Binnen de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) worden verschillende rollen gedefinieerd bij de verwerking van persoonsgegevens. De belangrijkste rollen zijn: 

• verwerkingsverantwoordelijke
• gezamenlijke verwerkingsverantwoordelijke
• verwerker

Aangezien verwerkingsverantwoordelijken en verwerkers verschillende verantwoordelijkheden en verplichtingen hebben, is het belangrijk dat je deze rollen (samen met de andere partners in je onderzoek) aan de start van het onderzoek duidelijk bepaald. 

Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke wordt gedefinieerd als “de instelling/organisatie die het doel en de middelen van de verwerking bepaalt”. Let op, het louter ter beschikking stellen van onderzoeksfinanciering (zoals door het FWO, de Europese Commissie,…) is niet voldoende om in het kader van onderzoek verwerkingsverantwoordelijke te zijn. In dit geval blijft de UGent de verwerkingsverantwoordelijke.

Voorbeelden:

• Je bent FWO-aspirant en bepaalt samen met de promotor, die professor is aan de UGent, de doeleinden van je onderzoek. Hoewel je onderzoek gefinancierd wordt door het FWO, is de UGent de verwerkingsverantwoordelijke. Het FWO is louter de financier.
• UGent-onderzoekers van de Faculteit Psychologie & Pedagogische Wetenschappen verzamelen gegevens (met inbegrip van persoonsgegevens, zoals menselijk lichaamsmateriaal, beeldvorming, enquêtes…) van patiënten / vrijwilligers. Deze gegevens zijn niet afkomstig/ worden niet verzameld van/binnen het UZ Gent. De UGent is verwerkingsverantwoordelijke.
• UZGent-onderzoekers (niet verbonden aan de UGent) verzamelen gegevens (met inbegrip van persoonsgegevens, zoals menselijk lichaamsmateriaal, beeldvorming, enquêtes) bij patiënten. Niet de UGent maar het UZGent is de verwerkingsverantwoordelijke. Dit is ook het geval voor onderzoeksprojecten met vrijwilligers van UZ Gent diensten, bv. D.R.U.G., CEVAC, poliklinische diensten,… waarbij de hoofdonderzoeker niet verbonden is aan de UGent.
• UGent/UZGent-onderzoekers verwerken gegevens in het kader van industrie gesponsord onderzoek. De farmaceutische firma is sponsor van de klinische studie en zal optreden als verwerkingsverantwoordelijke. Bijgevolg zijn UGent en/of UZ Gent verwerker(s).

Hoewel de UGent optreedt als verwerkingsverantwoordelijke voor het meeste onderzoek met persoonsgegevens dat gebeurt aan de UGent, is gegevensbescherming een gedeelde verantwoordelijkheid van jou en de andere betrokken onderzoekers. Onderzoekers zijn binnen hun eigen onderzoeksprojecten verantwoordelijk om de privacyaspecten grondig te overwegen en de wettelijke verplichtingen van de AVG en de Generieke gedragscode voor verwerking van persoonsgegevens en vertrouwelijke informatie aan UGent na te leven.

Gezamenlijke verwerkingsverantwoordelijken

Bij gezamenlijke verwerkingsverantwoordelijken worden het doel en de middelen van de verwerking bepaald door twee of meer organisaties/instellingen.

Gezamenlijke verwerkingsverantwoordelijken dienen op transparante wijze hun respectievelijke verantwoordelijkheden voor de naleving van de verplichtingen van de AVG vast te leggen; onder meer vastleggen wie verantwoordelijk is voor het verstrekken van informatie aan de betrokkenen en wie verantwoordelijk is voor de behandelen van verzoeken met betrekking tot de rechten van de betrokkenen.

Voorbeelden:

• Je voert een onderzoek uit samen met een andere universiteit in het binnen- of buitenland waarbij beide partners het onderzoeksopzet (in min of meer gelijke mate) bepalen. De UGent en de partner zijn gezamenlijke verwerkingsverantwoordelijken. Het gaat hierbij niet om een situatie waarbij één universiteit slechts pure leverancier is van gegevens of enkel een specifieke opdracht in onderaanneming uitvoert.
• Een hoofdonderzoeker verbonden aan de UGent verzamelt/gebruikt gegevens (met inbegrip van persoonsgegevens, zoals menselijk lichaamsmateriaal, beeldvorming, enquêtes…) bij UZ Gent-patiënten. De UGent en het UZ Gent zijn gezamenlijke verwerkingsverantwoordelijken. Dit is ook het geval bij onderzoeksprojecten met vrijwilligers van UZ Gent, bv D.R.U.G., CEVAC, poliklinische diensten, door een hoofdonderzoeker verbonden aan de UGent.

Indien er een andere universiteit, ziekenhuis, onderzoeksinstelling of partner betrokken is bij het onderzoek (naast de UGent en / of het UZ Gent), treden de UGent en / of het UZ Gent op als gezamenlijke verwerkingsverantwoordelijke samen met deze andere partij, of als verwerker of subverwerker namens deze andere partij (zie hieronder).

Verwerker

Tot slot kan een instelling/organisatie of onderzoeker ook optreden als verwerker. In dit geval verwerkt de instelling, organisatie of onderzoeker persoonsgegevens in opdracht van een andere organisatie.

Voorbeelden:

• Contractonderzoek, dienstverlening in opdracht van private bedrijven, of sommige types van beleidsrelevant onderzoek.
• In het kader van industrie gesponsord onderzoek is een farmaceutische firma sponsor van de klinische studie en zal deze optreden als verwerkingsverantwoordelijke. Bijgevolg zijn UGent en/of UZ Gent verwerker(s).

Binnen een onderzoeksproject of in een onderzoekssamenwerking kan het ook voorkomen dat je zelf beroep doet op verwerkers voor het verzamelen, verwerken, opslaan of het beschikbaar maken van persoonsgegevens.

Bijvoorbeeld: onderzoekers doen beroep op een bedrijf om surveys uit te sturen aan de betrokkenen, of om bepaalde resultaten van interviews en surveys te analyseren. In dit geval zal de UGent optreden als verwerkingsverantwoordelijke en het bedrijf als verwerker.

Het is belangrijk om alle afspraken tussen verwerkingsverantwoordelijke(n) en verwerker(s) of tussen verwerkers en subverwerkers vast te leggen in een overeenkomst. Contacteer hiervoor de juridische ondersteuningsdienst van TechTransfer.