Edited: 25-2-2019 12:22
Picture Placeholder: Tessa Pronk
Picture Placeholder: Tessa Pronk
  • Tessa Pronk

verantwoordelijkheid lekken gevoelige data

​Deze vraag kreeg ik van een medewerker: 

"Stel, een student werkt met (al dan niet privacygevoelige) onderzoeksdata van een onderzoeker, en tekent hiervoor een vertrouwenscontract waarin staat dat de student de data niet zal doorspelen aan derden en alle data zal verwijderen van eigen pc na afloop van het project.

Als deze student zich hier vervolgens niet aan houdt, en de data lekt uit, wie is dan uiteindelijk verantwoordelijk? De student vanwege het ondertekende contract, of blijft de onderzoeker zelf verantwoordelijk?"

Het lijkt ​mij dat de onderzoeker altijd verantwoordelijk blijft. Hij had dan meer moeten doen om de data veilig te houden. De student kan hoogstens verantwoordelijk zijn voor het niet naleven van het contract. Wat denken jullie, of nog beter, wat weten jullie hierover? 

Picture Placeholder: Tessa Pronk
  • Tessa Pronk
https://mysites.edugroepen.nl:443/User%20Photos/Profile%20Pictures/trustedprovider_edugroepen%20sts_182d0b74-8fb3-4e5e-940b-7dc227d569c8_MThumb.jpg" alt="Picture: Boudewijn van den Berg" />
Boudewijn van den Berg

​Deze vraag kreeg ik van een medewerker: 

"Stel, een student werkt met (al dan niet privacygevoelige) onderzoeksdata van een onderzoeker, en tekent hiervoor een vertrouwenscontract waarin staat dat de student de data niet zal doorspelen aan derden en alle data zal verwijderen van eigen pc na afloop van het project.

Als deze student zich hier vervolgens niet aan houdt, en de data lekt uit, wie is dan uiteindelijk verantwoordelijk? De student vanwege het ondertekende contract, of blijft de onderzoeker zelf verantwoordelijk?"

Het lijkt ​mij dat de onderzoeker altijd verantwoordelijk blijft. Hij had dan meer moeten doen om de data veilig te houden. De student kan hoogstens verantwoordelijk zijn voor het niet naleven van het contract. Wat denken jullie, of nog beter, wat weten jullie hierover? 

19114-9-2016 10:1125-2-2019 12:22
Posted: 20-9-2016 11:41
Picture Placeholder: Martin Boeckhout
Picture Placeholder: Martin Boeckhout
  • Martin Boeckhout
Deze vraag laat zich in algemene zin niet beantwoorden, maar hierbij wat aspecten die meespelen:

* Verantwoordelijkheid i.h.a. is eerder een morele dan een juridische term. De juridische uitwerking daarvan kan zowel in aansprakelijkheid zitten als in bewerkers/beheerders-verantwoordelijkheden voor bescherming van persoonsgegevens, intellectueel eigendomsrecht, databankenrecht, ... Dus de vraag is altijd: wat voor gegevens zijn het, wat gebeurt ermee, wat is het probleem dat door het lek ontstaat?

* Even ervan uitgaande dat het hier om het verwerken en lekken van persoonsgegevens gaat: in juridische zin is niet de onderzoeker maar de instelling verantwoordelijk voor het beheer van (persoonsgegevens. Een goed contract (een 'bewerkersovereenkomst') zou dus verwijzen naar instellingsbeleid e.d., met de instelling als eindverantwoordelijke. De verantwoordelijkheid van de onderzoeker is daarvan afgeleid. 

* Of de onderzoeker in juridische zin verantwoordelijk is hangt m.i. vooral af van wat er in het contract staat en of z/hij vooraf voldoende beschermingsmaatregelen heeft genomen. Dus bijvoorbeeld: indien mogelijk enkel kopieeën van de data op de universiteitsserver, contactgegevens niet meegestuurd voor zover niet nodig, gegevens ook anderszins geminimaliseerd, etc.

* Veel van de onderlinge afspraken over gegevens in onderzoek zijn natuurlijk niet juridisch maar eerder moreel van aard. Ook dan zou ik verwachten van onderzoekers dat ze de risico's van het kopiëren van gevoelige data zelf inschatten en vergelijkbare maatregelen zoals hierboven genoemd nemen. Is dat het geval en lekken data uit, dan zou ik een onderzoeker moreel gezien waarschijnlijk minder snel verantwoordelijk blijven houden dan juridisch het geval is.


Picture Placeholder: Martin Boeckhout
  • Martin Boeckhout
/_layouts/15/images/person.gif" alt="Picture Placeholder: Martin Boeckhout" />
Martin Boeckhout
Deze vraag laat zich in algemene zin niet beantwoorden, maar hierbij wat aspecten die meespelen:

* Verantwoordelijkheid i.h.a. is eerder een morele dan een juridische term. De juridische uitwerking daarvan kan zowel in aansprakelijkheid zitten als in bewerkers/beheerders-verantwoordelijkheden voor bescherming van persoonsgegevens, intellectueel eigendomsrecht, databankenrecht, ... Dus de vraag is altijd: wat voor gegevens zijn het, wat gebeurt ermee, wat is het probleem dat door het lek ontstaat?

* Even ervan uitgaande dat het hier om het verwerken en lekken van persoonsgegevens gaat: in juridische zin is niet de onderzoeker maar de instelling verantwoordelijk voor het beheer van (persoonsgegevens. Een goed contract (een 'bewerkersovereenkomst') zou dus verwijzen naar instellingsbeleid e.d., met de instelling als eindverantwoordelijke. De verantwoordelijkheid van de onderzoeker is daarvan afgeleid. 

* Of de onderzoeker in juridische zin verantwoordelijk is hangt m.i. vooral af van wat er in het contract staat en of z/hij vooraf voldoende beschermingsmaatregelen heeft genomen. Dus bijvoorbeeld: indien mogelijk enkel kopieeën van de data op de universiteitsserver, contactgegevens niet meegestuurd voor zover niet nodig, gegevens ook anderszins geminimaliseerd, etc.

* Veel van de onderlinge afspraken over gegevens in onderzoek zijn natuurlijk niet juridisch maar eerder moreel van aard. Ook dan zou ik verwachten van onderzoekers dat ze de risico's van het kopiëren van gevoelige data zelf inschatten en vergelijkbare maatregelen zoals hierboven genoemd nemen. Is dat het geval en lekken data uit, dan zou ik een onderzoeker moreel gezien waarschijnlijk minder snel verantwoordelijk blijven houden dan juridisch het geval is.



From: Tessa Pronk
Posted: 9/14/2016 10:11 AM
Subject: verantwoordelijkheid lekken gevoelige data

​Deze vraag kreeg ik van een medewerker: 

"Stel, een student werkt met (al dan niet privacygevoelige) onderzoeksdata van een onderzoeker, en tekent hiervoor een vertrouwenscontract waarin staat dat de student de data niet zal doorspelen aan derden en alle data zal verwijderen van eigen pc na afloop van het project.

Als deze student zich hier vervolgens niet aan houdt, en de data lekt uit, wie is dan uiteindelijk verantwoordelijk? De student vanwege het ondertekende contract, of blijft de onderzoeker zelf verantwoordelijk?"

Het lijkt ​mij dat de onderzoeker altijd verantwoordelijk blijft. Hij had dan meer moeten doen om de data veilig te houden. De student kan hoogstens verantwoordelijk zijn voor het niet naleven van het contract. Wat denken jullie, of nog beter, wat weten jullie hierover? 

Deze vraag laat zich in algemene zin niet beantwoorden, maar hierbij wat aspecten die meespelen:

* Verantwoordelijkheid i.h.a. is eerder een morele dan een juridische term. De juridische uitwerking daarvan kan zowel in aansprakelijkheid zitten als in bewerkers/beheerders-verantwoordelijkheden voor bescherming van persoonsgegevens, intellectueel eigendomsrecht, databankenrecht, ... Dus de vraag is altijd: wat voor gegevens zijn het, wat gebeurt ermee, wat is het probleem dat door het lek ontstaat?

* Even ervan uitgaande dat het hier om het verwerken en lekken van persoonsgegevens gaat: in juridische zin is niet de onderzoeker maar de instelling verantwoordelijk voor het beheer van (persoonsgegevens. Een goed contract (een 'bewerkersovereenkomst') zou dus verwijzen naar instellingsbeleid e.d., met de instelling als eindverantwoordelijke. De verantwoordelijkheid van de onderzoeker is daarvan afgeleid. 

* Of de onderzoeker in juridische zin verantwoordelijk is hangt m.i. vooral af van wat er in het contract staat en of z/hij vooraf voldoende beschermingsmaatregelen heeft genomen. Dus bijvoorbeeld: indien mogelijk enkel kopieeën van de data op de universiteitsserver, contactgegevens niet meegestuurd voor zover niet nodig, gegevens ook anderszins geminimaliseerd, etc.

* Veel van de onderlinge afspraken over gegevens in onderzoek zijn natuurlijk niet juridisch maar eerder moreel van aard. Ook dan zou ik verwachten van onderzoekers dat ze de risico's van het kopiëren van gevoelige data zelf inschatten en vergelijkbare maatregelen zoals hierboven genoemd nemen. Is dat het geval en lekken data uit, dan zou ik een onderzoeker moreel gezien waarschijnlijk minder snel verantwoordelijk blijven houden dan juridisch het geval is.


020-9-2016 11:4120-9-2016 11:41