Zoeken Contact

Privacy en onafhankelijk onderzoek

Privacy en onafhankelijk onderzoek: wettelijke kaders, beginselen en IT-oplossingen voor een zorgvuldige onderzoeksaanpak.

Zorgvuldig omgaan met persoonsgegevens in onderzoek

In deze bijdrage nemen wij je mee in de geldende wet- en regelgeving ten aanzien van privacy en de technische mogelijkheden voor een onafhankelijk onderzoeker om hieraan te kunnen voldoen.

Wet- en regelgeving

Een particulier onderzoeker krijgt bij de uitvoering van zijn werkzaamheden met regelmaat beschikking over persoonsgegevens. Persoonsgegevens betreffen alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene) (art. 1 Algemene verordening gegevensbescherming (AVG)). Het is van belang dat de onderzoeker zorgvuldig met deze persoonsgegevens om gaat. Iedereen heeft tenslotte recht op bescherming van zijn persoonlijke levenssfeer, met inbegrip van zijn persoonsgegevens.

Niet alleen dient de onderzoeker c.q. het onderzoeksbureau maatregelen te treffen om te voorkomen dat deze gegevens in handen van onbevoegden komen (art. 4 Regeling particuliere beveiligingsorganisaties en recherchebureaus (Rbpr)). In de AVG zijn diverse regels opgenomen voor het verwerken van persoonsgegevens, de wijze van verwerking, de beveiliging van de verwerking en de rechten van de betrokkenen.

Algemene beginselen

Voor onderzoeksbureaus is een aantal specifieke bepalingen uit de AVG uitgewerkt in de Privacygedragscode van de Nederlandse Veiligheidsbranche. De Privacygedragscode geldt voor alle particuliere onderzoeksbureaus die een vergunning hebben, zoals bedoeld in de Wet particuliere beveiligingsorganisaties en recherchebureaus (Wpbr). De algemene beginselen voor het verwerken van persoonsgegevens zijn opgenomen in hoofdstuk 5 van de Wpbr:

  1. Algemene beginsel van rechtmatigheid: verwerking van persoonsgegevens is alleen toegestaan op basis van een gerechtvaardigd doel.
  2. Doelbepaling en doelbinding: verwerking van persoonsgegevens is alleen toegestaan op basis van een vooraf vastgesteld doel.
  3. Minimale gegevensverwerking: verwerking van persoonsgegevens is alleen toegestaan voor zover dat noodzakelijk is om het vastgestelde doel te verwezenlijken.
  4. Juistheid: de onderzoeker heeft een inspanningsplicht om ervoor te zorgen dat de persoonsgegevens die worden verwerkt juist zijn.
  5. Opslagbeperking: verwerking van persoonsgegevens is alleen toegestaan voor zover dat strikt noodzakelijk is om het vastgestelde doel te verwezenlijken.
  6. Integriteit en vertrouwelijkheid: de onderzoeker is verplicht om bij verwerking van persoonsgegevens te allen tijde geheimhouding te betrachten en om de persoonsgegevens zoveel als mogelijk te beschermen c.q. te beveiligen.
  7. Rechtmatigheid: verwerking van persoonsgegevens is alleen gerechtvaardigd indien één van de in de AVG genoemde verwerkingsgrondslagen van toepassing is. Voor een onafhankelijk onderzoeker zijn de volgende verwerkingsgrondslagen het meest relevant:
  8. De gegevensverwerking is noodzakelijk voor de behartiging van het gerechtvaardigde belang van de verwerkingsverantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de onderzochte persoon, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert (artikel 6 lid 1 onder f AVG);
  9. De onderzochte persoon heeft voor de verwerking zijn uitdrukkelijke toestemming gegeven (artikel 6 lid 1 onder a AVG);
  10. De gegevensverwerking is noodzakelijk om een wettelijke verplichting na te komen waaraan de verwerkingsverantwoordelijke onderworpen is (artikel 6 lid 1 onder c AVG);
  11. De gegevensverwerking is noodzakelijk om de vitale belangen van de onderzochte persoon of van een andere natuurlijke persoon te beschermen (artikel 6 lid 1 onder d AVG).

Proportionaliteit en subsidiariteit

In het licht van de algemene beginselen voor verwerking van persoonsgegevens is het van belang om in gedachten te houden dat bij onafhankelijk onderzoek vaak onderzoeksmethoden worden ingezet waarmee een bepaalde inbreuk wordt gemaakt op de (privacy)rechten van de betrokkene tegen wie ze worden ingezet. Daarbij gelden de beginselen van proportionaliteit en subsidiariteit. Kort gezegd houden deze beginselen in dat bij de keuze van de onderzoeksmethode of het onderzoeksmiddel rekening gehouden moet worden met het doel en met de inbreuk die wordt gemaakt:

  • Proportionaliteit: de inzet van het middel – en dus de inbreuk op de rechten – dient in verhouding te staan tot het doel dat wordt bereikt.
  • Subsidiariteit: er dient te worden gekozen voor het middel dat de minste inbreuk maakt op de rechten van de betrokkene en waarmee toch het doel bereikt kan worden.

Data privacy impact assessment (DPIA)

Het onderzoeksbureau is aan te merken als een verwerkingsverantwoordelijke in de zin van de AVG. Hieraan hangt een aantal verplichtingen, waaronder het uitvoeren van een Data privacy impact assessment (DPIA). Hierin wordt omschreven van welke betrokkenen welke persoonsgegevens worden verwerkt, op welke wijze deze persoonsgegevens worden verwerkt en welke maatregelen er worden genomen om te voorkomen dat deze persoonsgegevens in handen komen van onbevoegden. Bovendien worden de privacybelangen van elk van de betreffende betrokkenen afgewogen tegenover het belang van de opdrachtgever om een onafhankelijk onderzoek te laten verrichten bij een vermoeden van onregelmatigheden. Kort gezegd worden door middel van de DPIA de impact van gegevensverwerking op de betrokken personen geëvalueerd en worden passende maatregelen genomen om risico’s met betrekking tot gegevensbescherming te minimaliseren.

Mogelijkheden op het gebied van IT

Vanuit IT perspectief staan de onderzoeker diverse mogelijkheden voor om onder andere invulling te geven aan de genoemde verplichtingen. Hieronder lichten wij toe hoe EBBEN in de praktijk invulling geeft aan de vereisten van proportionaliteit en subsidiariteit. eDiscovery- en forensische tools spelen een cruciale rol in het waarborgen van privacy binnen onderzoeken. Deze tools helpen onderzoekers om persoonsgegevens op een rechtmatige en transparante manier te verwerken, waarbij principes zoals doelbinding, minimale gegevensverwerking en opslagbeperking worden nageleefd. Door middel van geavanceerde functies, zoals geautomatiseerde data-analyse, encryptie en toegangsbeheer, kunnen onderzoekers ervoor zorgen dat alleen geautoriseerde personen toegang hebben tot gevoelige gegevens. Bovendien ondersteunen deze tools het uitvoeren van een DPIA.

Daarnaast dragen eDiscovery- en forensische tools bij aan de vereisten van proportionaliteit en subsidiariteit door onderzoekers in staat te stellen om gericht en efficiënt data te verzamelen en te analyseren. Met functies zoals data culling, deduplicatie en geavanceerde zoekmogelijkheden kunnen irrelevante gegevens snel worden geëlimineerd, waardoor een mogelijke privacy-inbreuk te allen tijde wordt beperkt tot het strikt noodzakelijke. Door gebruik te maken van logging en audit trails wordt bovendien de integriteit en vertrouwelijkheid van de gegevens gewaarborgd, zodat kan worden aangetoond dat de gegevensverwerking voldoet aan de wettelijke vereisten en ethische normen. Hiermee bieden deze tools een solide technologische basis voor onafhankelijk onderzoek met respect voor de privacy van betrokkenen.

Wilt u meer weten over het voorgaande, maak dan contact met Kai-Chun Chan, Jelle Oorebeek of Marcel Westerhoud:

 

 

Bekijk gerelateerde publicaties

Interessante publicaties voor u geselecteerd

Digitaal onderzoek

De kracht van AI in digitaal onderzoek

Data-analyse

Het proces van data-analyse

Open Source Intelligence

De rol van Open Source Intelligence in onderzoek

Frauderisico

Ontwikkelingen 2025 voor Fraude Champions

Digital Forensics en eDiscovery

Digital Forensics en eDiscovery in perspectief

Digitaal onderzoek

De wereld van digitaal onderzoek van data tot inzichten

Op deze website gebruikt Ebbenpartners cookies en vergelijkbare technieken om de website goed te kunnen laten werken en om te analyseren hoe de website wordt gebruikt.