Verslag van de vijfde vergadering van de Werkgroep Juridische aspecten en zeggenschap van het Landelijk Coördinatiepunt Research Data Management, 28 juni 2016, SURFsara - Amsterdam Aanwezig: Arjan van Hessen / CLARIAH-UU, Heiko Tjalsma / DANS, Ingeborg Verheul / LCRDM (verslag), Marlon Domingus / EUR (voorzitter), Martin Boeckhout / BBMRI-NL, Melika Nariman /EUR, Paul van den Brink / LCRDM (verslag). Afwezig: Esther Hoorn / RUG, Petra Tolen/VU, Myrte Dujardin /VU, Olga Scholcz / SURFmarket, Saskia Woutersen-Windhouwer / UvA. Kopie verslag: Frans Pingen / Wageningen, Miriam Roelofs / NWO. Agenda 1. Opening / vaststelling agenda / verslag / mededelingen 2. Vuistregel en checklist GDPR 3. Afspraken 4. W.v.t.t.k. / volgende bijeenkomst/sluiting 1. Opening / vaststelling agenda / verslag / mededelingen De voorzitter heet de aanwezigen van harte welkom. Verslag Tekstueel: geen opmerkingen. Naar aanleiding van: De vorige vergadering was bijzonder geslaagd, vanwege het proces van het gezamenlijk toewerken naar het loketmodel, alsook door de aanwezigheid van Loes Markenstein van de Autoriteit Persoonsgegevens. Nog even ter herinnering: de vuistregel voor het toepassen van de GDPR wordt opgesteld omdat de werkgroep wil stimuleren dat mensen bij het inschatten van juridische risico s niet verkrampen omdat juridische implicaties slecht te bepalen zijn en men daarom maar voor de veilige kant kiest en niets toestaan. AP case: mogen gepseudonimiseerde gegevens als anoniem te boek staan? Nee, het zijn eigenlijk persoonsgegevens (want het is omkeerbaar). Is een recente uitspraak in de kamer. Dit speelt in de medische context, maar de implicaties zijn breder. Artikel 89 / GDPR maakt pseudonimisering echter wel mogelijk. Wanneer is pseudonimisering nu onomkeerbaar? De AP verwijst naar een Europese discussie (artikel 29-werkgroep). Hoe het nu echt zit, juridisch, dat is niet vastgelegd. De Nederlandse autoriteit is redelijk streng op dit punt. Het verslag wordt vastgesteld. Mededelingen Privacypaleis 24 juni 2016 (Groningen) De uitkomsten van het congres dat door het Privacypaleis op 24 juni 2016 in Groningen werd georganiseerd, zijn: begin vast waar je kunt beginnen, gebruik de middelen die er zijn, ga praktisch aan de slag. Pas de PIA toe en start de discussie op deze punten. Mensen verzinnen zelf manieren om 1
te anonimiseren. De universiteit heeft nog geen handreiking gedaan. Zoiets kan eigenlijk beter per veld aangereikt worden. Het Privacypaleis hanteerde een goede werkvorm op basis van drie casussen. De deelnemers kwamen uit verschillende typen organisaties. Zorgdata / andersoortig onderzoek: iedereen kreeg een rol in de workshops. Vervolgens werd gezamenlijk een PIA opgesteld. Hierbij werkten de techneuten en de juristen samen. De verschillende sporen kwamen aan bod. Business case geënt op bedrijfsgegevens die het pand niet uit mogen en een public case: wat is het effect op de burgers? Er worden dan andere vragen gesteld. Eigenlijk is ook een pre-pia check nodig om antwoord te kunnen geven op de vraag: wat heb ik nodig? De bijeenkomst werd heel operationeel en dat sloeg aan: mensen stonden in de rij voor een vervolg-sessie. VSNU gedragscode De VSNU werkt aan een nieuwe update voor de gedragscode. Ester Hoorn en Marlon Domingus zijn door Reinout van Brakel (opvolger van René Hageman) gevraagd erover mee te denken. Verslag daarvan volgt (actie: Marlon). Nadere concretisering: je kunt er niet tegen zijn, maar het is wel handig om iets preciezer te zijn, door het op algemeen niveau iets concreter te maken wordt bevorderd dat het ook disciplinespecifiek concreet wordt. Trekkersoverleg 13 juni 2016: Op 13 juni vond het eerste Trekkersoverleg plaats. Een interessant bespreekpunt was: hoe krijgen we de informatie die we gaan opleveren bij de onderzoeker? Marlon heeft een korte presentatie gehouden, waarin een communicatiemodel was uitgewerkt: De term Front Office in dit model werkt verwarrend, omdat het iets anders is dan het begrip Front Office dat bijvoorbeeld DANS hanteert. Besloten wordt dat de term Loket beter werkt, of nog beter: Research Office. Bij voorkeur wordt aangesloten bij een bestaand loket. Generieke doelgroep van de Research Office: de onderzoeker en research support. 2. Vuistregel en checklist GDPR De vuistregel is ingebracht in het LJO (Landelijk Juristen Overleg). Daar werd vastgesteld dat het gewenst is om een checklist te maken om te onderzoeken hoe de universiteiten al zijn. Wat is al op 2
orde?; waar zitten de verschillen? en waar kan men elkaar versterken? Deze checklist moet op bestuurlijk niveau beantwoord worden (juristen en CEOs). Moet nu geagendeerd worden bij een van de Stuurgroepen van de VSNU. Marlon stuurt deze week een eerste opzet van het model (actie: Marlon): Hoe ver ben je er mee? Heb je de poppetjes? Etc. De werkgroepleden willen meedenken over het model en kunnen daarbij hun achterban raadplegen. In het model wordt afhankelijk van het soort data de volgende stap bepaald. Je kunt het niet voor alle disciplines uitschrijven. Begin met simpele, onschuldige data: en werk daarvoor de stappen uit. Dan pas later in een volgend stadium pak je de moeilijke medische data beet. Is er een gekwalificeerde data classificatie? De instelling heeft juridische verantwoordelijkheden. De bestuurders zijn hoofdelijk aansprakelijk. (In Utrecht zet de Decaan pas zijn of haar handtekening als het voorstel eerst langs de Research Office geweest is.) Daartegenover staan de verschillende disciplines: er moet dus een matrix gemaakt worden. Basaal, niet te gedetailleerd. Het gaat om de formele juridische verantwoordelijkheid en wat de instelling standaard moet leveren aan de onderzoeker: Wie is de FG? Is er een register? Is er een helpdesk? Is het proces beschreven? Hoe lang duurt het voordat? etc. Denk ook aan aspecten zoals rollen, verantwoordelijkheden, processen, diensten, beleidsstukken. Op het niveau van het College van Bestuur gaan verschillende belangen spelen: de onderzoekers willen soepel omgaan met data; de security mensen staan daar lijnrecht tegenover. Er moet uiteindelijk een beslissing genomen worden. Uit de presentatie van Marlon Domingus The Researcher s Front Office Design for Legal Support volgt een helder overzicht van wat de Werkgroep Juridische Aspecten gaat opleveren: Vuistregels; Afstemming met expert (AP); Symposium; Boekje(s) Privacy by Design); Bestuurlijk advies: wacht niet, gebruik instrumenten (Privacy by Design, Privacy Impact Assessment, Register), stimuleer discussie. Het verdient aanbeveling om producten vanuit een werkgroep in de concept-fase voor te leggen aan de andere werkgroepen. DMP (Data Management Plan) tooling voor Nederland: dat hebben we nodig. Leg dat neer bij de Werkgroep Onderzoeksondersteuning (actie: Ingeborg). Dat hoeft geen perfecte, 100% oplossing te zijn. Maar: gegeven deze voorwaarden: met wie moet je praten. Ook dient besproken te worden wie dit instrument gaat onderhouden en bijhouden, want dit kost tijd. Dus er is nodig: een DMP tool en beslisboomfunctionaliteit. De onderzoeker moet gefaciliteerd worden bij zijn of haar beslismomenten. Inzake de beslisboom: De Werkgroep Juridisch zal een eerste opzet maken voor een beslisboom, waar alle Werkgroepen input en aanvulling op kunnen geven. Deze beslisboom is geen definitieve, maar het biedt aanknopingspunten om vast te stellen wat er niet klopt en nog ontbreekt. Het ANDS project (Australië) biedt een mooi voorbeeld van een beslisboom. Ook Rob Hooft (DTL) heeft een uitgebreide mindmap opgesteld (Data Stewardship en RDM plannen), die kan helpen bij het maken 3
van een beslisboom: Rob heeft een eerste stap gezet om deze mindmap om te bouwen naar een geautomatiseerde beslisboom op een website, waarbij de onderzoeker via vragen door de boom geleid wordt. Bekijk het Prototype. De Werkgroep moet de beslisboom koppelen aan een bestuurlijke checklist. 3. Afspraken Martin Boeckhout heeft een lijstje van privacy experts juristen / onderzoekers opgesteld. Zij kunnen bij onze activiteiten betrokken worden om privacybescherming en onderzoek naar een hoger plan te tillen. We zijn erg geïnteresseerd hoe de situatie bij ieder van hen is. Heiko heeft een deelnemerslijst van de Privacy conferentie in Amsterdam in Oktober 2015. Hij zal deze aan Martin sturen (actie: Heiko). Er bestaat voor deze groep mensen geen overleg-gremium. Mogelijk kan de Werkgroep hier iets in betekenen. Martin Boekhout heeft in het kader van BBMRI samen met juristen uit verschillende landen een FAQ over de GDPR opgesteld (vanuit de biobank-invalshoek). Dit document is ook heel goed bruikbaar voor de beslisboom. Aandacht verdient: wat is generiek en wat geldt voor het nationale niveau. Zo heeft iedereen documenten die voor anderen interessant zijn. Het verzoek is om die te delen op het kennisplatform LCRDM. Op de homepage wordt een themablok aangemaakt: Privacy en gegevensbescherming, waarin deze documenten geplaatst kunnen worden. Op de subsite van de Werkgroep Juridische aspecten worden twee directories aangemaakt: Modeldocumenten_ter beoordeling en Modeldocumenten_voor opmaak. In de laatste directory kunnen documenten geplaatst worden die we al beschikbaar hebben en die met een kleine vertaalslag qua vormgeving beschikbaar gesteld kunnen worden voor het algemene publiek. In de eerste directory worden documenten geplaatst die door de andere juristen van deze werkgroep geaccordeerd kunnen worden. Neem bij alle documenten een juridische disclaimer op en beschrijf de context (in deze onderzoeksgemeenschap ontwikkeld). Op het kennisplatform staan de documenten die aan discussie en verandering onderhevig zijn, op de LCRDM website worden de vastgestelde documenten gepubliceerd. Begin 2017 ligt er iets van de Werkgroep: een aantal documenten/sjablonen met LCRDM stempel; een FAQ als basis voor een beslisboom. De beslisboom voor onderzoekers is veel ingewikkelder. De documenten bestaan uit een verzameling aan tools en voorbeelden. Deze moeten wel in een context geplaats worden. Afspraken: 1> VSNU checklist implementatie assessment privacy onderzoek een matrix. 2> beslisboom 3> Discipline specifiek (inventariseer handreikingen discipline specifiek) Er bestaat een directe relatie tussen 1 en 2. Nummer 3 is moeilijker te koppelen. Opbouwen van 1 en 2 met de verschillende documenten die we al hebben: dit kunnen we komende twee maanden gaan doen. De FAQ BBMRI kan omgewerkt worden naar een algemenere FAQ. Arjan van Hessen gaat op zoek naar een beslisboommatrix voor de werkgroep om te gebruiken. 4
6. W.v.t.t.k. / Volgende afspraak Arjan van Hessen informeert naar een gemeenschappelijk evenement voor de deelnemers aan de LCRDM werkgroepen komt. Dit zal voor Q4 van 2016 of Q1 2017 gefaciliteerd worden. DANS brengt frequent haar vertegenwoordigers in de LCRDM-werkgroepen met elkaar in contact. De producten van de Werkgroep Juridisch zullen getoetst worden bij de overige werkgroepen van het LCRDM. De volgende vergadering staat gepland voor maandag 18 juli, 10.00 13.00 uur te SURF Utrecht, inclusief lunch. 5