Wanneer je voor het verzamelen van persoonsgegevens gebruikmaakt van een (online) surveytool, moet je er als onderzoeker over waken dat die surveytool én jouw gebruik ervan conform de AVG/GDPR zijn.

Sinds 1 januari 2022 heeft de UGent een campuslicentie voor Qualtrics. Andere surveytools worden niet meer ondersteund door DICT.

Hoe kan ik nagaan of een online surveytool GDPR-conform is?

Vooraleer je een surveytool gebruikt, moet je nagaan of de tool op zich GDPR-conform is. Om dat na te gaan moet je de tool aftoetsen aan de basisprincipes van de AVG. Basisinformatie daarover kan je vinden in de gebruiksvoorwaarden en de privacyverklaring van de tool zelf.

Opgelet: sommige tools gebruiken de persoonsgegevens die jij verzamelt ook voor andere (eigen!) doeleinden (bv. direct marketing, advertising en soms verkopen ze die persoonsgegevens zelfs door aan derden). Dergelijke tools vermijd je beter.

Hoe kan ik online surveytools GDPR-conform gebruiken?

‘GDPR-conform’ gebruik vereist ook een correct gebruik van de tool. Je kan immers een tool die gegarandeerd GDPR-conform is (volgens de leverancier en bij voorkeur ook volgens externe reviews of certificaten) incorrect gebruiken waardoor je zélf de basisbeginselen van de GDPR overtreedt.

Je moet als onderzoeker persoonsgegevens rechtmatig verwerken. Het is jouw verantwoordelijkheid als onderzoeker om de surveytool op een GDPR-conforme manier gebruiken.

Praktische richtlijnen: hoe ga ik concreet te werk?

De survey/vragenlijst ontwerpen

Je moet als onderzoeker bij het ontwerp van je survey steeds de basisbeginselen van de GDPR implementeren ('privacy by design'). Deze vragen kunnen je daarbij helpen:

• Heb ik wel écht persoonsgegevens nodig? Kan ik ook met anonieme gegevens werken?
• Welke persoonsgegevens heb ik nodig om het onderzoeksdoeleinde te bereiken (dataminimalisatie)?
• Heb ik een strategie om persoonsgegevens zo snel als mogelijk te anonimiseren of pseudonimiseren?
• Worden de respondenten (deelnemers aan de survey) voorafgaand aan hun deelname voldoende geïnformeerd over de gegevensverzameling, het doeleinde en hun rechten (transparantie)? In een projectspecifieke privacyverklaring? In een uitnodiging tot deelname aan de survey? Is er een informatiebrief, -mail of -pagina? Of worden ze op een andere manier geïnformeerd?
• Waar worden de gegevens die ik in de survey heb verzameld veilig bewaard en opgeslagen (gegevensbescherming)? Lokaal op een UGent-server of in een cloudtoepassing (van jezelf / van de tool)? Binnen of buiten België of zelfs buiten de EU?
• Op welke manier vraag ik in de surveytool de actieve toestemming van de respondenten?
• Wanneer ga ik de persoonsgegevens verwijderen? 
• Heb ik bijkomende mechanismen nodig voor deelnemers die hun gegevens willen raadplegen, wijzigen of wissen? Hoe kunnen deelnemers hun toestemming intrekken of hun gegevens laten verwijderen?
• Heb ik het AVG-Register ingevuld (in DMPonline.be)?
• Heb ik alle (persoons)gegevens uit de online tool verwijderd wanneer de survey voltooid is?

De juiste surveytool selecteren

Naast bovenstaande vragen over het ontwerp van je survey/vragenlijst, kunnen onderstaande vragen je helpen bij het selecteren van een juiste surveytool:

• Waar worden de data in de (online) surveytool bewaard? Als de data bewaard worden op servers buiten de EU, moet je je er eerst van vergewissen of het land van bestemming een passend beschermingsniveau biedt. indien het beschermingsniveau van het land van bestemming als passend beschouwd kan worden, kan het bewaren gebeuren alsof het om een bewaring binnen de Europese Unie gaat. Indien het beschermingsniveau van het land van bestemming NIET als passend beschouwd kan worden, moet je aanvullende strenge maatregelen enemen omdat tot het juiste beschermingsniveau te tillen. Het gebruik van (online) surveytools met servers buiten de EU heeft om die reden niet de voorkeur.
• Biedt de (online) surveytool voldoende garanties inzake veiligheid en bescherming van de data? Heeft de tool zelf bepaalde contracten of certificaten die ze aanbieden, zoals ISO27001 certificatie of resultaten van veiligheidsanalyses (security audits, pentesten, …)?
• Biedt de tool voldoende garanties voor de beveiliging (bv. worden de gegevensverbindingen versleuteld met HTTPS-encryptie en SSL-certificaten)?
• Voert de tool zeker zelf geen andere verwerkingen of activiteiten uit met de data dan diegene waarvoor jij de opdracht gegeven hebt?
• Worden de data na afloop automatisch verwijderd door de (survey)tool? Als dat niet kan, zorg ervoor dat jij dat kan eisen of zelf kan uitvoeren.
• Hoe kunnen de deelnemers hun rechten uitoefenen? Kan dat ingesteld worden in de (online) surveytool zelf? Of moet dat apart gebeuren, bijvoorbeeld via mail aan jou?
• Kan je zelf de instellingen met betrekking tot de dataverzameling, bewaring en bescherming aanpassen? Bijvoorbeeld: kan je de verzameling van het IP-adres van de deelnemers uitvinken in de instellingen van de online surveytool?
• Heb je een verwerkingsovereenkomst (of ‘data processing agreement’) afgesloten met de (online) surveytool? Controleer welke rol de surveytool op zal nemen. In de meeste gevallen zal de (online) surveytool optreden als verwerker en zal jij namens de UGent, optreden als verwerkingsverantwoordelijke. Tussen de UGent Qualtrics werden de noodzakelijke aspecten met betrekking tot privacy en veiligheid reeds vastgelegd in een verwerkingsovereenkomst. Wanneer je gebruik maakt van Qualtrics voor jouw onderzoek, hoef je zelf geen verwerkingsovereenkomst meer af te sluiten. Wanneer je toch een andere surveytool wenst te gebruiken, contacteer dan de juridische ondersteuningsdienst van de afdeling TechTransfer om een contract aan te aanvragen (verwerkingsovereenkomst met de surveytool).
• Wat gebeurt er als er sprake is van een datalek? Word je daarvan als gebruiker binnen de voorziene tijd op de hoogte gesteld?

Het antwoord op de meeste van die vragen kan je terugvinden in de privacyverklaring, de website of in andere informatie over gegevensbescherming van de (online) surveytool.

Samengevat

• Maak bij voorkeur gebruik van Qualtrics voor online bevragingen.
• Zorg dat je zelf de juiste en voldoende maatregelen genomen hebt om de persoonsgegevens veilig en in lijn met de GDPR te verzamelen en verwerken. Denk daarbij aan gegevensminimalisatie, gegevensbescherming en transparantie.
• Controleer de website, privacyverklaring en andere informatie over de gegevensbescherming van de (online) surveytool.
• Wanneer je voor je onderzoek een andere surveytool dan Qualtrics gebruikt, zorg dan voor een verwerkingsovereenkomst (data processing agreement) waarin je de juiste voorwaarden vastlegt (contacteer daarvoor de juridische ondersteuningsdienst van TechTransfer).
• Registreer je gegevensverwerking voor de aanvang in het AVG-Register van de UGent (via DMPonline.be).