Checklist AVG

Project informatie
Weet je ...
Informed consent
Datalek?
Afronding onderzoek

Project informatie

VRAAG 1

Test English version Verwerk je in je project gegevens die te herleiden zijn naar individuele onderzoeksdeelnemers zoals patiëntennummers, adresbestanden of indirect te herleiden uit de aard van de gegevens bijvoorbeeld postcode in combinatie met een zeldzame ziekte of postcode in combinatie met beroep?

NEE

VRAAG 2

Heb je een onderbouwing van je dataverzameling?

Gegevens mogen onder de AVG alleen voor een goed gedefinieerd en beschreven doel gebruikt worden, er mogen niet meer gegevens verzameld worden dan strikt noodzakelijk en zo min mogelijk herleidbaar. In de verantwoording beschrijf je waarom juist die vragenlijst, meting en overige variabelen noodzakelijk zijn en verantwoord je de precisie; bv: leeftijdscategorie in plaats van geboortedatum

NEE

VRAAG 3

Is je project aangemeld bij het Centraal Meldpunt Gegevensverwerking (CMG)?

NEE

VRAAG 4

Heb je een flowchart of stroomschema van je project?

Het stroomschema geeft weer wat het onderzoek inhoudt (doel) en hoe de informatiestromen lopen. (wie verzendt en ontvangt welke informatie voor welk doel of activiteit).

NEE

VRAAG 5

Worden databestanden uit je project beschikbaar gesteld aan of gedeeld met andere organisaties, bijvoorbeeld om ze in te voeren, op te schonen of te coderen?

NEE

VRAAG 6

Is er een schriftelijke overeenkomst met degene met wie de data gedeeld worden?

NEE

VRAAG 7

Heb je in je onderzoeksdossier een lijst van personen die toegang hebben tot privacygevoelige gegevens in je project?

NEE

VRAAG 8

Hebben alle stagiaires, werkstudenten of andere medewerkers zonder arbeidscontract bij mijn organisatie, die toegang hebben tot de privacygevoelige gegevens, een geheimhoudingsverklaring ondertekend?

NEE

VRAAG 9

Is de lijst van personen die toegang hebben tot de privacygevoelige gegevens actueel? (mensen die geen deel meer uitmaken van het projectteam zijn verwijderd en eventuele nieuwe personen zijn toegevoegd)

NEE

VRAAG 10

Heb je een Privacy Impact Assessment (PIA) gedaan voor je project?

Met een privacy impact assessment worden alle privacy aspecten van een project doorgelopen. Hierbij worden de risico's geïnventariseerd en wordt duidelijk waar maatregelen genomen moeten worden. De PIA moet uitgevoerd worden.

NEE

VRAAG 11

Heb je een logboek waarin alle beslissingen, afspraken en aantekeningen over je onderzoek staan, inclusief datum en eventuele vindplaats?

NEE

Weet je ...

VRAAG 1

Weet je welke database- en online vragenlijstsystemen je mag gebruiken?

NEE

VRAAG 2

Weet je hoe je veilig kunt e-mailen met proefpersonen?

NEE

VRAAG 3

Weet je hoe je veilig bestanden kunt versturen?

Yes

Informed consent

VRAAG 1

Onder de nieuwe AVG wetgeving moeten deelnemers aan onderzoek specifiek toestemming kunnen geven voor elk onderzoeksdoel. Dus voor extra’s als data delen, verwerking van data binnen/buiten de EU, het opvragen van gezondheidsgegevens, het doen van vervolgonderzoek met een andere onderzoeksvraag moet expliciet toestemming zijn gevraagd. Voldoet jouw informed consent aan de privacywetgeving?

NEE

VRAAG 2

Weet je dat je ook toestemming moet vragen voor het gebruik van genetische gegevens?

NEE

Datalek?

Er is sprake van een datalek als persoonsgegevens van patiënten, medewerkers, studenten of onderzoeksdeelnemers zijn ingezien of gebruikt door een onbevoegde; of wanneer deze gegevens ten onrechte zijn vernietigd. Er is dus niet alleen sprake van een datalek als er persoonsgegevens zijn gelekt, maar ook als deze zonder dat dit de bedoeling was zijn ingezien, vernietigd of gewijzigd. Voorbeelden van datalekken:

Verkeerd verstuurde e-mail of brief met persoonsgegevens
Zoekgeraakte onbeveiligde usb stick met informatie over patiënten
Diefstal van een laptop
Achtergebleven printje met patiëntgegevens op de printer
Ten onrechte vernietigde persoonsgegevens
Inzage in het patiëntendossier van een familielid of kennis
Delen van een bestand of document met een collega met daarin meer persoonsgegevens dan noodzakelijk
Hacking, malware en/of phishing

VRAAG 1

Weet je wat je moet doen als je een datalek hebt?

NEE

VRAAG 2

Weet je dat het zo snel mogelijk melden van een mogelijk datalek verplicht is om de schade zoveel mogelijk te beperken?

NEE

Afronding onderzoek

VRAAG 1

Weet je dat sleutelbestanden (de link tussen deelnemernummer en diens NAW/correspondentiegegevens) moeten worden vernietigd zodra je deze gegevens niet meer nodig hebt voor bijvoorbeeld de onderbouwing van je resultaten, correspondentie met deelnemers in het kader van het onderzoek bijvoorbeeld of vanwege wettelijke vereisten (let op bij WMO plichtig en GCP onderzoek gelden langere bewaartermijnen!)?

NEE

VRAAG 2

Weet je hoe je de projectdocumentatie achter moet laten als je klaar bent met je onderzoek?

NEE