De voorzitter heet de aanwezigen van harte welkom. Verslag. Tekstueel: geen opmerkingen. Naar aanleiding van:

Vergelijkbare documenten
Onderwerp Product Wat is het? Financiële aspecten van RDM Beleidsvoorbereiding Beleidsnota Financiële Implicaties Research Data

RDM LCRDM Ethische Toetsing, AVG en RDM in de Sociale Wetenschappen, UU, 4 juni 2019

Research Data Netherlands, SURFsara en het Landelijk Coördinatiepunt Research Data Management. Ingeborg Verheul (SURFsara)

Research Data Management, LCRDM & Concept-notitie RDM in het SEP. LOKO-overleg, Academiegebouw Utrecht, 13 november 2017

Plato s verloren dialoog: de verantwoordelijke onderzoeker

PIA: niet omdat het moet, maar omdat het kan. Hoe kan de Privacy Impact Assessment ingepast worden in de onderzoeks data lifecycle?

DPO Opleiding Considerati

Scenario s voor DPIAs in de Sociale Wetenschappen

D4LS Operational Board Meeting

Aanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018

PRIVACY VOOR MUSEA VAN WBP NAAR AVG

Samen werken aan privacy. Special AVG voor itour 24 april Pieter de Groot & Henk-Jan van der Molen

Privacy Impact Assessment

Afwezig: Douwe Zeldenrust (Meertens Instituut), Marc Broekhoven (TU Eindhoven), Rosemary van Kempen (NWO), Floor Frederiks (Universiteit Leiden)

Privacy & Cloud. een juridisch perspectief

De nieuwe privacywetgeving:

De invoering van de Europese Algemene Verordening Gegevensbescherming (AVG) in 2018: checks & balances?

Moderatie LOD-bijeenkomsten voorjaar Triple BIM community / TVVL Dag 4 20 juni

Landelijke samenwerking voor open science in Nederland Over LCRDM en NPOS

DPIA. Roza van Cappellen en Elly Dingemanse

Research informatie- en datamanagement nieuwe taken voor bibliotheken in wetenschappelijke communicatie en ondersteuning bij onderzoek

PLATFORM IZO 21 OKTOBER 2016

GDPR. een stand van zaken

Virtual Research Environment van concept richting oplossingen

RDM: research datamanagement: Een introductie. BMI dag, KNVI, , GGZ, Amersfoort

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

checklist in 10 stappen voorbereid op de AVG. human forward.

Privacy-by-Design (PbD) Regiobijeenkomsten Najaar 2018

Privacyverordening gemeente Utrecht. Utrecht.nl

Research Data Management De Haagse Haagse Hogeschool Inspirerend werkcafé

OP WEG NAAR EEN VRE REFERENTIE-ARCHITECTUUR. Informatiebijeenkomst 3 juni 2019

Algemene Verordening Gegevensbescherming. NVVB Congres Noordwijkerhout 19 april 2018

Wat heb je nodig op 25 mei?

De impact van Cybercrime & GDPR

14:00 Welkom door Hans Roozen Manager AFAS Procesbeheer. 14:15 Sylvia Huydecoper, senior juridisch adviseur Nederland ICT

Masterclass IT Savvy. Impact van trends

SURFfoundation eigenaarschap van data. hoe gaan we dit regelen?

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:

DPIA. Leon van Lare en Roza van Cappellen

Welkom. ICT-Kring Delft bijeenkomst 4 december 2017

Privacybescherming bij het delen van medische data

AVG Routeplanner voor woningcorporaties

Handvatten bij de implementatie van de AVG

Privacy ondersteuning VNG/KING/IBD

Toetsingskader nwmo. Peggy Manders 4 november 2016 Symposium V&VN Research Professionals

De app wordt volwassen kansen en valkuilen. Opening en voorstelronde Overzicht CIP CIP en NORA CIP FG-enquête Ontwikkelingen app

ALGEMENE VERORDENING GEGEVENS BESCHERMING

Algemene Verordening Gegevensbescherming

Algemene Verordening Gegevensbescherming

RESEARCH DATA MANAGEMENT INNOVATIE & SURF

NVIA Data Modellen Privacy. PIM POPPE September 2017

Sessie 3: Professionalisering en kwaliteitsverbetering Research Data Management: competenties van onderzoekers

WORKSHOP MONARC (GEOPTIMALISEERDE RISICOANALYSEMETHODE CASES)

Vraag 1 Kan aangegeven worden welke acties tot nu toe zijn ondernomen en welke acties nog op de planning staan om aan de AVG te voldoen?

Nieuws over GHOR en opgeschaalde zorg

VOORBEEL. De expert is verbonden aan mijn vakgroep/instituut. Ik heb samen met een datamanagement expert intern het DMP opgesteld.

Onderwerp : de Algemene Verordening Gegevensverwerking. Deze wet start op 25 mei 2018

De AVG in vogelvlucht Wat moeten organisaties doen?

GDPR en de tester Waar moet je als tester bewust van zijn met de GDPR?

Plan

Dit betekent dat u op 25 mei 2018 wettelijk verplicht bent om ten minste aan de volgende zes AVGmaatregelen

WHITE PAPER Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG)

Privacy Dashboard 6 KPI s en Aandachtspunten

SURFmarket O365 propositie

Workshop DPIA. Wifi-netwerk: Wachtwoord:

Algemene verordening gegevensbescherming. Udo Oelen LWV, VNO-NCW in Limburg, Geleen 5 oktober 2017

Algemene Verordening Gegevensbescherming. Waarom nieuwe privacywetgeving Europese privacyrichtlijn

SIG GDPR. Notulen: bijeenkomst 2. 1 van 5

General Data Protection Regulation De belangrijkste gevolgen en verschillen ten opzichte van WBP

PRIVACY COMPANY. Privacy Kit

Informatiefolder Algemene Verordening Gegevensbescherming

Privacy & online. 9iC9I

onderzoek en privacy WAT ZEGT DE WET

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

Algemene verordening gegevensbescherming

PROTOCOL INFORMATIEBEVEILIGINGSINCIDENTEN EN DATALEKKEN

staat is om de AVG na te komen.

Tooling voor de HR-cyclus

Agenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht

Algemene Verordening Gegevensverwerking ( GDPR )

- in te stemmen de checklist voorbereiding AVG stavaza 1sep17 als bijlage mee te sturen bij RIB met de beantwoording van de art.40-vragen.

GDPR, wat betekent deze nieuwe privacywet voor jou?'

Verslag Derde bijeenkomst LCRDM Werkgroep Onderzoeksondersteuning & Advies, 22 november 2016, SURF, Utrecht,

Privacybeeld CIP-Netwerk en suggesties voor versterking Privacy Governance

Privacy by Design in de praktijk!

AVG EN DE IMPACT OP UW BUSINESS

SIG Research Information & SURF programma Open Access OPTIMAAL BENUTTEN DOOR AFSTEMMING

Pilotstarter Living Lab Tussentijdse update

Voorbeeld uitwerking Introductie Value Engineering Lesplan

Seminar Intrasurance 31 januari 2018 The CMR Agency Marc Stubbé. Wat betekent de nieuwe Europese privacywetgeving voor u en uw klantcontacten?

Privacy en de Algemene Verordening Gegevensbescherming. Femke Salverda Juridisch adviseur

Taskforce Informatiebeveiligingsbeleid.

Het nieuwe Europese raamwerk bescherming persoonsgegevens in Europa en België/Vlaanderen

Inventarisatie Nationale TTP- dienst. Terugkoppeling bevindingen en voorgenomen acties

Versie 1.0, 19 augustus 2015

Vergadering Stuurgroep Juriconnect op vrijdag 23 september 2011 bij de Belastingdienst te Utrecht

GDPR bij Vlaamse Centrumsteden. Joris Voets Kenniscentrum Vlaamse Steden

GDPR : de uitdaging voor de zorgsector Pseudonimisering en Anonimisering van gegevens

Security Operations Center

PRESENTATIE HAAGSCHE BUSINESS CLUB GDPR IN DE PRAKTIJK. mr drs Romeo Kadir MA MSc EMBA EMoC

Transcriptie:

Verslag van de vijfde vergadering van de Werkgroep Juridische aspecten en zeggenschap van het Landelijk Coördinatiepunt Research Data Management, 28 juni 2016, SURFsara - Amsterdam Aanwezig: Arjan van Hessen / CLARIAH-UU, Heiko Tjalsma / DANS, Ingeborg Verheul / LCRDM (verslag), Marlon Domingus / EUR (voorzitter), Martin Boeckhout / BBMRI-NL, Melika Nariman /EUR, Paul van den Brink / LCRDM (verslag). Afwezig: Esther Hoorn / RUG, Petra Tolen/VU, Myrte Dujardin /VU, Olga Scholcz / SURFmarket, Saskia Woutersen-Windhouwer / UvA. Kopie verslag: Frans Pingen / Wageningen, Miriam Roelofs / NWO. Agenda 1. Opening / vaststelling agenda / verslag / mededelingen 2. Vuistregel en checklist GDPR 3. Afspraken 4. W.v.t.t.k. / volgende bijeenkomst/sluiting 1. Opening / vaststelling agenda / verslag / mededelingen De voorzitter heet de aanwezigen van harte welkom. Verslag Tekstueel: geen opmerkingen. Naar aanleiding van: De vorige vergadering was bijzonder geslaagd, vanwege het proces van het gezamenlijk toewerken naar het loketmodel, alsook door de aanwezigheid van Loes Markenstein van de Autoriteit Persoonsgegevens. Nog even ter herinnering: de vuistregel voor het toepassen van de GDPR wordt opgesteld omdat de werkgroep wil stimuleren dat mensen bij het inschatten van juridische risico s niet verkrampen omdat juridische implicaties slecht te bepalen zijn en men daarom maar voor de veilige kant kiest en niets toestaan. AP case: mogen gepseudonimiseerde gegevens als anoniem te boek staan? Nee, het zijn eigenlijk persoonsgegevens (want het is omkeerbaar). Is een recente uitspraak in de kamer. Dit speelt in de medische context, maar de implicaties zijn breder. Artikel 89 / GDPR maakt pseudonimisering echter wel mogelijk. Wanneer is pseudonimisering nu onomkeerbaar? De AP verwijst naar een Europese discussie (artikel 29-werkgroep). Hoe het nu echt zit, juridisch, dat is niet vastgelegd. De Nederlandse autoriteit is redelijk streng op dit punt. Het verslag wordt vastgesteld. Mededelingen Privacypaleis 24 juni 2016 (Groningen) De uitkomsten van het congres dat door het Privacypaleis op 24 juni 2016 in Groningen werd georganiseerd, zijn: begin vast waar je kunt beginnen, gebruik de middelen die er zijn, ga praktisch aan de slag. Pas de PIA toe en start de discussie op deze punten. Mensen verzinnen zelf manieren om 1

te anonimiseren. De universiteit heeft nog geen handreiking gedaan. Zoiets kan eigenlijk beter per veld aangereikt worden. Het Privacypaleis hanteerde een goede werkvorm op basis van drie casussen. De deelnemers kwamen uit verschillende typen organisaties. Zorgdata / andersoortig onderzoek: iedereen kreeg een rol in de workshops. Vervolgens werd gezamenlijk een PIA opgesteld. Hierbij werkten de techneuten en de juristen samen. De verschillende sporen kwamen aan bod. Business case geënt op bedrijfsgegevens die het pand niet uit mogen en een public case: wat is het effect op de burgers? Er worden dan andere vragen gesteld. Eigenlijk is ook een pre-pia check nodig om antwoord te kunnen geven op de vraag: wat heb ik nodig? De bijeenkomst werd heel operationeel en dat sloeg aan: mensen stonden in de rij voor een vervolg-sessie. VSNU gedragscode De VSNU werkt aan een nieuwe update voor de gedragscode. Ester Hoorn en Marlon Domingus zijn door Reinout van Brakel (opvolger van René Hageman) gevraagd erover mee te denken. Verslag daarvan volgt (actie: Marlon). Nadere concretisering: je kunt er niet tegen zijn, maar het is wel handig om iets preciezer te zijn, door het op algemeen niveau iets concreter te maken wordt bevorderd dat het ook disciplinespecifiek concreet wordt. Trekkersoverleg 13 juni 2016: Op 13 juni vond het eerste Trekkersoverleg plaats. Een interessant bespreekpunt was: hoe krijgen we de informatie die we gaan opleveren bij de onderzoeker? Marlon heeft een korte presentatie gehouden, waarin een communicatiemodel was uitgewerkt: De term Front Office in dit model werkt verwarrend, omdat het iets anders is dan het begrip Front Office dat bijvoorbeeld DANS hanteert. Besloten wordt dat de term Loket beter werkt, of nog beter: Research Office. Bij voorkeur wordt aangesloten bij een bestaand loket. Generieke doelgroep van de Research Office: de onderzoeker en research support. 2. Vuistregel en checklist GDPR De vuistregel is ingebracht in het LJO (Landelijk Juristen Overleg). Daar werd vastgesteld dat het gewenst is om een checklist te maken om te onderzoeken hoe de universiteiten al zijn. Wat is al op 2

orde?; waar zitten de verschillen? en waar kan men elkaar versterken? Deze checklist moet op bestuurlijk niveau beantwoord worden (juristen en CEOs). Moet nu geagendeerd worden bij een van de Stuurgroepen van de VSNU. Marlon stuurt deze week een eerste opzet van het model (actie: Marlon): Hoe ver ben je er mee? Heb je de poppetjes? Etc. De werkgroepleden willen meedenken over het model en kunnen daarbij hun achterban raadplegen. In het model wordt afhankelijk van het soort data de volgende stap bepaald. Je kunt het niet voor alle disciplines uitschrijven. Begin met simpele, onschuldige data: en werk daarvoor de stappen uit. Dan pas later in een volgend stadium pak je de moeilijke medische data beet. Is er een gekwalificeerde data classificatie? De instelling heeft juridische verantwoordelijkheden. De bestuurders zijn hoofdelijk aansprakelijk. (In Utrecht zet de Decaan pas zijn of haar handtekening als het voorstel eerst langs de Research Office geweest is.) Daartegenover staan de verschillende disciplines: er moet dus een matrix gemaakt worden. Basaal, niet te gedetailleerd. Het gaat om de formele juridische verantwoordelijkheid en wat de instelling standaard moet leveren aan de onderzoeker: Wie is de FG? Is er een register? Is er een helpdesk? Is het proces beschreven? Hoe lang duurt het voordat? etc. Denk ook aan aspecten zoals rollen, verantwoordelijkheden, processen, diensten, beleidsstukken. Op het niveau van het College van Bestuur gaan verschillende belangen spelen: de onderzoekers willen soepel omgaan met data; de security mensen staan daar lijnrecht tegenover. Er moet uiteindelijk een beslissing genomen worden. Uit de presentatie van Marlon Domingus The Researcher s Front Office Design for Legal Support volgt een helder overzicht van wat de Werkgroep Juridische Aspecten gaat opleveren: Vuistregels; Afstemming met expert (AP); Symposium; Boekje(s) Privacy by Design); Bestuurlijk advies: wacht niet, gebruik instrumenten (Privacy by Design, Privacy Impact Assessment, Register), stimuleer discussie. Het verdient aanbeveling om producten vanuit een werkgroep in de concept-fase voor te leggen aan de andere werkgroepen. DMP (Data Management Plan) tooling voor Nederland: dat hebben we nodig. Leg dat neer bij de Werkgroep Onderzoeksondersteuning (actie: Ingeborg). Dat hoeft geen perfecte, 100% oplossing te zijn. Maar: gegeven deze voorwaarden: met wie moet je praten. Ook dient besproken te worden wie dit instrument gaat onderhouden en bijhouden, want dit kost tijd. Dus er is nodig: een DMP tool en beslisboomfunctionaliteit. De onderzoeker moet gefaciliteerd worden bij zijn of haar beslismomenten. Inzake de beslisboom: De Werkgroep Juridisch zal een eerste opzet maken voor een beslisboom, waar alle Werkgroepen input en aanvulling op kunnen geven. Deze beslisboom is geen definitieve, maar het biedt aanknopingspunten om vast te stellen wat er niet klopt en nog ontbreekt. Het ANDS project (Australië) biedt een mooi voorbeeld van een beslisboom. Ook Rob Hooft (DTL) heeft een uitgebreide mindmap opgesteld (Data Stewardship en RDM plannen), die kan helpen bij het maken 3

van een beslisboom: Rob heeft een eerste stap gezet om deze mindmap om te bouwen naar een geautomatiseerde beslisboom op een website, waarbij de onderzoeker via vragen door de boom geleid wordt. Bekijk het Prototype. De Werkgroep moet de beslisboom koppelen aan een bestuurlijke checklist. 3. Afspraken Martin Boeckhout heeft een lijstje van privacy experts juristen / onderzoekers opgesteld. Zij kunnen bij onze activiteiten betrokken worden om privacybescherming en onderzoek naar een hoger plan te tillen. We zijn erg geïnteresseerd hoe de situatie bij ieder van hen is. Heiko heeft een deelnemerslijst van de Privacy conferentie in Amsterdam in Oktober 2015. Hij zal deze aan Martin sturen (actie: Heiko). Er bestaat voor deze groep mensen geen overleg-gremium. Mogelijk kan de Werkgroep hier iets in betekenen. Martin Boekhout heeft in het kader van BBMRI samen met juristen uit verschillende landen een FAQ over de GDPR opgesteld (vanuit de biobank-invalshoek). Dit document is ook heel goed bruikbaar voor de beslisboom. Aandacht verdient: wat is generiek en wat geldt voor het nationale niveau. Zo heeft iedereen documenten die voor anderen interessant zijn. Het verzoek is om die te delen op het kennisplatform LCRDM. Op de homepage wordt een themablok aangemaakt: Privacy en gegevensbescherming, waarin deze documenten geplaatst kunnen worden. Op de subsite van de Werkgroep Juridische aspecten worden twee directories aangemaakt: Modeldocumenten_ter beoordeling en Modeldocumenten_voor opmaak. In de laatste directory kunnen documenten geplaatst worden die we al beschikbaar hebben en die met een kleine vertaalslag qua vormgeving beschikbaar gesteld kunnen worden voor het algemene publiek. In de eerste directory worden documenten geplaatst die door de andere juristen van deze werkgroep geaccordeerd kunnen worden. Neem bij alle documenten een juridische disclaimer op en beschrijf de context (in deze onderzoeksgemeenschap ontwikkeld). Op het kennisplatform staan de documenten die aan discussie en verandering onderhevig zijn, op de LCRDM website worden de vastgestelde documenten gepubliceerd. Begin 2017 ligt er iets van de Werkgroep: een aantal documenten/sjablonen met LCRDM stempel; een FAQ als basis voor een beslisboom. De beslisboom voor onderzoekers is veel ingewikkelder. De documenten bestaan uit een verzameling aan tools en voorbeelden. Deze moeten wel in een context geplaats worden. Afspraken: 1> VSNU checklist implementatie assessment privacy onderzoek een matrix. 2> beslisboom 3> Discipline specifiek (inventariseer handreikingen discipline specifiek) Er bestaat een directe relatie tussen 1 en 2. Nummer 3 is moeilijker te koppelen. Opbouwen van 1 en 2 met de verschillende documenten die we al hebben: dit kunnen we komende twee maanden gaan doen. De FAQ BBMRI kan omgewerkt worden naar een algemenere FAQ. Arjan van Hessen gaat op zoek naar een beslisboommatrix voor de werkgroep om te gebruiken. 4

6. W.v.t.t.k. / Volgende afspraak Arjan van Hessen informeert naar een gemeenschappelijk evenement voor de deelnemers aan de LCRDM werkgroepen komt. Dit zal voor Q4 van 2016 of Q1 2017 gefaciliteerd worden. DANS brengt frequent haar vertegenwoordigers in de LCRDM-werkgroepen met elkaar in contact. De producten van de Werkgroep Juridisch zullen getoetst worden bij de overige werkgroepen van het LCRDM. De volgende vergadering staat gepland voor maandag 18 juli, 10.00 13.00 uur te SURF Utrecht, inclusief lunch. 5

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback