AVG: wat zijn de verschillende rollen en verantwoordelijkheden?

Binnen de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) worden verschillende rollen gedefinieerd bij de verwerking van persoonsgegevens. De belangrijkste rollen zijn: 

  • verwerkingsverantwoordelijke
  • gezamenlijke verwerkingsverantwoordelijke
  • verwerker

Aangezien verwerkingsverantwoordelijken en verwerkers verschillende verantwoordelijkheden en verplichtingen hebben, is het belangrijk dat je deze rollen (samen met de andere partners in je onderzoek) aan de start van het onderzoek duidelijk vastlegt.

Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke wordt gedefinieerd als de instelling/organisatie/persoon die het doel en de middelen van de verwerking bepaalt. Let op, het louter ter beschikking stellen van onderzoeksfinanciering (zoals door het FWO, de Europese Commissie,…) is niet voldoende om in het kader van onderzoek verwerkingsverantwoordelijke te zijn. In dit geval blijft de UGent de verwerkingsverantwoordelijke.

  • Bijvoorbeeld: je bent FWO-aspirant en bepaalt samen met de promotor, die professor is aan de UGent, de doeleinden van je onderzoek. Hoewel je onderzoek gefinancierd wordt door het FWO is de UGent de verwerkingsverantwoordelijke. Het FWO is louter financier.
  • Bijvoorbeeld: de UGent is verwerkingsverantwoordelijke voor onderzoek door UGent-onderzoekers bij patiënten / vrijwilligers waarbij gegevens verzameld worden (met inbegrip van persoonsgegevens, menselijk lichaamsmateriaal (MLM), beeldvorming, enquêtes, enz.) door bv. huisartsgeneeskunde, studies met verpleeghuisbewoners, Faculteit Psychologie & Pedagogische Wetenschappen, ... en deze gegevens niet afkomstig zijn uit of verzameld worden binnen of via het UZ Gent.
  • Bijvoorbeeld: voor onderzoek naar UZ Gent-patiënten waarbij gegevens (met inbegrip van persoonsgegevens, menselijk lichaamsmateriaal (MLM), beeldvorming, enquêtes, enz.) verzameld en/of gebruikt worden door een hoofdonderzoeker die niet verbonden is aan de UGent, is niet de UGent maar het UZ Gent de verwerkingsverantwoordelijke. Dit is ook het geval voor onderzoeksprojecten met vrijwilligers van UZ Gent diensten, bv. D.R.U.G., CEVAC, poliklinische diensten,… waarbij de hoofdonderzoeker niet verbonden is aan de UGent. Ook in dit geval is het UZ Gent de verwerkingsverantwoordelijke.

Hoewel de UGent optreedt als verwerkingsverantwoordelijke voor het meeste het onderzoek met persoonsgegevens dat gebeurt aan de UGent, is dit een gedeelde verantwoordelijkheid met jou en de andere betrokken onderzoekers. Onderzoekers zijn binnen hun eigen onderzoeksprojecten verantwoordelijk om de privacyaspecten grondig te overwegen en de wettelijke verplichtingen van de AVG en de Generieke gedragscode voor verwerking van persoonsgegevens en vertrouwelijke informatie aan UGent na te leven.

Gezamenlijke verwerkingsverantwoordelijken

Bij gezamenlijke verwerkingsverantwoordelijken worden het doel en de middelen bepaald door twee of meer organisaties of instellingen.

In deze situatie is het belangrijk om samen met de andere verwerkingsverantwoordelijken op een transparante wijze vast te leggen wie verantwoordelijk is voor het verstrekken van informatie aan de betrokkenen en de uitoefening van de rechten van de betrokkenen.

  • Bijvoorbeeld: je voert een onderzoek uit samen met een andere universiteit in binnen- of buitenland waarbij beide partners het onderzoeksopzet (in min of meer gelijke mate) bepalen. Het gaat hierbij niet om een situatie waarbij één universiteit slechts pure leverancier is van gegevens of enkel een specifieke opdracht in onderaanneming uitvoert.
  • Bijvoorbeeld: de UGent en het UZ Gent zijn gezamenlijke verwerkingsverantwoordelijken voor onderzoek met UZ Gent-patiënten waarbij gegevens (met inbegrip van persoonsgegevens, menselijk lichaamsmateriaal (MLM), beeldvorming, enquêtes, enz.) worden verzameld en/of gebruikt door een hoofdonderzoeker verbonden aan de UGent. Dit is ook het geval bij onderzoeksprojecten met vrijwilligers van UZ Gent, bv D.R.U.G., CEVAC, poliklinische diensten, door een hoofdonderzoeker verbonden aan de UGent. Indien er een andere universiteit, ziekenhuis, onderzoeksinstelling of partner betrokken is bij het onderzoek (naast de UGent en / of het UZ Gent), treden de UGent en / of het UZ Gent op als gezamenlijke verwerkingsverantwoordelijke samen met deze andere partij, of als verwerker of subverwerker namens deze andere partij (zie hieronder).

Verwerker

Tot slot kan een instelling, organisatie of onderzoeker ook optreden als verwerker. In dit geval verwerkt de instelling, organisatie of een onderzoeker persoonsgegevens in opdracht van een andere organisatie.

  • Bijvoorbeeld: contractonderzoek, dienstverlening in opdracht van private bedrijven, of sommige types van beleidsrelevant onderzoek.

Binnen een onderzoeksproject of in een onderzoekssamenwerking kan het ook voorkomen dat je beroep doet op verwerkers voor het verzamelen, verwerken, opslaan of het beschikbaar maken van persoonsgegevens.

  • Bijvoorbeeld: onderzoekers doen beroep op een bedrijf om surveys uit te sturen aan de betrokkenen, of om bepaalde resultaten van interviews en surveys te analyseren. In dit geval zal de UGent optreden als verwerkingsverantwoordelijke en het bedrijf als verwerker.
  • Bijvoorbeeld: onderzoekers die een klinische proef uitvoeren namens een (commerciële) sponsor.

Het is belangrijk om alle afspraken tussen verwerkingsverantwoordelijke(n) en verwerker(s) of tussen verwerkers en subverwerkers vast te leggen in een overeenkomst. Contacteer hiervoor contracten@ugent.be.

Meer informatie

Meer tips

Translated tip


Laatst aangepast 1 oktober 2020 11:28