Door: drs. Hans Hoekstra
De nieuwe privacywetgeving en onderzoek: wat betekent het voor u?
Vanaf 25 mei 2018 treedt de nieuwe privacywetgeving, ook wel de Algemene Verordening Gegevensbescherming (AVG), in werking. In april 2016 heeft het Europees Parlement deze AVG aangenomen en moeten alle lidstaten van de EU voor 25 mei 2018 voldoen aan deze nieuwe wetgeving. Deze nieuwe wetgeving heeft impact op alle organisaties: groot, klein, maar ook ZZP’ers die persoonsgegevens verwerken. Als organisatie of medewerker krijg je hier, hoe dan ook, mee te maken.
In de Algemene Verordening Gegevensverwerking (AVG) wordt onderscheid gemaakt tussen het verwerken van gegevens voor marketing- en/of salesdoeleinden en voor onderzoeksdoeleinden. Voor onderzoeksdoeleinden gelden andere, minder strenge, regels.
U mag als organisatie nog steeds onderzoeken uitvoeren onder verschillende doelgroepen. Zowel binnen als buiten uw organisatie mag u medewerkers, klanten, leveranciers etc. ondervragen. Deze onderzoeken hoeft u ook niet zelf uit te voeren, maar mag u, ook met de nieuwe wetgeving, laten uitvoeren door externe partijen.
De belangrijkste regel die voor onderzoeksdoeleinden geldt is ‘indien men rapporteert aan de (interne of externe) opdrachtgever mogen persoonsgegevens niet herleidbaar zijn zonder toestemming van de betreffende persoon’.
Indien men bij de rapportage de data loskoppelt van persoonsgegevens is er niets aan de hand. Tijdens het uitvoeren van het onderzoek, mag u deze persoonsgegevens blijven verwerken.
Wat is er dan wel veranderd?
Anoniem: zowel rapportages als middelen
Niet alleen onderzoeksrapportages dienen geanonimiseerd opgeleverd te worden, maar ook bij de middelen die u gebruikt heeft om de data te vergaren is het van belang dat een persoon niet identificeerbaar is. Zodra persoonsgegevens niet meer nodig zijn, moeten deze gegevens verwijderd worden. Voor uw onderzoek betekent dit dat rapportages geanonimiseerd opgeleverd worden én dat niet meer naar een individu te herleiden is welke antwoorden deze persoon gegeven heeft. Ditzelfde geldt voor de middelen die u gebruikt hebt om uw data te vergaren.
Verwijderen van persoonsgegevens is verplicht
Indien u gebruik maakt van een externe partij (of onderzoekstool) die beschikking krijgt over de persoonsgegevens van uw klanten, dient u altijd voorafgaand aan de dienst een verwerkersovereenkomst met deze organisatie af te sluiten. Heeft u een bewerkersovereenkomst met deze partij? Dan is het geen probleem om persoonsgegevens (bijvoorbeeld NAW-gegevens) te delen met een (markt)onderzoeksbureau. Het (markt)onderzoeksbureau is verplicht om na afronding van de opdracht de persoonsgegevens te verwijderen. Is er geen getekende verwerkersovereenkomst? Dan mag de opdracht niet uitgevoerd worden door de derde partij. Maakt u gebruik van langere contracten of meerdere opdrachten achter elkaar, dan hoeft alleen de bijlage van de verwerkersovereenkomst vernieuwd te worden. In deze bijlage staat specifiek voor de betreffende opdracht welke gegevens verwerkt worden en met welk doel. Veelal wordt deze bewerkersovereenkomst samen met het opdrachtvoorstel aangeleverd en getekend. Deze verwerkersovereenkomsten gelden niet alleen voor u en uw opdrachtgevers, maar ook voor u en uw leveranciers in geval van gegevensverwerking.
Respondent heeft recht op inzicht in doel
Een respondent heeft altijd recht op inzicht in het onderzoeksdoel en de onderzoeksorganisatie (en opdrachtgever). Ook moet een plek benoemd worden waar de respondent meer informatie kan vinden. Daarnaast hebben respondenten altijd het recht om informatie die van hen opgeslagen is in te zien, maar hebben zij ook het recht om ‘vergeten’ te worden en geheel uit systemen verwijderd te worden.
Opdrachtgever mag bijvoorbeeld niet zien wie wel of juist niet gereageerd hebben
De opdrachtgever mag nooit inzicht krijgen in verwerkte persoonsgegevens. Een verwerker mag respondenten die nog niet gereageerd hebben wel benaderen om dit alsnog te doen, maar de opdrachtgever zelf mag dit niet omdat hij geen verwerkte persoonsgegevens mag inzien. Het inzien welke respondenten wel of niet gereageerd hebben is namelijk een verwerking. Het is daarom niet toegestaan om bestanden van niet benaderde respondenten terug te sturen naar de opdrachtgever. In rapportages mag u alleen gepseudonimiseerde (persoons)gegevens opnemen als de respondent daar toestemming voor heeft gegeven. Indien video- of audio-opnamen in rapportages opgenomen worden, mag dit alleen bij toestemming van de respondent.
Lijst bijhouden welke respondenten niet meer benaderd willen worden
Indien personen in de toekomst niet meer benaderd wil worden, moet een lijst bijgehouden worden. Hierbij wordt onderscheid gemaakt door wie men niet meer benaderd wil worden. Indien men niet meer door de opdrachtgever benaderd wil worden, moet de opdrachtgever deze lijst met personen zelf bijhouden. Indien men niet meer door de verwerker (ook voor andere opdrachtgevers) niet meer benaderd wil worden, moet de verwerker deze lijst bijhouden.
Gebruik van een panel? Akkoord vanuit het panellid op de condities
Maakt uw organisatie gebruik van een eigen panel? In dat geval moet een panellid akkoord geven op de panelvoorwaarden waarin staat onder welke condities men mee doet aan het panel. Ook dienen persoonsgegevens die niet langer relevant zijn verwijderd te worden (bijvoorbeeld: de huwelijkse staat van 5 jaar geleden van een panellid is niet meer relevant en dient verwijderd te worden).
8 belangrijke regels bij de nieuwe privacywetgeving (de Algemene Verordening Gegevensbescherming)
Resumerend kunnen we stellen dat er 8 belangrijke regels gelden bij het verwerken van persoonsgevens. Eigenlijk zijn dit basisregels die bij (markt)onderzoek reeds gehanteerd werden. Onderstaande regels zijn dan ook niet allemaal nieuw, maar wel van belang om aan de nieuwe AVG te voldoen.
- Bewaar persoonsgegevens niet langer dan noodzakelijk;
- Verzamel alleen de noodzakelijke persoonsgegevens;
- Verwerk persoonsgegevens niet voor andere doelen;
- Gebruik gepseudonimiseerde (persoons)gegevens in rapportages alleen bij toestemming van de respondent;
- Geef de respondent inzicht in het onderzoeksdoel, de -organisatie (en opdrachtgever) en de plek waar nadere informatie te vinden is;
- Informeer de respondent bij gebruik van video- of opnameapparatuur;
- Gebruik video- of audio-opnamen alleen in rapportages bij toestemming van de respondent;
- Zorg ervoor dat een persoon niet identificeerbaar is.
Wat moet ik doen als ik een licentie op de Onderzoekstool, Exploratio en/of een onderzoekspanel bij Newcom heb?
Gebruikt u één van onze onderzoekstools of heeft u bij ons een onderzoekspanel? Dan dragen wij er zorg voor dat uw verzamelde data na 25 mei 2018 losgekoppeld wordt van de ondervraagde personen en de persoonsgegevens eenvoudig uit de onderzoekstool te verwijderen zijn. U hoeft dus feitelijk niks te doen, wij hebben al voorgesorteerd op de nieuwe AVG.
Newcom is gecertificeerd.
Oprichter en directeur Neil van der Veer: “Betrouwbaarheid is voor ons een bestaansrecht. Wij werken de hele dag door met privacygevoelige bestanden en hebben daar alle processen op afgestemd. We zijn heel blij met onze ISO 9001 en ISO 27001 certificering. De privacy en dataveiligheid zijn daarmee nu ook officieel bij ons gewaarborgd. Of u nu een onderzoek door ons uit laat voeren onder uw doelgroep of gebruik maakt van onze panels en/of onderzoekstools”.
Tot slot
Newcom hecht grote waarde aan het voldoen aan de nieuwe privacywetgeving en maakt het mogelijk dat ook u, door het gebruik van onze tools en panels, voor het uitvoeren van (markt)onderzoek volledig aan deze privacywetgeving voldoet. De beveiliging van uw gegevens en informatie is voor ons al heel lang essentieel, al lang voordat de nieuwe AVG in gang zal worden gezet.
Wilt u meer informatie over het toepassen van de nieuwe privacywetgeving bij het uitvoeren van onderzoek? Neem gerust contact op.