO-aspirant en bepaalt samen met de promotor, die professor is aan de UGent, de doeleinden van je onderzoek. Hoewel je onderzoek gefinancierd wordt door het FWO, is de UGent de verwerkingsverantwoordelijke. Het FWO is louter de financier.
- UGent-onderzoekers van de Faculteit Psychologie & Pedagogische Wetenschappen verzamelen gegevens (met inbegrip van persoonsgegevens, zoals menselijk lichaamsmateriaal, beeldvorming, enquêtes…) van patiënten / vrijwilligers. Deze gegevens zijn niet afkomstig/ worden niet verzameld van/binnen het UZ Gent. De UGent is verwerkingsverantwoordelijke.
- UZGent-onderzoekers (niet verbonden aan de UGent) verzamelen gegevens (met inbegrip van persoonsgegevens, zoals menselijk lichaamsmateriaal, beeldvorming, enquêtes) bij patiënten. Niet de UGent maar het UZGent is de verwerkingsverantwoordelijke. Dit is ook het geval voor onderzoeksprojecten met vrijwilligers van UZ Gent diensten, bv. D.R.U.G., CEVAC, poliklinische diensten,… waarbij de hoofdonderzoeker niet verbonden is aan de UGent.
- UGent/UZGent-onderzoekers verwerken gegevens in het kader van industrie gesponsord onderzoek. De farmaceutische firma is sponsor van de klinische studie en zal optreden als verwerkingsverantwoordelijke. Bijgevolg zijn UGent en/of UZ Gent verwerker(s).
Hoewel de UGent optreedt als verwerkingsverantwoordelijke voor het meeste onderzoek met persoonsgegevens dat gebeurt aan de UGent, is gegevensbescherming een gedeelde verantwoordelijkheid van jou en de andere betrokken onderzoekers. Onderzoekers zijn binnen hun eigen onderzoeksprojecten verantwoordelijk om de privacyaspecten grondig te overwegen en de wettelijke verplichtingen van de AVG en de Generieke gedragscode voor verwerking van persoonsgegevens en vertrouwelijke informatie aan UGent na te leven.
Gezamenlijke verwerkingsverantwoordelijken
Bij gezamenlijke verwerkingsverantwoordelijken worden het doel en de middelen van de verwerking bepaald door twee of meer organisaties/instellingen.
Gezamenlijke verwerkingsverantwoordelijken dienen op transparante wijze hun respectievelijke verantwoordelijkheden voor de naleving van de verplichtingen van de AVG vast te leggen; onder meer vastleggen wie verantwoordelijk is voor het verstrekken van informatie aan de betrokkenen en wie verantwoordelijk is voor de behandelen van verzoeken met betrekking tot de rechten van de betrokkenen.
Voorbeelden:
- Je voert een onderzoek uit samen met een andere universiteit in het binnen- of buitenland waarbij beide partners het onderzoeksopzet (in min of meer gelijke mate) bepalen. De UGent en de partner zijn gezamenlijke verwerkingsverantwoordelijken. Het gaat hierbij niet om een situatie waarbij één universiteit slechts pure leverancier is van gegevens of enkel een specifieke opdracht in onderaanneming uitvoert.
- Een hoofdonderzoeker verbonden aan de UGent verzamelt/gebruikt gegevens (met inbegrip van persoonsgegevens, zoals menselijk lichaamsmateriaal, beeldvorming, enquêtes…) bij UZ Gent-patiënten. De UGent en het UZ Gent zijn gezamenlijke verwerkingsverantwoordelijken. Dit is ook het geval bij onderzoeksprojecten met vrijwilligers van UZ Gent, bv D.R.U.G., CEVAC, poliklinische diensten, door een hoofdonderzoeker verbonden aan de UGent.
Indien er een andere universiteit, ziekenhuis, onderzoeksinstelling of partner betrokken is bij het onderzoek (naast de UGent en / of het UZ Gent), treden de UGent en / of het UZ Gent op als gezamenlijke verwerkingsverantwoordelijke samen met deze andere partij, of als verwerker of subverwerker namens deze andere partij (zie hieronder).
Verwerker
Tot slot kan een instelling/organisatie of onderzoeker ook optreden als verwerker. In dit geval verwerkt de instelling, organisatie of onderzoeker persoonsgegevens in opdracht van een andere organisatie.
Voorbeelden:
- Contractonderzoek, dienstverlening in opdracht van private bedrijven, of sommige types van beleidsrelevant onderzoek.
- In het kader van industrie gesponsord onderzoek is een farmaceutische firma sponsor van de klinische studie en zal deze optreden als verwerkingsverantwoordelijke. Bijgevolg zijn UGent en/of UZ Gent verwerker(s).
Binnen een onderzoeksproject of in een onderzoekssamenwerking kan het ook voorkomen dat je zelf beroep doet op verwerkers voor het verzamelen, verwerken, opslaan of het beschikbaar maken van persoonsgegevens.
Bijvoorbeeld: onderzoekers doen beroep op een bedrijf om surveys uit te sturen aan de betrokkenen, of om bepaalde resultaten van interviews en surveys te analyseren. In dit geval zal de UGent optreden als verwerkingsverantwoordelijke en het bedrijf als verwerker.
Het is belangrijk om alle afspraken tussen verwerkingsverantwoordelijke(n) en verwerker(s) of tussen verwerkers en subverwerkers vast te leggen in een overeenkomst. Contacteer hiervoor de juridische ondersteuningsdienst van TechTransfer.
Meer tips
- AVG: hoe ben ik transparant ten aanzien van de betrokkenen van mijn onderzoek? (Integer onderzoek & ethiek)
- AVG: hoe beveilig ik mijn data op een correcte manier? (Integer onderzoek & ethiek)
- AVG: hoe lang mag ik onderzoeksdata met persoonsgegevens bewaren? (Integer onderzoek & ethiek)
- AVG: hoe registreer ik mijn verwerkingen van persoonsgegevens? (Integer onderzoek & ethiek)
- AVG: hoe zorg ik ervoor dat de verwerking van persoonsgegevens rechtmatig gebeurt? (Integer onderzoek & ethiek)
- AVG: Mag ik onderzoeksdata met persoonsgegevens delen met andere onderzoekers of instellingen wanneer mijn onderzoeksproject afgelopen is? (Integer onderzoek & ethiek)
- AVG: waar moet ik aan denken als ik (online) surveytools gebruik? (Integer onderzoek & ethiek)
- AVG: waar moet ik aan denken vooraleer ik bijzondere categorieën van persoonsgegevens verwerk? (Integer onderzoek & ethiek)
- AVG: waar moet ik aan denken wanneer ik gebruik maak van een mailinglijst/verzendlijst in het kader van mijn onderzoek? (Integer onderzoek & ethiek)
- AVG: waar moet ik aan denken wanneer ik persoonsgegevens verwerk van minderjarigen? (Integer onderzoek & ethiek)
- AVG: Waaraan moet ik denken bij de doorgifte van persoonsgegevens naar andere landen of internationale organisaties? (Integer onderzoek & ethiek)
- AVG: waaraan moet ik denken bij het design van mijn onderzoek? (Integer onderzoek & ethiek)
- AVG: Waaraan moet ik denken wanneer ik samenwerk met anderen of mijn data deel? (Integer onderzoek & ethiek)
- AVG: waarom is het belangrijk om mij te houden aan deze wetgeving? (Integer onderzoek & ethiek)
- AVG: wanneer is deze wetgeving van toepassing op mijn onderzoek? (Integer onderzoek & ethiek)
- AVG: Wanneer verwerk ik persoonsgegevens met een hoog risico en wanneer moet ik een GEB uitvoeren? (Integer onderzoek & ethiek)
- AVG: wat is de Algemene Verordening Gegevensbescherming? (Integer onderzoek & ethiek)
- AVG: wat moet ik doen bij een verdere/secundaire verwerking van persoonsgegevens? (Integer onderzoek & ethiek)
- AVG: Wat moet ik doen wanneer er sprake is van een datalek? (Integer onderzoek & ethiek)
- AVG: wat verandert er ten opzichte van de vorige privacywetgeving? (Integer onderzoek & ethiek)
- AVG: wat zijn de basisprincipes? (Integer onderzoek & ethiek)
- AVG: wat zijn persoonsgegevens? (Integer onderzoek & ethiek)
- AVG: welke informatie moet ik opnemen in een informed consent formulier wanneer de verwerking van persoonsgegevens gebaseerd is op toestemming van de betrokkenen? (Integer onderzoek & ethiek)
- AVG: welke rechten hebben de betrokkenen, hoe respecteer ik deze en welke uitzonderingen kunnen gelden voor onderzoek? (Integer onderzoek & ethiek)
- AVG: wie wordt beschouwd als kwetsbare personen? (Integer onderzoek & ethiek)
Vertaalde tips
Laatst aangepast 28 augustus 2024 09:56