033 200 30 83
EDPB verduidelijkt regels voor onderzoek, werkt aan anonimisering en introduceert nieuw keurmerk voor datadoorgifte
Het Europees Comité voor gegevensbescherming (European Data Protection Board, EDPB) heeft op 16 april 2026 drie belangrijke ontwikkelingen gepresenteerd. Het gaat om nieuwe richtsnoeren voor wetenschappelijk onderzoek, extra aandacht voor anonimisering en de goedkeuring van een Europees privacykeurmerk dat kan worden gebruikt bij internationale gegevensdoorgiften.
Meer duidelijkheid over gebruik van persoonsgegevens voor wetenschappelijk onderzoek
Zes indicatieve factoren
Veel wetenschappelijk onderzoek maakt gebruik van persoonsgegevens, bijvoorbeeld in de gezondheidszorg of bij de ontwikkeling van AI. Het EDPB wil met nieuwe richtsnoeren duidelijker maken hoe organisaties dit op een verantwoorde manier kunnen doen. De nieuwe richtsnoeren bieden nadere duiding van het begrip wetenschappelijk onderzoek binnen de kaders van de AVG. Het EDPB noemt zes indicatieve factoren om te beoordelen of sprake is van wetenschappelijk onderzoek:
- een methodische en systematische aanpak;
- naleving van ethische normen;
- verifieerbaarheid en transparantie;
- autonomie en onafhankelijkheid;
- duidelijke onderzoeksdoelstellingen;
- bijdrage aan bestaande kennis.
Deze factoren moeten worden beoordeeld in samenhang met de aard, context en doeleinden van de verwerking. Indien niet aan deze factoren wordt voldaan, rust op de verwerkingsverantwoordelijke een verzwaarde motiveringsplicht.
Verdere verwerking en doelbinding
Ook geeft het EDPB aan dat persoonsgegevens die eerder zijn verzameld voor een ander doel, in principe opnieuw gebruikt mogen worden voor wetenschappelijk onderzoek. Normaal gesproken moet je controleren of een nieuw gebruik past bij het oorspronkelijke doel, maar die toets is hier niet nodig: dit wordt bij onderzoek in principe aangenomen. Wel blijft het belangrijk dat er een geldige grondslag is voor het gebruik van de gegevens, en dat deze ook het gebruik voor onderzoek dekt.
Toestemming
Daarnaast wordt uitgelegd hoe organisaties met toestemming kunnen omgaan. Organisaties die persoonsgegevens gebruiken voor onderzoek, weten vooraf soms nog niet precies waarvoor ze die gegevens allemaal gaan gebruiken. In dat geval mogen ze mensen om algemene toestemming vragen voor toekomstig onderzoek. Dit heet brede toestemming. Daarbij moeten ze zich wel houden aan de gebruikelijke ethische regels voor onderzoek en extra maatregelen nemen om het gebrek aan doelspecificatie te compenseren.
Organisaties kunnen er ook voor kiezen om mensen steeds opnieuw toestemming te vragen zodra er een concreet onderzoeksproject is. Mensen kunnen dan per onderzoek beslissen of ze willen meedoen. Dit heet dynamische toestemming. Het is ook mogelijk om deze twee manieren te combineren.
Rechten van betrokkenen bij onderzoek
Het EDPB geeft ook meer duidelijkheid over de rechten van personen van wie gegevens voor wetenschappelijk onderzoek worden gebruikt. Zo blijven rechten zoals het recht op verwijdering en het recht om bezwaar te maken in principe van toepassing. Tegelijkertijd kunnen deze rechten in een onderzoekscontext worden beperkt. Bijvoorbeeld wanneer het verwijderen van gegevens het onderzoek onmogelijk maakt of ernstig belemmert. Ook kan een bezwaar tegen het gebruik van gegevens worden afgewezen, bijvoorbeeld als het onderzoek wordt uitgevoerd in het algemeen belang en het gebruik van de gegevens daarvoor noodzakelijk is.
Met deze toelichting probeert het EDPB een balans te schetsen tussen de bescherming van individuele rechten van betrokkenen en het belang van wetenschappelijk onderzoek.
Samenwerking tussen organisaties
Wanneer meerdere organisaties betrokken zijn bij wetenschappelijk onderzoek, benadrukt het EDPB dat het belangrijk is om vooraf duidelijk vast te leggen wie waarvoor verantwoordelijk is bij de verwerking van persoonsgegevens.
De richtsnoeren geven daarbij praktische voorbeelden die helpen om te bepalen welke rol een organisatie heeft, bijvoorbeeld of zij zelfstandig verantwoordelijk is, samen met anderen optreedt of juist in opdracht van een andere partij handelt.
Passende technische en organisatorische maatregelen en waarborgen
Tot slot gaat het EDPB in op de maatregelen die organisaties moeten nemen om persoonsgegevens bij onderzoek goed te beschermen. Denk hierbij aan technieken zoals anonimisering en pseudonimisering, maar ook aan bredere organisatorische maatregelen.
Welke maatregelen passend zijn, hangt af van de risico’s van het onderzoek. De richtsnoeren noemen onder andere voorbeelden zoals onafhankelijk of ethisch toezicht, veilige verwerkingsomgevingen, privacyverhogende technologieën, beschermende maatregelen voor de publicatie van onderzoeksresultaten, geheimhoudingsafspraken en voorwaarden voor verder gebruik.
Openbare raadpleging richtlijnen
De richtlijnen zullen tot 25 juni ter openbare raadpleging worden voorgelegd, zodat belanghebbenden de gelegenheid krijgen om commentaar te leveren en feedback te geven.
Versnelling van richtlijnen voor anonimisering
Naast de richtsnoeren voor onderzoek werkt het EDPB aan aparte richtlijnen over anonimisering. Hiervoor is een speciaal “sprintteam” opgericht dat de afronding moet versnellen.
Dit laat zien dat anonimisering, het zodanig bewerken van gegevens dat deze niet meer tot personen te herleiden zijn, een steeds belangrijker onderwerp wordt. Zeker bij onderzoek en datadeling speelt dit een grote rol.
Europees privacykeurmerk voor internationale datadoorgifte
Tot slot heeft het EDPB een belangrijke stap gezet op het gebied van internationale gegevensdoorgifte. Het heeft een Europees privacykeurmerk (Europrivacy) goedgekeurd en erkend als instrument om persoonsgegevens veilig buiten de EU te kunnen doorgeven.
Dit keurmerk helpt organisaties aan te tonen dat zij voldoende waarborgen bieden bij het delen van gegevens met partijen in andere landen. Nieuw is dat ook organisaties buiten de EU dit keurmerk kunnen aanvragen. Dat maakt het makkelijker om internationaal samen te werken met behoud van een hoog niveau van gegevensbescherming.