Research code UMCG

Omgaan met onderzoeksgegevens

Content op deze pagina

Onderzoeksgegevens dienen nauwkeurig, volledig, betrouwbaar en authentiek te zijn en zodanig te worden verkregen en beheerd dat ze voldoen aan alle relevante ethische en wettelijke eisen, gedragscodes (Nederlandse gedragscode wetenschappelijke integriteit 2018 UNL en Gedragscode Gezondheidsonderzoek 2022 (Coreon) en FAIR data principes (overeenkomstig het RUG Research Databeleid 2021). Goed datamanagement is belangrijk vanaf de ontwerpfase tot en met de archivering.

Datamanagement

Goed datamanagement begint bij het schrijven van het onderzoeksvoorstel, waarin onder andere aandacht moet zijn voor:

Datamanagementplan (DMP)

Naast het onderzoeksprotocol moeten voor de start van een studie alle relevante aspecten van onderzoeksgegevens en het beheer daarvan adequaat worden beschreven in een DMP. Bij voorkeur wordt het UMCG DMP-template gebruikt. Deze bevat alle noodzakelijke items en is goedgekeurd door o.a. NWO.

    • naleven van relevante wet- en regelgeving, zoals beschreven in dit hoofdstuk
    • verbeteren van de kwaliteit van het onderzoek (bijvoorbeeld datakwaliteit en reproduceerbaarheid)
    • FAIR maken van de onderzoeksgegevens voor hergebruik

    De laatste door de hoofdonderzoeker goedgekeurde versie van het DMP wordt opgeslagen in het studiedossier. De hoofdonderzoeker is verantwoordelijk voor het actueel houden van het DMP en naleving ervan.

Bewaartermijnen

De bewaartermijn voor onderzoeksgegevens wordt vastgelegd in het onderzoeksprotocol of DMP en onderzoeksdeelnemers dienen hierover te worden geïnformeerd wanneer hun toestemming wordt gevraagd.   

In het algemeen geldt voor onderzoeksgegevens (en bijbehorend lichaamsmateriaal) een bewaartermijn van 10 jaar, maar voor medisch-wetenschappelijk onderzoekmet mensen is de bewaartermijn afhankelijk van het type onderzoek (NFU Richtlijn Kwaliteitsborging Mensgebonden Onderzoek 2023).

De bewaartermijn start nadat de laatste onderzoeksgegevens van de laatste deelnemer zijn verzameld en is: 

  • 30 jaar voor onderzoek met ‘advanced therapeutic medicinal products’ (geneesmiddelen met producten zoals gentherapeutica, celtherapeutica en weefselmanipulatieproducten)
  • 25 jaar voor onderzoek met geneesmiddelen
  • 10 jaar voor onderzoek met niet-implanteerbare
    medische hulpmiddelen
  • 15 jaar voor overige WMO-plichtige en nWMO studies

Als gecodeerde persoonsgegevens (zie Bescherming van persoonsgegevens) langer worden gearchiveerd dan de bovenstaande bewaartermijn moet deze langere bewaartermijn vooraf zijn beschreven en onderbouwd in het onderzoeksprotocol. Tenzij de onderzoeksgegevens als volledig anonieme gegevens gegevens worden gearchiveerd, moeten onderzoeksdeelnemers vooraf over de verlengde bewaartermijn worden geïnformeerd en daar schriftelijk toestemming voor hebben gegeven.

FAIR data

Als onderdeel van Open Science (zie Open Science en Open Access) dienen na wetenschappelijke publicatie de onderzoeksgegevens te voldoen aan de volgende criteria (FAIR):

    • Van de onderzoeksgegevens worden alle metadata, inclusief contactgegevens van de hoofdonderzoeker en voorwaarden voor hergebruik, geregistreerd in een catalogus.
    • De onderzoeksgegevens worden gedeponeerd in een repository, tenzij het persoonsgegevens zijn, of er IE-rechten of contractuele verplichtingen op rusten.
    • Alle gegevens die nodig zijn voor het reproduceren of controleren van het onderzoek worden gearchiveerd in een UMCG-erkend archief, inclusief bijbehorende scripts en/of software die nodig zijn voor het analyseren van de onderzoeksgegevens.
    • De gegevens worden bewaard gedurende de vereiste bewaartermijn (zie Bewaartermijnen). 
    • De voorwaarden voor toegang tot en hergebruik van de gegevens zijn duidelijk.
    • De gegevens worden waar mogelijk voor de lange termijn gearchiveerd in een open source formaat of ander binnen het vakgebied gangbaar formaat. 
    • De gegevens worden gearchiveerd met metadata volgens standaarden van het vakgebied of, indien deze niet beschikbaar zijn, volgens eenduidig gedefinieerde, binnen het vakgebied gangbare, vocabulaires of ontologieën.
    • De gegevens zijn idealiter machinaal leesbaar om interoperabiliteit mogelijk te maken met applicaties en workflows voor analyse, opslag en verwerking.
  • De gegevens worden systematisch gedocumenteerd, bijvoorbeeld door Readme-tekstbestanden toe te voegen, met uitleg voor niet betrokken onderzoekers. Andere documentatie betreft: 

    • hoe de gegevens zijn verkregen en verwerkt (als gegevens zijn hergebruikt: informatie over de herkomst)
    • een codeboek of data dictionary
    • documentatie over genomen beslissingen en eventuele verschillen tussen versies van experimenten en scripts
    • versiebeheer
    • de gebruikte conventie m.b.t. de bestandsnaamgeving
    • de mappenstructuur, met een index
    • als gegevens zijn gedeponeerd in een open repository: een duidelijke licentie voor hergebruik

Met de FAIR-Aware tool (KNAW) kunnen onderzoekers controleren of hun onderzoeksgegevens voldoen aan bovenstaande criteria.

FAIR data ≠ open data
Onderzoeksgegevens kunnen in een open repository worden opgenomen als:

  • geen contracten of IE-rechten dat verbieden
  • deze in geval van onderzoek bij mensen, geanonimiseerd worden en de onderzoeksdeelnemers toestemming hebben gegeven voor de opslag van hun anonieme gegevens in de open repository. 

Volgens de richtlijnen van het Horizon Europe Programma moeten FAIR data “as open as possible and as closed as necessary” zijn. Vaak is volledige anonimisering van gegevens van mensen niet mogelijk. In die gevallen blijven de onderzoeksgegevens persoonsgegevens, ook al zijn het gecodeerde gegevens. Ze kunnen dan niet worden opgenomen in een open repository. Van de meeste UMCG-databestanden zullen dus alleen de metadata vindbaar zijn. Bij een verzoek tot hergebruik kunnen gecodeerde onderzoeksgegevens beschikbaar worden gesteld als:

  • de onderzoeksdeelnemer hiervoor toestemming heeft gegeven
  • het verzoek voldoet aan de voorwaarden voor hergebruik zoals beschreven in het DMP
  • er via LCR een schriftelijke overeenkomst is opgesteld die is ondertekend door beide partijen (zie Samenwerkingen met externe partijen)
  • het hergebruik wordt geregistreerd in het UMCG Research Register
  • het beschikbaar stellen op een veilige wijze gebeurt (SOP data transport)

Bescherming van persoonsgegevens

De bescherming van de privacy van onderzoeksdeelnemers is cruciaal. Dit geldt voor direct herleidbare persoonsgegevens (zoals naam en emailadres), indirect herleidbare gegevens (zoals patiëntnummer) maar ook voor gecodeerde gegevens die herleidbaar zijn tot een individu, want ook die worden beschouwd als persoonsgegevens.

Het verzamelen, bekijken, analyseren, opslaan, beschikbaar stellen en vernietigen van deze persoonsgegevens voor wetenschappelijk onderzoek valt onder de AVG. 

Onderzoeksgegevens worden in een zo vroeg mogelijk stadium gecodeerd (gepseudonimiseerd) en gescheiden van de direct herleidbare persoonsgegevens opgeslagen. Voor toegang tot de direct herleidbare persoonsgegevens of de gecodeerde gegevens hebben leden van het onderzoeksteam autorisatie van de hoofdonderzoeker nodig. Deze autorisaties worden vastgelegd in het DMP.

Zorggegevens van overleden patiënten vallen niet onder de AVG maar wel onder de WGBO. Ook de privacy van deze overleden patiënten dient beschermd te worden. Het gebruik van anonieme gegevens valt niet onder de AVG of WGBO, maar anonieme gegevens zijn in de praktijk moeilijk te realiseren. IMO kan hierbij helpen. 

Zeggenschap

Persoonsgegevens, waaronder zorggegevens, mogen alleen worden gebruikt als daar een wettelijke grondslag voor is. Uitgangspunt is toestemming van de deelnemer. Gebruik van zorggegevens zonder toestemming valt onder de ‘Geen-bezwaar regeling’ en is alleen onder bepaalde voorwaarden mogelijk. De onderzoeker dient dan onder andere een bezwaarcheck uit te voeren. 

  • Zorggegevens van patiënten mogen zonder toestemming worden gebruikt wanneer een van de volgende uitzonderingsgronden van toepassing is: 

    • Het vragen van toestemming is feitelijk onmogelijk of
      in de gegeven omstandigheden een onredelijke eis.
    • Het vragen van toestemming kan, gelet op de aard
      en het doel van het onderzoek, in redelijkheid niet worden verlangd. 

    Gebruik van zorggegevens zonder toestemming mag alleen wanneer aan alle drie voorwaarden is voldaan: het onderzoek een algemeen belang dient, het onderzoek niet zonder de betreffende gegevens kan worden uitgevoerd, en de patiënt geen bezwaar heeft gemaakt tegen het gebruik van diens gegevens voor wetenschappelijk onderzoek. De onderzoeker dient dit te controleren en het rapport hiervan te bewaren (bezwaarcheck). Alle patiënten zijn hierover bij het begin van de behandelrelatie via de UMCG patiëntfolder of website geïnformeerd.

    Het vragen van toestemming aan patiënten voor het gebruik van hun zorggegevens is feitelijk onmogelijk of in de gegeven omstandigheden een onredelijke eis wanneer één of meerdere van onderstaande situaties zich voordoen:

    • De patiënten zijn overleden. 
    • De actuele contactgegevens van de patiënten zijn mogelijk niet correct. 
    • Het benaderen van de patiënten om hun toestemming te vragen zou een te grote belasting voor hen betekenen. 
    • Toestemming vragen zou vanwege de omvang van de betreffende patiëntengroep een onredelijke inspanning van alle hierbij betrokken partijen vergen.
    • Er bestaat een substantieel risico op niet te corrigeren bias (dit is alleen bij hoge uitzondering een valide argument). 

    Het gebruik van de zorggegevens in een onderzoek onder de geen-bezwaar regeling wordt vermeld in het zorgdossier.

    Zie voor een uitgebreide toelichting de NFU handreiking: Hergebruik van zorggegevens voor wetenschappelijk onderzoek.

Dataminimalisatie

Voor onderzoek mogen alleen persoonsgegevens worden verzameld die noodzakelijk zijn voor het beantwoorden van de onderzoeksvraag. Dit betekent:

  • niet meer of andere variabelen dan noodzakelijk
  • niet meer onderzoeksdeelnemers dan noodzakelijk

In het onderzoeksprotocol dient de keuze voor de variabelen en het aantal onderzoeksdeelnemers te worden onderbouwd.

Datalek

Als iemand onbevoegd toegang heeft gehad of had kunnen hebben tot persoonsgegevens, dus tot direct herleidbare gegevens, indirect herleidbare gegevens of gecodeerde gegevens is dat een datalek. Ook het verliezen van persoonsgegevens is een datalek. Een datalek dient direct te worden gemeld via de knop ‘Meldportaal’ (naast de SOS-knop) op de UMCG-homepage van het intranet of, in geval van spoed, via UMCG telefoonnummer (050 36)11111.

UMCG Research Register

Het UMCG Research Register is het door de AVG verplichte register van onderzoeksverwerkingen. Al het WMO- en nWMO-plichtig onderzoek met mensen dat binnen het UMCG of door UMCG-medewerkers elders wordt uitgevoerd dient hier te worden geregistreerd. Dit geldt ook voor onderzoek van een andere partij waaraan het UMCG deelneemt en gegevens verstrekt. Naast dit overzicht van de verwerkingen vereist de AVG ook dat het UMCG inzicht in de verwerkingen heeft. Het Research Register is hiertoe aangevuld met enkele privacy items die gezamenlijk de PIA-light vormen. Voor databanken en biobanken dient via het Research Register een uitgebreide PIA te worden gedaan. De ingevulde PIA(-light) wordt getoetst aan de AVG, en zo nodig de WGBO, door IMO (WMO- en nWMO-studies) of de PWO (data- en biobanken). Belangrijke aspecten zijn onder meer (1) de onderbouwing van de onderzoeker om bij onderzoek met zorggegevens gebruik te maken van de geen-bezwaar regeling (zie Zeggenschap) en (2) de contracten (LCR).

    • De inbreuk op de privacy van een onderzoeksdeelnemer moet tot een minimum worden beperkt. Direct herleidbare gegevens mogen dus bijvoorbeeld niet worden gebruikt als gecodeerde gegevens volstaan.
    • Voorafgaand aan de statistische analyses moeten gegevens worden omgezet in de minst identificeerbare vorm zonder hun waarde te verliezen, bijvoorbeeld door geboortedata om te zetten naar leeftijden of leeftijdscategorieën.
    • Het hele proces van gegevens verzamelen, analyseren, delen en opslaan moet goed worden beveiligd tegen verlies, diefstal en ongeoorloofd inzien of gebruik.
    • Autorisaties voor toegang tot de gegevens moeten worden beperkt tot de bij het onderzoek betrokken medewerkers voor wie toegang noodzakelijk is om hun werk te kunnen doen. Autorisaties zijn mede afhankelijk van de fase van het onderzoeksproces.
    • Nadat het onderzoek is afgerond moeten tijdelijke bestanden en andere niet-essentiële gegevens worden vernietigd. De resterende essentiële gegevens moeten op een veilige manier worden gearchiveerd gedurende de bewaartermijn die is vastgelegd in het DMP of onderzoeksprotocol. Daarna worden de gegevens vernietigd of volledig geanonimiseerd.
    • Samenwerking met derde partijen bij het verzamelen, beheren en opslaan van gegevens, of het verstrekken van gegevens aan derde partijen vereist een schriftelijke overeenkomst tussen het UMCG en de derde partij. Iedere overeenkomst wordt gesloten via het LCR.

De organisatorische en technische UMCG-brede maatregelen alleen zijn niet voldoende om de privacy van de onderzoeksdeelnemers te beschermen. Iedere onderzoeker moet zichzelf informeren over de wet- en regelgeving, procedures en richtlijnen die relevant zijn voor het eigen onderzoek en deze naleven. Over de AVG is de e-learning module ‘Privacy in research’ ontwikkeld voor onderzoekers met en zonder UMCG-account. Via het UMCG Research support Serviceportaal is informatie beschikbaar over het veilig opslaan/archiveren en delen van gegevens, het beheer van gegevens (waaronder sleutellijsten), het naleven van wet- en regelgeving en onderzoeksapplicaties waarmee de AVG kan worden nageleefd. Voor vragen over het UMCG Research Register kan contact worden opgenomen met de afdeling SD CRO. Voor vragen of advies over gegevensbescherming en informatiebeveiliging kan contact worden gezocht met IMO of de PWO.

Eigenaarschap van gegevens

Alle onderzoeksgegevens die door een UMCG-onderzoeker worden gegenereerd, zijn in beginsel eigendom van het UMCG. In afstemming met de begeleiders of het afdelingshoofd kunnen respectievelijk studenten en ex-medewerkers via P&O afspraken maken over het gebruik van onderzoeksgegevens na vertrek, bijvoorbeeld via een gastaanstelling bij het UMCG. Onder bepaalde voorwaarden kunnen samenwerkingspartners zoals financiers, bedrijven en andere onderzoeksinstellingen het recht krijgen om gebruik te maken van gegevens (en/of lichaamsmateriaal) voor een specifiek omschreven onderzoek. De afspraken hierover moeten via LCR worden vastgelegd in een samenwerkingsovereenkomst. Deze contractuele afspraken kunnen ook gaan over publicatierechten, auteursrechten, het eigenaarschap van (een deel van) de gegevens en IE-rechten. Als commerciële bedrijven betrokken zijn kan het Innovatiecentrum ondersteunen bij het maken van deze contractuele afspraken.

De persoonsgegevens (indirect herleidbare gegevens, direct herleidbare gegevens of gecodeerde gegevens) en lichaamsmateriaal zijn geen eigendom van het UMCG in de gewone zin van het woord; het UMCG is beheerder. Onderzoeksdeelnemers van wie deze gegevens zijn verzameld hebben het recht op:

Onderzoekers dienen in de informatiebrief onderzoeksdeelnemers hierop te wijzen via een link naar het UMCG privacy statement en door de verplichtingen uit te voeren die uit deze rechten voortkomen.
Bij onderzoek onder de geen-bezwaar regeling (zie Zeggenschap) zijn patiënten via de UMCG patiëntfolder of website geïnformeerd over het UMCG privacy statement.

Feedback op deze pagina?

Elizabeth Koier Beleidsmedewerker Bureau Onderzoek