Brussel, 16 april – Tijdens zijn meest recente plenaire vergadering heeft het EDPB richtsnoeren vastgesteld voor de verwerking van persoonsgegevens voor wetenschappelijke onderzoeksdoeleinden. Daarnaast heeft het bestuur een team opgericht om de afronding van de richtlijnen voor anonimisering te versnellen. Het EDPB heeft ook twee adviezen aangenomen over de twee reeksen van de Europrivacy-certificeringscriteria voor goedkeuring als Europese gegevensbeschermingszegels, waarvan er één moet worden gebruikt als instrument voor doorgiften.
Veel gebieden van wetenschappelijk onderzoek zijn afhankelijk van de verwerking van persoonsgegevens van personen, en dit heeft geleid tot belangrijke wetenschappelijke doorbraken die de samenleving ten goede komen. De opkomst van nieuwe technologieën, zoals kunstmatige intelligentie, draagt ook bij tot de wetenschappelijke vooruitgang door onderzoekers in staat te stellen gegevens op innovatieve manieren te gebruiken en te analyseren.
De belangrijkste doelstelling van de EDPB-richtsnoeren inzake wetenschappelijk onderzoek is onderzoekers meer duidelijkheid te verschaffen en de naleving van de AVG te vergemakkelijken, en tegelijkertijd de bescherming van de grondrechten van personen te waarborgen.
“Wetenschappelijk onderzoek kan maatschappelijke vooruitgang stimuleren en ons dagelijks leven verbeteren.
Onze richtlijnen vergemakkelijken innovatief onderzoek door onderzoekers te helpen bij het navigeren door de GDPR.
Het EDPB is vastbesloten de wetenschappelijke gemeenschap te ondersteunen en het volledige potentieel van wetenschappelijk onderzoek in de EU te ontsluiten, met inachtneming van de rechten inzake gegevensbescherming."
EDPB-voorzitter, Anu Talus
In zijn richtsnoeren geeft het Comité verduidelijkingen over het begrip “wetenschappelijk onderzoek”. Om te bepalen of de verwerking plaatsvindt voor wetenschappelijke onderzoeksdoeleinden in de zin van de AVG, verstrekt het Comité zes belangrijke indicatieve factoren die in aanmerking moeten worden genomen, naast de aard, de reikwijdte, de context en de doeleinden van de verwerking. Dit zijn: 1) methodische en systematische aanpak, 2) naleving van ethische normen, 3) verifieerbaarheid en transparantie, 4) autonomie en onafhankelijkheid, 5) doelstellingen van het onderzoek, en 6) potentieel om bij te dragen aan bestaande wetenschappelijke kennis of bestaande kennis op nieuwe manieren toe te passen. Als de onderzoeksactiviteiten aan deze zes factoren voldoen, kunnen zij worden geacht wetenschappelijk onderzoek te vormen. Anders moet de verwerkingsverantwoordelijke rechtvaardigen en kunnen aantonen waarom de activiteiten als wetenschappelijk onderzoek in de zin van de AVG moeten worden beschouwd.
Verdere verwerking voor wetenschappelijk onderzoek wordt geacht verenigbaar te zijn met het oorspronkelijke doel van het verzamelen van persoonsgegevens van natuurlijke personen. Daarom zijn verwerkingsverantwoordelijken niet verplicht om de doelcompatibiliteitstest uit hoofde van de AVG uit te voeren om te bepalen of de nieuwe verwerking verenigbaar is met het oorspronkelijke doel van de verzameling. Verwerkingsverantwoordelijken moeten er echter nog steeds voor zorgen dat de rechtsgrondslag van de initiële verwerking ook geschikt is voor de verdere verwerking van persoonsgegevens voor wetenschappelijke onderzoeksdoeleinden.
Verwerkingsverantwoordelijken kunnen een beroep doen op “brede toestemming” wanneer de doeleinden van het onderzoek niet volledig bekend zijn op het moment dat de persoonsgegevens worden verzameld. In dit geval moeten onderzoekers ethische normen voor wetenschappelijk onderzoek eerbiedigen en aanvullende waarborgen invoeren om het gebrek aan doelspecificatie te compenseren. Verwerkingsverantwoordelijken kunnen personen ook vragen om afzonderlijk toestemming te geven voor verschillende afzonderlijke onderzoeksprojecten, zodra de doeleinden van die projecten bekend worden (dynamische toestemming). Een combinatie van zowel brede als dynamische toestemming is ook mogelijk.
Daarnaast verduidelijkt het EDPB de rechten van personen wanneer hun persoonsgegevens voor wetenschappelijke doeleinden worden verwerkt. Dit omvat de rechten op wissing en bezwaar waarvoor beperkingen kunnen gelden wanneer persoonsgegevens worden verwerkt voor wetenschappelijke onderzoeksdoeleinden. Het Comité geeft voorbeelden om uit te leggen wanneer het recht op wissing kan worden geacht de doelstelling van het verrichten van wetenschappelijk onderzoek onmogelijk te maken of ernstig te schaden. Het EDPB legt ook uit wanneer verwerkingsverantwoordelijken het bezwaar van een persoon tegen de verwerking van zijn persoonsgegevens voor wetenschappelijk onderzoek kunnen afwijzen. Dit kan het geval zijn wanneer de verwerking noodzakelijk is voor de uitvoering van een taak die om redenen van algemeen belang wordt uitgevoerd.
De EDPB herinnert eraan dat wanneer verschillende entiteiten betrokken zijn bij de verwerking van persoonsgegevens voor wetenschappelijk onderzoek, moet worden beoordeeld en gedocumenteerd hoe de verantwoordelijkheden over de entiteiten worden verdeeld. In dit verband bieden de richtsnoeren nuttige voorbeelden om te verduidelijken in welke situaties entiteiten als verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke of verwerker kunnen worden aangemerkt.
Tot slot legt het Comité uit hoe verwerkingsverantwoordelijken de passende technische en organisatorische maatregelen, zoals anonimisering of pseudonimisering, bij de verwerking van persoonsgegevens voor wetenschappelijke onderzoeksdoeleinden kunnen beoordelen. Het EDPB geeft voorbeelden van andere waarborgen die kunnen worden toegepast afhankelijk van de risico’s van de uitgevoerde onderzoeksactiviteiten. Deze omvatten onafhankelijk of ethisch toezicht, beveiligde verwerkingsomgevingen, privacybevorderende technologieën, beschermende maatregelen voor de publicatie van onderzoeksresultaten, vertrouwelijkheidsregelingen en voorwaarden voor verder gebruik.
De richtsnoeren zullen tot 25 juni aan een openbare raadpleging worden onderworpen, zodat belanghebbenden opmerkingen kunnen maken en feedback kunnen geven.
Een “sprintteam” om de werkzaamheden op het gebied van anonimisering af te ronden
Om de afronding van de komende richtlijnen voor anonimisering te versnellen, heeft het bestuur een speciaal "sprintteam" opgericht dat het werk tegen de zomer zal voltooien.
Europrivacy-adviezen
De EDPB heeft een advies aangenomen waarin de bijgewerkte reeks Europrivacy-certificeringscriteria als Europees gegevensbeschermingszegel * overeenkomstig artikel 42, lid 5, AVG wordt goedgekeurd. Het Comité had de Europrivacy-certificeringscriteria voor het eerst goedgekeurd op 10 oktober 2022 als het eerste Europese gegevensbeschermingszegel via advies 28/2022 van het EDPB. Het toepassingsgebied van de Europrivacy-certificeringsregeling is uitgebreid tot buiten Europa gevestigde verwerkingsverantwoordelijken en verwerkers die onderworpen zijn aan artikel 3, lid 2, AVG, hetzij omdat zij goederen of diensten leveren aan personen in Europa, hetzij omdat zij hun gedrag monitoren.
Daarnaast heeft het Comité voor het eerst een advies aangenomen waarin het de Europrivacy-certificeringscriteria erkent als Europees gegevensbeschermingszegel dat moet worden gebruikt als instrument voor doorgiften overeenkomstig de artikelen 42 en 46 AVG. Gegevensimporteurs buiten Europa die niet onder de AVG vallen, kunnen nu een aanvraag indienen voor de Europrivacy-certificeringsregeling voor de overdracht van gegevens die zij ontvangen. Deze certificering zal het gemakkelijker maken om te voldoen aan de verplichting van de verwerkingsverantwoordelijken en verwerkers in Europa om aan te tonen dat zij passende waarborgen bieden voor de doorgifte van persoonsgegevens aan derde landen of internationale organisaties.
Deze goedkeuringen brengen verder licht op de GDPR-certificeringsmechanismen en bevestigen hun sleutelrol als GDPR-nalevingsinstrument.
Opmerking voor redacteuren
*Het Europees gegevensbeschermingszegel is een GDPR-certificeringsmechanisme dat in heel Europa wordt erkend. Het zegel moet voldoen aan specifieke criteria die door het EDPB zijn goedgekeurd en moet worden verleend door een certificeringsinstantie die overeenkomstig artikel 43 AVG is geaccrediteerd om de naleving van de AVG-normen aan te tonen.
Het hier gepubliceerde persbericht is automatisch uit het Engels vertaald. De EDPB garandeert de juistheid van de vertaling niet. Raadpleeg de officiële tekst in de Engelse versie als er enige twijfel bestaat.