De nieuwe privacywet AVG en onderzoek: wij schrikken daar niet van

Het zal u niet ontgaan zijn: vandaag, vrijdag 25 mei, is de Europese privacywetgeving (Algemene Verordening Gegevensbescherming, AVG) in werking getreden. Je kunt de laatste tijd geen krant openslaan of nieuwswebsite openen zonder alarmerende berichten. Het bedrijfsleven zou nog helemaal niet klaar zijn voor de AVG en er dreigen torenhoge boetebedragen.

Er zijn ook andere geluiden. Bijvoorbeeld dat de soep niet zo heet gegeten wordt als hij wordt opgediend. Bedrijven zouden onnodig zware maatregelen treffen om te voldoen aan de AVG die niet sterk verschilt van de Wet bescherming persoonsgegevens (Wbp). De implicaties zijn voor iedere betrokkenen anders: de ene bedrijfstak is meer tijd energie kwijt aan het AVG-proof worden dan de andere. Door onvoldoende juridische basiskennis en kopieergedrag kunnen bedrijven zichzelf voorbijlopen.

Hoe zit dit dan voor de onderzoeksbranche? En dus voor I&O Research? Een belangrijk gegeven is dat onderzoek en statistische analyse als verenigbaar mogen worden beschouwd met aanvankelijke doeleinden waarvoor persoonsgegevens zijn verzameld. Dat betekent dat je persoonsgegevens mag gebruiken voor onderzoeksdoeleinden zonder dat diegene daar bij het opgeven van de gegevens toestemming voor heeft gegeven. Voor onderzoeksdoeleinden zijn er binnen AVG-kaders meer vrijheden dan voor commerciële, charitatieve en ideële doeleinden. Dat was onder de Wbp niet anders.

De AVG draagt zonder meer bij aan een verscherpt bewustzijn over databeveiliging en privacybescherming in de onderzoeksbranche. Er zijn de laatste jaren meer nieuwe ontwikkelingen op dit vlak. Steeds meer bureaus zijn ISO 27001 gecertificeerd waarmee ze aantonen de gegevensbeveiliging goed op orde te hebben. In mei 2017 heeft ook I&O Research dit certificaat behaald.

In april 2018 hebben de brancheverenigingen MOA, VBO en VSO de nieuwe integriteitscode voor statistisch- en data-analytics onderzoek ter goedkeuring aangeboden bij de Autoriteit Persoonsgegevens. Volmondig onderschrijven wij de nieuwe integriteitscode, die AVG-proof is en de voormalige gedragscode vervangt. De code bevat richtlijnen voor het integer omgaan met data, het vergroten van privacybewustzijn en transparant handelen en communiceren over onderzoek en gebruik van (gevoelige) gegevens.

We zien het bewustzijn over de noodzaak van databeveiliging en privacybescherming bij medewerkers, opdrachtgevers en leveranciers toenemen. Dat is winst voor alle betrokkenen. Maar we moeten er voor waken door te schieten. Onzekerheid of onbekendheid met privacyregelgeving kunnen een verlammend effect hebben: het inzetten van te zware middelen om privacybescherming te waarborgen, het niet beschikbaar stellen van persoonsgegevens voor onderzoeksdoeleinden of zelfs in het geheel afzien van onderzoek.

Aan ons als functionarissen gegevensbescherming bij I&O Research de schone taak om die balans te vinden, te bewaken en onze collega’s te adviseren over de omgang met persoonsgegevens en daarmee de mogelijkheden van onderzoekstoepassingen. Wij zijn gewend om te werken met veel en gevoelige data voor (grote) partijen in de publieke sector zoals gemeenten, ministeries, CBS, SCP, RIVM, GGD, UWV, KvK, etc. We weten goed wat de AVG van ons en van u vraagt. We zetten extra stappen als dat de transparantie bevordert. Tegelijkertijd waken we voor te zware maatregelen die het proces onnodig kunnen belasten.