Workflow samenwerkingsovereenkomsten (‘data sharing agreements’) bij de Faculteit Rechtsgeleerdheid
Inleiding
In onderzoeksprojecten waarbij data wordt gebruikt die door andere partijen wordt aangeleverd, wordt doorgaans conform art. 26 lid 1 AVG een overeenkomst gesloten tussen de RUG en de andere partij. In een dergelijke samenwerkingsovereenkomst ('data sharing agreement') zijn bepalingen opgenomen over onder andere de volgende onderwerpen:
- Hoe de data wordt beveiligd;
- Met wie de data wordt gedeeld;
- Hoe de data tijdens het onderzoek wordt opgeslagen;
- Hoe de data na het onderzoek wordt gearchiveerd;
- Of de data door de RUG met anderen (derden) mag worden gedeeld.
Daarnaast kan het zijn dat de RUG de ontvangen of zelf verzamelde data (mede) door andere partijen laat verwerken. In dat geval dient er op grond van art. 28 lid 3 AVG (GDPR) een verwerkersovereenkomst ('data processing agreement') te worden afgesloten.
Op verzoek van de PH Middelen van de Faculteit heeft de CETOR1 een workflow voor dergelijke overeenkomsten gedefinieerd. Deze wordt hieronder verder uitgewerkt.
Workflow voor samenwerkingsovereenkomsten
- De onderzoeker (of projectcontroller) neemt contact op de P&S coördinator van de Faculteit. De onderzoeker maakt in overleg met de P&S coordinator een Research Data Management Plan (RDMP) waaruit duidelijk wordt welke verwerkingen ven persoonsgegevens worden uitgevoerd en welke technische en organisatorische maatregelen rond de verwerking van de data worden toegepast.
- De P&S coördinator neemt daarna contact op met de afdeling Privacy van ABJZ. Wanneer het verstrekken van (onderzoeks)data met persoonsgegevens onderdeel van een grotere overeenkomst is, wordt dit binnen ABJZ verder afgestemd tussen de afdelingen Civiel en Privacy.
- ABJZ stuurt de conceptovereenkomst naar de P&S coördinator en de onderzoeker, wanneer van toepassing in cc aan de projectcontroller. Na eventuele redactie door hen gaat de definitieve overeenkomst naar de PH Middelen van het Faculteitsbestuur ter ondertekening.
- De PH Middelen stuurt de getekende overeenkomst naar de onderzoeker en de onderzoeker stuurt de overeenkomst naar de wederpartij.
Varianten of afwijkingen op deze workflow
- In het geval de onderzoeker of projectcontroller eerst contact opneemt met de PH Middelen of rechtstreeks contact opneemt met ABJZ wordt dit door hen teruggekoppeld aan de P&S coördinator met het oog op het opstellen van het datamanagementplan. Hierbij vindt uiteraard nader overleg met de onderzoeker plaats en ook eventueel afstemming met de afdeling Civiel van ABJZ, zoals omschreven in stap 1;
- De onderzoeker meldt zich bij de CETOR voor toetsing van het onderzoek. PH Middelen of de P&S coördinator verwijzen in dat geval eerst door naar ABJZ, in combinatie met stap 2, het aanleveren van een RDMP en de te nemen technische en organisatorische maatregelen
- Het is onderzoekers niet toegestaan om zelf een dergelijke overeenkomst af te sluiten met de andere partij zonder de PH Middelen of de Management Controller te informeren. De onderzoeker is niet bevoegd om dit te doen en er ontstaat een reëel risico dat wettelijke verplichtingen uit de AVG niet worden nagekomen (kans op boetes) en/of een risico op een juridisch geschil waarbij de RUG (en niet de onderzoeker) partij is. Wanneer dit onverhoopt toch gebeurt, dan dient deze overeenkomst te worden getoetst door ABJZ en zo nodig te worden aangepast. Daarbij dient, conform stap 1 van de workflow, een actueel datamanagementplan aanwezig te zijn. Ook wanneer de andere partij zijn eigen (model) overeenkomst aanbiedt, dient deze door ABJZ getoetst te worden en zo nodig te worden aangepast;
- ls er in het verleden al een overeenkomst is gemaakt die de onderzoeker blijft gebruiken, dan dient deze overeenkomst te worden getoetst door ABJZ en zo nodig te worden aangepast, in combinatie met een actueel datamanagementplan;
- ABJZ gebruikt zijn eigen model voor een overeenkomst maar het komt voor dat de andere partij er op staat een eigen overeenkomst te gebruiken, deze wordt dan voorzien van een appendix met de technische en organisatorische maatregelen die door de RUG worden voorgesteld, en het datamanagementplan;
- Als de samenwerkingsovereenkomst onderdeel is van een grotere samenwerkingsovereenkomst, kan ABJZ ook de toezending aan de andere partij(en) afhandelen;
- Wanneer het om verwerkingen met een hoog risico gaat2, organiseert ABJZ in samenwerking met de P&S coördinator, de betrokken onderzoeker en het DCC een "Data Protection Impact Assessment " (DPIA) die op grond van art. 35 AVG (GDPR) wordt uitgevoerd.
1 Commissie Ethische Toetsing Onderzoek Rechtsgeleerdheid (CETOR): subgroep voor dit advies bestaande uit Maarten Goldberg, Anne Ruth Mackor, Jeanne Mifsud Bonnici en Evgeni Moyakine.
2 Zoals onder andere de verwerking van bijzondere persoonsgegevens of gegevens van kwetsbare personen. Zie hier voor meer informatie.
Laatst gewijzigd: | 02 juni 2022 15:36 |