Welke procedures zijn van toepassing bij observationeel onderzoek?
Bijna dagelijks ontvangt de MOA vragen van aangesloten partners. In het afgelopen jaar van bijna 200 aangesloten leden! De aard van de vragen is zeer divers. Het beantwoorden van de vragen gebeurt door experts van binnen en buiten de MOA. Indien de vragen geen dagdelen aan consultancy uren vragen, dan is het MOA-advies gratis. In de MOA Flash zullen we maandelijks een of meer vragen de revue laten passeren.
Welke procedures zijn van toepassing bij OBSERVATIONEEL ONDERZOEK?
Wat zijn de kaders met betrekking tot observationeel onderzoek als het gaat om verborgen observaties bijvoorbeeld in een supermarkt. Daarbij kan gedacht worden aan verborgen en open observaties , al dan niet (niet)participerend, observatie bias, AVG, informed consent etc.
Vraag
Wat zijn de kaders met betrekking tot observationeel onderzoek als het gaat om verborgen observaties bijvoorbeeld in een supermarkt. Daarbij kan gedacht worden aan verborgen en open observaties , al dan niet (niet)participerend, observatie bias, AVG, informed consent etc.
Antwoord
Als het gaat om vraagstukken zoals onderzoek met verborgen observatie cq in combinatie met het niet informeren van respondenten, dan kom je aan de uiterste grenzen van de bescherming van persoonsgegevens.
Primair zal men rekening dienen te houden met artikel 35 AVG ‘de gegevensbeschermingseffectbeoordeling’ of te wel een DPIA.
Voor dit type onderzoek, en dus niet per gelijksoortige type onderzoek, zal eenmaal DPIA moeten worden opgesteld vooraf. (dus doet men hetzelfde onderzoek onder dezelfde voorwaarden 10 keer dan is 1 DPIA voldoende).
De Verwerkingsverantwoordelijke zal een grondslag moeten hebben op basis waarvan persoonsgegevens kunnen worden verwerkt en daarnaast een doeleinde(n) om persoonsgegevens te verwerken. Let op observatie is een middel en geen doeleinde op zich.
Een DPIA is nodig wanneer stelselmatig en grootschalige (heimelijke) monitoring wordt gedaan van openbaar toegankelijke ruimten, artikel 35 lid 3 onder c. Dit wordt gezien als een hoog risico voor de bescherming van de persoonlijke levenssfeer, afhankelijk van de omvang en bijvoorbeeld welke gegevens worden vastgelegd. Het zal duidelijk zijn dat de risico’s groter zijn wanneer dit wordt gedaan bij een religieuze instelling met duizenden bezoekers (bijzonder gegeven geloofsovertuiging) per dag dan bij de plaatselijke ijssalon met 100 bezoekers per dag. Alléen ‘numbers don’t matter’ want het risico bij een juwelier met 5 bezoekers per dag ligt weer hoger dan bij de 100 bezoekers van de ijswinkel.
Risico’s (groot en klein en context afhankelijk) dienen te worden gemitigeerd. Hierbij kan gebruik worden gemaakt van de maatregelen en aanwijzingen die voor statistisch onderzoek gelden zoals pseudonimiseren, anonimiseren, rapportage anoniem (zie overweging 162 Avg, artikel 89 Avg en artikel 5 lid 1 onder b Avg.)
Wanneer uit de DPIA blijkt dat er een hoog risico is, dat niet te voorkomen is, dan is er sprake van de verplichting van een voorafgaande raadpleging van de AP, artikel 36 Avg.
Is er dus sprake van een hoog risico (heimelijke observatie, niet voldoen aan informatieplicht) dan is de eerste stap een DPIA.
Op https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/stcrt-2019-64418.pdf is een lijst te vinden waarvoor in ieder geval een DPIA is vereist.
1. Heimelijk onderzoek
Grootschalige verwerkingen van persoonsgegevens en-of stelselmatige monitoring waarbij informatie wordt verzameld door middel van onderzoek zonder de betrokkene daarvan vooraf op de hoogte te stellen (bijvoorbeeld: heimelijk onderzoek door particuliere recherchebureaus, onderzoek in het kader van fraudebestrijding en onderzoek op internet in het kader van bijvoorbeeld online handhaving van auteursrechten). Een gegevensbeschermingseffectbeoordeling (DPIA) is ook verplicht in geval van heimelijk cameratoezicht door werkgevers in het kader van diefstal- of fraudebestrijding door werknemers (bij deze laatste verwerking dient ook in incidentele gevallen een gegevensbeschermings- effectbeoordeling (DPIA) te worden uitgevoerd vanwege de ongelijkwaardige machtsverhouding tussen de betrokkene (werknemer) en de verwerkingsverantwoordelijke (werkgever)). [3], [5], [7]
Nogmaals wanneer de regels van statistisch onderzoek worden toegepast dan zullen de risico’s voldoende kunnen worden gemitigeerd en zal onder die voorwaarden het statistissch onderzoek kunnen worden uitgevoerd. Maar nogmaals de context en de soorten van (persoons)gegevens die worden verwerkt spelen daarbij een rol.
Note 1: Met name de combinatie heimelijke observatie en niet informeren liggen bij de AP erg ‘gevoelig’.
Note 2: Met betrekking tot de term ‘informed consent. In de AVG bestaat ‘informed consent’ niet, een consent moet goed informed zijn en blijken uit een verklaring of een handeling ‘van de betrokkene waardoor er toestemming wordt gegeven voor het verwerken van zijn/haar persoonsgegevens.
Stel dat je wilt observeren in een winkelcentrum en je hangt bij de openbare toiletten een A4 op met daarop de tekst dat men wordt geobserveerd in het gehele winkelcentrum dan is dat geen informed consent……. Het is dus geen grondslag op basis waarvan de persoonsgegevens kunnen worden verwerkt.
Ook een display op de kassa achterin de winkel met daarop een sticker (a6 formaat) dat er sprake is van observatie is geen informed consent als ik eerst door de winkel moet om dan pas het bordje aan te treffen.
In beide gevallen ontbreekt een verklaring of een handeling waarmee de betrokkene toestemming geeft dat persoonsgegevens mogen worden verwerkt voor doel x.