Goed onderzoek begint met databescherming

“Het interessante is dat ons vakgebied ook de digitaliseringskant op gaat. In ons project ‘Sensing potential in the food supply chain’ kijken we hoe we met sensoren de voedselinname kunnen schatten. Bijvoorbeeld met een kleurendiepte- en nabij-infraroodcamera die met behulp van kunstmatige intelligentie de portiegrootte probeert te schatten en zo de hoeveelheden ingrediënten en koolhydraten, eiwitten en vetten kan voorspellen.

“Voor klinisch voedingsonderzoek wat onder de WMO (wet medisch-wetenschappelijk onderzoek met mensen) valt, houden we ons aan de richtlijnen van de Centrale Commissie Mensgebonden Onderzoek. Dan moet er een onderzoeksvoorstel worden ingediend dat beoordeeld wordt op het ethische karakter. Hierbij nemen we ook de AVG-wetgeving in acht door bijvoorbeeld te zorgen dat de proefpersoon op de juiste manier wordt geïnformeerd over het verzamelen en verwerken van zowel persoonsgegevens als onderzoeksgegevens, en daar toestemming voor geeft.

“Als onderzoeker let ik erop dat we de gegevens die we van deelnemers verzamelen uitsluitend verwerken met systemen en applicaties die in de ApprovedApps Tool van WUR staan. De privacygevoelige data die we gebruiken zijn, naast naam, telefoonnummer en adres, bijvoorbeeld ook het IBAN-nummer; dat hebben we nodig voor de uitbetaling. Sommige proefpersonen zijn alert op mogelijke privacy-issues, anderen zetten bij wijze van spreken hun hele hebben en houden op de mail. In dat geval zeg ik dat ze bijvoorbeeld het vergoedingsformulier mee naar ons kunnen nemen, dan voeren wij het in het systeem in. Vervolgens gaat het papieren exemplaar rechtstreeks in een blauwe container voor proefpersoneninfo en wordt het vernietigd.

“Ik merk dat sinds 2018, toen de AVG-wetgeving werd ingevoerd, er meer aandacht voor privacy is. We zijn allemaal veel bewuster. Dat geldt ook voor wat je per mail communiceert; geen persoonsgegevens maar een deelnemernummer. Verder houden we rekening met de bewaartermijn. Proefpersonengegevens dien je niet langer te bewaren dan noodzakelijk. Dit is afhankelijk van de geldende bewaartermijn voor het type informatie.

“Naast persoonsgegevens hanteren we ook voor onderzoeksgegevens bewaartermijnen. Voor klinisch voedingsonderzoek ligt die op vijftien jaar, voor consumentenonderzoek volgen we de WUR-richtlijn van tien jaar. Wat de laatste jaren fors verbeterde is dat we dit ook beter doortrekken naar digitale mapjes die we op de beveiligde digitale WUR-schijf bewaren.”

“We hebben een protocol met wie toegang moet hebben tot deze gegevens. Die personen hebben ook een verklaring ondertekend dat ze geen vertrouwelijke gegevens zullen lekken. Niet iedereen heeft dezelfde rechten en toegang; de meeste medewerkers gebruiken gegevenstabellen waarin de namen van visserijbedrijven en schepen zijn geanonimiseerd met een code. In de analyses worden vangstgegevens ook samengevoegd om te voorkomen dat deze herleidbaar zijn tot specifieke bedrijven.

“Als beheerder kan ik overigens ook niet overal bij. De belangrijkste databases worden op het hoogste niveau beheerd door FB-IT, het facilitaire bedrijf van de IT-diensten binnen Wageningen University and Research. Wij nemen door hen gehoste databases af, met als voordeel dat zij zorg dragen voor de beveiliging van de database én die voorzien van technische updates. We nemen ook managed servers af waarop andere applicaties zijn geïnstalleerd; die dienen ook te worden beheerd. FB-IT verzorgt grotendeels de beveiliging hiervan, met standaard updates en het beheer van de firewall en de gebruikersaccounts. Wij zijn verantwoordelijk voor het beheer van de applicaties die we zelf installeren op deze servers. Daarvoor geldt dat je een risico creëert als deze niet op tijd de noodzakelijke updates krijgen. Dat risico probeer ik zoveel mogelijk te vermijden door waar mogelijk software te gebruiken die technisch door FB-IT wordt onderhouden.

“Het kán altijd misgaan met privacygevoelige info. Wij hebben tot twee keer toe een potentieel datalek gesignaleerd. Daar is toen snel op gereageerd, volgens de procedure. Wat je in zo'n geval níet moet doen, is verstijven of met de handen in het haar gaan zitten. Op intranet staat een hele pagina met handleidingen over wat de te nemen stappen zijn. Het is net als het verkeer: je kunt nog zo goed uitkijken in de auto of op de fiets, maar ongelukken gebeuren nu eenmaal. Je moet zo goed mogelijk je best doen om die te voorkomen, maar gaat het een keer mis, dan is het zaak de ontstane situatie zo snel mogelijk te tackelen.”

“Bijkomstigheid is dat het westnijlvirus bij paarden meldingsplichtig is. Dat laatste maakt het privacyvraagstuk extra complex, want een melding bij de Nederlandse Voedsel- en Warenautoriteit kán per definitie niet anoniem. Het maakt de verzamelde data extra gevoelig, want je wil koste wat kost voorkomen dat dat op straat komt te liggen. Daarbij komt dat een aantal mensen angstig reageert op de meldingsplicht. Zij associëren de NVWA met zaken zoals ruimingen. In dit geval is dat overigens zeer onterecht, want paarden kunnen het virus niet doorgeven. Mocht ik in de toekomst een van mijn samples positief testen, moet het laboratorium dit melden. De dierenarts is hier dan niet echt bij betrokken, maar natuurlijk wordt deze, én de eigenaar, wel ingelicht.

“Een andere reden om de data goed te beschermen is natuurlijk dat als mijn resultaten gekaapt zijn, ik niet meer kan publiceren. Het is dus ook voor mij van persoonlijk belang om zo zorgvuldig mogelijk te zijn. Inloggen via VPN en tweefactorauthenticatie is uiteraard standaard. Bij dat laatste komt tijdens het labonderzoek in Lelystad nog het een en ander kijken. In de High Containment Unit mag je niets van buiten naar binnen brengen. Na afloop moet je douchen, dus je telefoon kan niet mee. Wil je op het lab inloggen op je account, dan kan dat alleen met een speciale beveiligingssleutel om je te identificeren.

“Ik stelde ook een datamanagementplan op. Daarin beschrijf je hoe je voor jouw data gaat zorgen. Ik houd me keurig aan die regels. Mocht er ooit een datalek zijn, dan zou privacy officer Rita Hoving de eerste zijn die ik zou bellen, en ik zou op intranet kijken welke stappen ik moet nemen.”

“Elk schip heeft de naam van de thuishaven plus een nummer. De Urk 1 of de Scheveningen 65. Een belangrijke keuze is wie van de medewerkers toegang krijgt tot de werkelijke naam van het schip. Anderen zien het alleen in geanonimiseerde vorm: dan heet die Urk 1 bijvoorbeeld schip 47. Je kunt dan nog wel zien dat die op haring of blauwe wijting vist, maar niet achterhalen om welk schip het gaat.

“De datasets staan en blijven op de goed beveiligde servers van WUR. Onze harddrives op de pc's en laptops zijn met BitLocker versleuteld, dus onbevoegden kunnen daar niet snel bij. Maar dat scenario wil je al niet meemaken. Daarom is het beleid dat we álles op de netwerkschijven houden. Slechts een selecte groep heeft toegang tot de bestanden die daarop staan. Iedereen moet daarvoor een schriftelijke verklaring afleggen. Ik ben zelf elk jaar de eerste die dat doet.

“Niet iedereen heeft toegang tot alles, veel medewerkers kunnen alleen bij de data in geaggregeerde vorm of krijgen zelfs daarvan maar een deeltje te zien. En stel dat we op basis van de data kaarten of dataproducten maken, dan kijk ik samen met een collega of de anonimiteit voldoende geborgd is in wat we openbaar maken. Is dat niet het geval, dan wordt er niet gepubliceerd.

“Als wij niet zorgvuldig met de aangeleverde gegevens omgaan, kunnen de consequenties enorm zijn, bijvoorbeeld het verlies van vertrouwen – iets wat vooral bij vissers nauw luistert. Daarnaast zou de overheid kunnen besluiten om geen databronnen meer aan ons te leveren. Of niet meer in het huidige formaat, met de ruwe data die ons in staat stelt om innovatief onderzoek te doen. Er zijn dus wel degelijk implicaties voor onderzoekslijnen, maar ook voor de kennis die we ontwikkelen over de visserij.”