Wanneer je persoonsgegevens verwerkt, ben je ethisch én juridisch verplicht om die gegevens voldoende te beschermen voor, tijdens en na je onderzoek.

Het basisniveau van beveiliging moet altijd overeenkomstig het informatieveiligheidsbeleid van de UGent zijn. Er kunnen echter bijkomende maatregelen nodig zijn voor een specifieke verwerking of onderzoek. Welke bijkomende beveiligingsmaatregelen je kiest, hangt af van welke risico's er komen kijken bij de verwerking. Een meer risicovolle verwerking zal gepaard moeten gaan met een uitgebreidere set van veiligheidsmaatregelen.

Op het vlak van databescherming worden anonimisering, pseudonimisering en encryptie door de AVG naar voren geschoven. Soms zijn deze zelfs verplicht als waarborg.

Anonimiseren

Wanneer je zelf persoonsgegevens verzamelt en die nadien anonimiseert, dan valt die anonimisering onder de AVG. Anonimiseren houdt in dat je de betrokkene (de individuele persoon waarop de gegevens betrekking hebben) nadien niet meer kan identificeren noch heridentificeren. Let daarbij op dat het ook niet mogelijk mag zijn om een persoon te (her)identificeren door een dataset aan een andere dataset te koppelen (al dan niet in het bezit van de onderzoeker).

Pseudonimiseren

Als anonimisering niet mogelijk (of wenselijk) is, wordt aangeraden om persoonsgegevens zo snel mogelijk te splitsen van de onderzoeksdata (pseudonimiseren). Het sleutelbestand dat de link bevat tussen onderzoeksdata en persoonsgegevens moet daarbij op een aparte en veilige plaats bewaard worden en bij voorkeur geëncrypteerd. Voor het dagelijkse gebruik wordt dan bij voorkeur gewerkt met de gepseudonimiseerde dataset in plaats van met de niet-gepseudonimiseerde dataset. De toegang tot de ruwe persoonsgegevens moet sterk beperkt worden. Voor een overzicht van verschillende pseudonimiseringstechnieken, bekijk zeker eens deze onderzoektip. 

Encryptie

De AVG beveelt ook sterk aan om versleuteling of encryptie te gebruiken als je data opslaat of doorgeeft. Je kan ervoor kiezen om één of enkele bestanden te encrypteren of om de volledige systeemschijf van je laptop of computer te encrypteren. Voor een overzicht van verschillende encryptiemogelijkheden bekijk zeker de handleiding encryptie voor onderzoekers.

Andere maatregelen

Naast anonimiseren, pseudonimiseren en encryptie zijn er nog een heleboel andere organisatorische en technische beveiligingsmaatregelen die het risico voor de betrokkenen inperken.

Technische maatregelen

Je moet moderne technieken gebruiken om persoonsgegevens te beveiligen.

Organisatorische maatregelen

Naast technische maatregelen moet je ook kijken naar hoe jij en je mede-onderzoekers omgaan met persoonsgegevens. 

Voorbeelden van organisatorische en technische maatregelen: 

• databestanden of documenten bewaren op de UGent netwerkschijven of centraal aangeboden opslagmogelijkheden;
• beveiligde VPN gebruiken voor draadloze apparaten;
• multi-factor authenticatie (MFA) om accounts te beschermen;
• clean desk policy en computers die zich na een bepaalde tijd van inactiviteit automatisch vergrendelen;
• sleutelbeleid van kantoren;
• schermbeveiliging met Windows L-toets gebruiken om scherm te blokkeren;
• toegang tot de persoonsgegevens beperken en controleren;
• veilige systemen gebruiken om data door te geven (bv. Filesender van Belnet);
• veilige procedures gebruiken om data te vernietigen;
• een (periodieke) compliance-training voorzien over gegevensbescherming en informatiebeveiliging voor collega-onderzoekers en partners;
• hashing gebruiken;
• randomisatie gebruiken;
• onderzoeksdeelnemers de mogelijkheid geven om zich in elk stadium van het onderzoek af te melden;
• vermijden dat persoonsgegevens de EER verlaten;
• vermijden om onderzoekresultaten te gebruiken om beslissingen te nemen die rechtstreeks van invloed zijn op individuen;
• korte bewaartermijnen hanteren;
• het risico op stigmatisering verlagen door te werken met een grote populatie; de gegevens worden met ‘ruis’ bedekt om stigmatisering te vermijden;
• dataminimalisatie consequent toepassen voor, tijdens en na het onderzoek; voortdurend herevalueren welke persoonsgegevens strikt noodzakelijk zijn voor de onderzoeksdoeleinden;
• extra waarborgen nemen met betrekking tot de mailbox: bedenktermijn van enkele seconden om de verzending van mails nog te kunnen annuleren, een extra bevestiging vereisen bij mail aan meerdere personen, …;
• actuele, veilige en regelmatig gecontroleerde back-upprocedure gebruiken;
• systematische (anti-malware) software-updates gebruiken.

Meer informatie en tips over veilig omgaan met je data vind je op de pagina over dataveiligheid.