AVG: Waar moet ik aan denken bij het gebruik van (online) surveytools?

Wanneer je voor het verzamelen van persoonsgegevens gebruik maakt van een (online) surveytool, moet jij er als onderzoeker over waken dat deze surveytool én jouw gebruik ervan conform is aan de AVG/GDPR.

Hoe kan ik nagaan of een online surveytool GDPR-conform is?

Vooraleer je een surveytool gebruikt, moet je nagaan of de tool op zich GDPR-conform is. Om dit na te gaan moet je de tool aftoetsen aan de basisprincipes van de AVG. Basisinformatie daarover kan je vinden in de gebruiksvoorwaarden en de privacyverklaring van de tool zelf.

Opgelet: sommige tools gebruiken de persoonsgegevens die jij verzamelt ook voor andere (eigen!) doeleinden (bv. direct marketing, advertising en soms verkopen ze deze persoonsgegevens zelfs door aan derden). Dergelijke tools vermijd je beter.

Hoe kan ik online surveytools GDPR-conform gebruiken?

‘GDPR-conform’ gebruik vereist ook een correct gebruik van de tool. Je kan immers een tool die gegarandeerd GDPR-conform is (volgens de leverancier en bij voorkeur ook volgens externe reviews of certificaten) incorrect gebruiken waardoor je zélf de basisbeginselen van de GDPR overtreedt.

De surveytool op een GDPR conforme manier gebruiken, is jouw verantwoordelijkheid als onderzoeker.

Praktische richtlijnen: hoe ga je concreet te werk?  

Je moet als onderzoeker bij het ontwerp van je survey steeds de basisbeginselen van de GDPR implementeren (“privacy by design”). Deze vragen kunnen je hierbij helpen:

  • Heb ik wel écht persoonsgegevens nodig? Kan ik ook met anonieme gegevens werken?
  • Welke persoonsgegevens heb ik nodig om het onderzoeksdoeleinde te bereiken (dataminimalisatie)?
  • Heb ik een strategie om persoonsgegevens zo snel als mogelijk te anonimiseren of pseudonimiseren?
  • Worden de respondenten (deelnemers aan de survey) voorafgaand aan hun deelname voldoende geïnformeerd over de gegevensverzameling, het doeleinde en hun rechten (transparantie)? In een project-specifieke privacyverklaring? In een uitnodiging tot deelname aan de survey? Is er een informatiebrief, -mail of -pagina? Op een andere manier?
  • Waar worden de in de survey verzamelde gegevens veilig bewaard en opgeslagen (gegevensbescherming)? Lokaal op een UGent-server of in een cloudtoepassing (van jezelf/ van de tool)? Binnen of buiten België of zelfs buiten de EU?
  • Op welke manier ga ik in de surveytool een actieve toestemming vragen van de respondenten?
  • Heb ik bijkomende mechanismen nodig voor deelnemers die hun gegevens willen raadplegen, wijzigen of wissen? Hoe kunnen deelnemers hun toestemming intrekken of hun gegevens laten verwijderen?
  • Heb ik het AVG-Register ingevuld? (in DMPonline.be)

Naast bovenstaande vragen over het ontwerpen van je survey/vragenlijst, kunnen onderstaande vragen je helpen bij het selectern van een juiste surveytool:

  • Waar worden de data in de (online) surveytool bewaard? Indien de data bewaard worden op servers buiten de EU, valt dit NIET onder de bescherming van de GDPR en zal je aanvullende en strenge maatregelen moeten nemen om dit tot het juiste beschermingsniveau te tillen. Het gebruik van (online) surveytools met servers buiten de EU heeft om die reden niet de voorkeur.
  • Biedt de (online) surveytool voldoende garanties inzake veiligheid en bescherming van de data? Heeft de tool zelf bepaalde contracten of certificaten die ze aanbieden zoals ISO27001 certificatie of resultaten van veiligheidsanalyses (security audits, pentesten,…)?
  • Biedt de tool voldoende garanties voor de beveiliging? (Bv. worden de gegevensverbindingen versleuteld met HTTPS encryptie en SSL certificaten?)
  • Voert de tool zeker zelf geen andere verwerkingen of activiteiten uit met de data dan degene waarvoor jij de opdracht gegeven hebt?
  • Worden de data na afloop automatisch verwijderd door de (survey)tool? Als dit niet kan, zorg ervoor dat jij dit kan eisen of zelf kan uitvoeren.
  • Hoe kunnen de deelnemers hun rechten uitoefenen? Kan dit ingesteld worden in de (online) surveytool zelf? Of dient dit apart te gebeuren, bv. via mail aan jou?
  • Kan je zelf de instellingen met betrekking tot de dataverzameling, bewaring en bescherming aanpassen? Bijvoorbeeld: kan je de verzameling van het IP-adres van de deelnemers uitvinken in de instellingen van de online surveytool?
  • Heb je een verwerkingsovereenkomst (of ‘data processing agreement’) afgesloten met de (online) surveytool? Controleer welke rol de surveytool op zal nemen. In de meeste gevallen zal de (online) surveytool optreden als verwerker, jij zal namens de UGent optreden als verwerkingsverantwoordelijke. Zie het contractenportaal voor het aanvragen van een contract (verwerkingsovereenkomst met de survey tool)
  • Wat gebeurt er indien er sprake is van een datalek? Word je hiervan als gebruiker binnen de voorziene tijd op de hoogte gesteld?

Het antwoord op de meeste van deze vragen kan je terugvinden in de privacyverklaring, de website of andere informatie over gegevensbescherming van de (online) surveytool.

Hieronder vind je als voorbeeld een antwoord op bovenstaande vragen voor de tool Qualtrics. Deze informatie is beschikbaar op de website van Qualtrics.

  • Waar worden de data in de online surveytool bewaard? Qualtrics heeft gelieerde ondernemingen en externe dienstverleners buiten de Europese Economische Ruimte (de "EER") en zal soms persoonsgegevens overdragen naar landen buiten de EA. Als deze doorgiften plaatsvinden naar een land waarvoor de Europese Commissie geen adequaatheidsbesluit heeft genomen, gebruikt Qualtrics de EU-modelcontractbepalingen om contractueel te eisen dat Persoonsgegevens een niveau van gegevensbescherming krijgen dat in overeenstemming is met de EER. Je dient een kopie van dergelijke modelcontractbepalingen aan te vragen door een verzoek te sturen naar privacy@qualtrics.com en dit verder op te nemen met Tech Transfer (via het contractenportaal).
  • Biedt de (online) surveytool voldoende garanties inzake veiligheid en bescherming van de data? Qualtrics heeft een ISO 27001 certificaat en is FedRAMP geautoriseerd. De effectiviteit van de bestaande technische en organisatorische beveiligingsmaatregelen wordt regelmatig getest en geëvalueerd. Qualtrics neemt dagelijks een back-up voor calamiteitenherstel. De persoonlijke data in deze back-ups worden na 90 dagen permanent verwijderd.
  • Biedt de tool voldoende garanties voor de beveiliging? Alle antwoorden die opgeslaan worden in de EU data centers worden geëncrypteerd met behulp van AES-256. Data die verzonden worden naar het Qualtrics platform worden geëncrypteerd met het TLS protocol.
  • Voert de tool zeker zelf geen andere verwerkingen of activiteiten uit met de data dan degene waarvoor jij de opdracht gegeven hebt? Qualtrics verwerkt enkel data op basis van jouw instructies. Qualtrics gebruikt de persoonsgegevens niet voor andere doeleinden en stuurt geen persoonsgegevens door naar derden of subverwerkers zonder jouw toestemming. Indien persoonsgegevens verzonden worden van de EU naar een derde land dan worden nodige maatregelen genomen om gegevens te beveiligen.
  • Worden de data na afloop automatisch verwijderd door de (survey)tool? Het verwijderen van (persoons)gegevens is de verantwoordelijkheid van de gebruiker. Het is op een eenvoudige manier mogelijk om individuele antwoorden, antwoorden op de volledige survey of zelfs volledige projecten te verwijderen. Een verwijderd antwoord wordt in eerste instantie gemarkeerd voor verwijdering, en kan op verzoek worden hersteld door Qualtrics Support. Na 30 dagen wordt de verwijdering permanent en is niet meer te herstellen. Om gegevens permanent en onmiddellijk te verwijderen, kan de administrator (of een gebruiker met gelijkwaardige machtigingen) een permanente verwijdering uitvoeren. Permanent verwijderde data zijn onherstelbaar, zelfs door Qualtrics Support. Wanneer een contactpersoon wordt verwijderd, wordt deze permanent verwijderd.
  • Kan je in de tool op een eenvoudige manier de nodige informatie geven en actieve toestemming vragen aan de respondenten?  Voor de informatieverplichting kan je in Qualtrics een pagina met tekst (zonder vraag) invoeren waarin je alle verplichte informatie opneemt (eventueel met een bijkomende verwijzing naar een externe website met een uitgebreide privacy verklaring). Voor het vragen van toestemming kan je een vraag toevoegen die verplicht ingevuld moet worden. Indien de respondenten op deze vraag ‘nee’ antwoorden, kan je ze doorverwijzen naar het einde van de survey zonder verder persoonsgegevens te verzamelen.
  • Hoe kunnen de deelnemers hun rechten uitoefenen? Indien een deelnemer zijn/haar rechten wil uitoefenen, kan je als onderzoeker op een eenvoudige manier antwoorden aanpassen, antwoorden op bepaalde vragen verwijderen, deelnemers (en al hun antwoorden) verwijderen of de antwoorden van een deelnemer downloaden.
  • Kan je zelf de instellingen met betrekking tot de dataverzameling, bewaring en bescherming aanpassen? Qualtrics biedt de mogelijkheid om surveys op te stellen en te verspreiden met anonieme links waarbij er geen persoonlijke contactinformatie gekoppeld wordt aan de surveyresultaten. Daarnaast kan je bij de survey opties ook kiezen voor geanonimiseerde antwoorden. In dit geval worden er geen IP-adressen opgeslaan. Indien je in de survey zelf geen vragen stelt die persoonsgegevens verzamelen, kan je op die manier anonieme gegevens verzamelen (waardoor je buiten het toepassingsgebied van de GDPR valt).
  • Wat gebeurt er indien er sprake is van een datalek? Indien er sprake is van een datalek zal Qualtrics de administrator op de hoogte brengen van dit datalek.

Samengevat

  • Zorg dat je zelf de juiste en voldoende maatregelen genomen hebt om de persoonsgegevens veilig en in lijn met de GDPR te verzamelen en verwerken. Denk hierbij aan gegevensminimalisatie, gegevensbescherming en transparantie.
  • Controleer de website, privacyverklaring en andere informatie over de gegevensbescherming van de (online) surveytool.
  • Zorg voor een verwerkingsovereenkomst (data processing agreement) waarin je de juiste voorwaarden vastlegt (zie contractenportaal).
  • Registreer je gegevensverwerking voor de aanvang in het AVG-Register van de UGent (via DMPonline.be).

Meer tips

Translated tip


Laatst aangepast 13 september 2021 08:54