Tijdens het onderzoek

In het datamanagementplan beschrijf je hoe je de onderzoeksdata wilt opslaan. Ook waarborg je de veiligheid van de data en plan je hoe je onderzoeksdata kunt uitwisselen met medeonderzoekers.

Anonimiseren en pseudonimiseren

Om de rechten en vrijheden van betrokkenen in onderzoek (zoals bijvoorbeeld respondenten) te beschermen wordt het vaak aangeraden om gegevens te anonimiseren of pseudonimiseren. Het weghalen van namen of identificerende nummers (Burgerservicenummer (BSN), Strafrechtsketennummer (SKN), studienummer et cetera) is niet voldoende om tot anonieme data te komen. Anonimiseren moet per definitie onomkeerbaar zijn, als je tot de geïdentificeerde betrokkenen terug zou kunnen komen dan zijn de gegevens niet anoniem!
Onder de AVG moet gekeken worden naar herleidbaarheid van data en moet een onderzoeker zich de volgende vragen stellen:

  1.  A) Kan ik individuele participanten nog uit de totale groep (mogelijke) respondenten halen zonder hun naam te kennen (singling out)? Of B) Kan een ander of een andere organisatie nog individuele participanten uit de totale groep  (mogelijke) respondenten halen? Het interesseert bedrijven en onderzoekers vaak niet hoe iemand heet als ze die persoon maar terug kunnen vinden of kunnen blijven volgen.
  2. Kan ik nog data uit andere bronnen linken aan de data over deze betrokkene? Ook als je besluit de data niet te linken, als het zou kunnen dan is dit relevant.
  3. Is het mogelijk om uit de beschikbare data over een betrokkene andere data af te leiden? Ook hier geldt dat niet de vraag is of je dat als onderzoeker wilt doen maar of het zou kunnen.

Als je één of meerdere van deze vragen met “ja” zou moeten antwoorden dan zijn de gegevens pseudoniem en niet anoniem. Dit betekent dus ook dat in al het onderzoek waarbij gebruik gemaakt wordt van een uniek identificerend nummer voor een respondent er sprake is van pseudonieme gegevens en dat de eisen die de AVG stelt aan verwerking van deze gegevens gelden. Echt anonimiseren is erg lastig maar pseudonimiseren van gegevens is wel een waardevolle eerste stap om de persoonsgegevens van je respondenten te beveiligen.

Manier om daadwerkelijk te anonimiseren
Een manier om gegevens daadwerkelijk te anonimiseren door herleidbaarheid onmogelijk te maken is door ze te aggregeren. Wat je dan doet is dat je zorgt dat in elke categorie minstens 12 of 8 individuen zitten waardoor gegevens niet meer herleidbaar zijn. Dit kun je bijvoorbeeld doen door opnieuw te coderen. Stel je vraagt naar leeftijdscategorieën en er zijn maar 3 individuen ouder dan 65 jaar dan kun je de leeftijdscategorieën oprekken waardoor je de categorie 55 jaar en ouder hebt waar 15 personen zitten. Zie voorbeeld in tabel 1.

leeftijd

Aantal respondenten

18-25

15

25-40

25

40-55

27

55-65

12

>65

3

Indien je meer wilt weten dan is de Opinion 5/2014 on Anonymisation Techniques van de article 29 data protection working group.

 

 

Data opslag

Onderzoeksdata worden opgeslagen op het HU-Netwerk op een plaats die speciaal is ingericht voor HU-Onderzoek. Hier wordt voor per lectoraat, met de daarbij behorende onderzoeksprojecten, opslagcapaciteit beschikbaar gemaakt. Ook de langdurige opslag is (voorlopig) op deze plek geregeld: \\mdw\dfs\onderzoek.  NB. Deze ruimte is alleen bereikbaar wanneer je op het HU-Netwerk werkt of via een VPN-verbinding daarmee verbonden bent.
Je kunt opslagruimte voor je onderzoeksdata aanvragen via Ask-HU

Voor het delen van data met andere instellingen is Surfdrive beschikbaar. Mocht je nog vragen hebben over opslag, delen van data en het archiveren dan kun je terecht bij  peter-paul.verhoef@hu.nl. Via de helpdesk@hu.nl kun je een licentie voor Surfdrive aanvragen.

Bestandsformaten

Als bewijsvoering voor je onderzoek dienen de onderliggende data gedurende een wettelijk bepaalde termijn bewaard te blijven (tenminste 10 jaar) en toegankelijk voor derden te zijn.
Ieder bestandsformaat loopt het risico om verouderd te raken. Als een formaat veroudert, wil dat zeggen dat men met de huidige software niet meer in staat is om de inhoud van het bestand te gebruiken of weer te geven zoals bedoeld toen het bestand werd gemaakt. Om veroudering voor te zijn, kan een aantal voorzorgsmaatregelen worden genomen. Een van die maatregelen is om bestandsformaten te gebruiken die een hoge kans hebben om vele jaren bruikbaar te blijven.
 
Als algemene richtlijn stelt DANS dat de bestandsformaten die het beste geschikt zijn voor duurzaamheid en toegankelijkheid op de lange termijn:
- veel worden gebruikt
- open specificaties hebben
- onafhankelijk zijn van specifieke software, ontwikkelaars of leveranciers,

Voor het duurzaam bewaren van data heeft DANS een lijst van preferred en acceptabele bestandsformaten opgesteld, waarvan verwacht mag worden dat deze formaten langdurig leesbaar blijven danwel omgezet kunnen worden naar nieuwere formaten.

Veiligheid

Om verlies van data te voorkomen is het noodzakelijk dat de data bewaard worden op systemen die zorgen voor een automatische back-up. Bij opslag van data op het HU-netwerk (de O-, H-, of G-schijf) of op Sharepoint is dit goed geregeld. Op eigen harde schijven of USB-sticks niet. Daarom wordt deze manier van opslag ook afgeraden. Alleen bij zeer geheime data is dit een goed alternatief. Zorg dan zelf voor back-ups.
Er zijn ook opslagmogelijkheden in de Cloud. Drop-box is daar een van de bekendste van, maar juridisch niet de meest gewenste optie, omdat deze in de USA gehost wordt. Een goed alternatief biedt Surfdrive, dat de data in Nederland opslaat.
 
Data, die persoonlijke gegevens bevatten, dienen te voldoen aan de Algemene Verordening Gegevensbescherming.
Via encryptie kunnen data zodanig opgeslagen worden dat deze data voor bijvoorbeeld hackers niet gebruikt kunnen worden. Encryptie biedt een zeer hoge bescherming aan uw datasets. Er zijn  verscheidene mogelijkheden om datasets op deze manier te beveiligen.
 
Diensten als dropbox, We transfer, etc zijn alleen eigenlijk geschikt voor gegevens die geen persoonsgegevens bevatten. Video's waar mensen op staan zijn per definitie persoonsgegevens (en zelfs bijzondere persoonsgegevens). Dus die mogen sowieso niet onversleuteld in genoemde diensten.

Versturen van grote bestanden en samenwerken

Via outlook of ander e-mailprogramma:
Door bestanden aan een e-mailbericht te koppelen kun je je bestanden delen. Dit werkt goed voor relatief kleine bestanden. Niet iedereen zit te wachten op een bestand van tientallen MB’s in zijn mailbox en bovendien zijn er limieten bij  de verzender én bij de ontvanger. Een e-mail van in totaal 5 MB zal meestal wel lukken. Wil je grotere bestanden delen dan zijn er twee alternatieve methoden: je gebruikt een speciale dienst voor het doorsturen van grote bestanden.

Via Surfdrive:
Als je samenwerkt met andere Nederlandse onderwijsinstellingen dan is Surfdrive erg geschikt om bestanden veilig te delen. Surfdrive licenties kunnen aangevraagd worden via de helpdesk.

Via Surffilesender:
Surffilesender is handig voor het veilig verzenden van grote bestanden. Licenties zijn aan te vragen via de helpdesk.

Via We transfer:
We transfer is een commerciële dienst voor het versturen van grote bestanden. Tot 2 GB gratis daarna betaald. Niet geschikt voor geclassificeerde data. Bestanden blijven twee weken online. Als je je bestanden versleuteld verstuurd is je privacy gewaarborgd, anders niet.

Via Send Files Securely:
Bij de commerciële dienst Sendfilessecurely.com kun je een wachtwoord toevoegen; het bestand wordt beveiligd met zware encryptie. Gratis voor bestanden tot 150 MB. Betaald tot 2 GB.

Wat kun je doen na het onderzoek?