‘Wij weten alles!’ Zo begon mr. Squintani – universitair docent aan de Rijksuniversiteit Groningen – het eerste hoorcollege Europees recht aan het begin van het huidige collegeblok.

Een nieuwe vorm van onderwijs wordt dit jaar bij dit vak geïntroduceerd. Van de studenten die deelnemen wordt verwacht dat ze voorafgaand aan de hoorcolleges de literatuur bestuderen en zogenaamde Cali-modules maken. Cali is een programma dat docenten de mogelijkheid biedt leermodules te gebruiken in een elektronische leeromgeving. Deze modules zijn online beschikbaar.
Aan de hand van de resultaten van de Cali-modules worden hoorcolleges samengesteld. In de hoorcolleges worden de goed begrepen onderdelen uit de Cali-modules achterwege gelaten hetgeen een bijdrage kan zijn aan een efficiëntere manier van onderwijs en het cognitieve denkniveau van de student.

Omdat het bij deze nieuwe methode nog onduidelijk is of het uiteindelijke doel wordt bereikt, loopt er een wetenschappelijk onderzoek waar de studenten die dit vak volgen, ongevraagd aan mee doen. Door middel van presentielijsten, resultaten van de Cali-modules en tentamenuitslagen wordt er gekeken of daadwerkelijk het gewenste cognitief denkniveau wordt bereikt.
De persoonsgebonden gegevens worden bijgehouden aan de hand van studentnummers.

Toen mr. Squintani zijn ‘wij weten alles’ uitsprak bekroop mij een gevoel van dreiging. Hoewel de kern van het onderzoek heel boeiend is en ik benieuwd ben naar de resultaten, vraag ik mij af hoe anoniem het gebruik van studentnummers is. Mogen mijn gegevens zomaar voor een onderzoek worden gebruikt waar ik, of mijn medestudenten, geen toestemming voor hebben gegeven?

Ten eerste is het van belang om te weten of studentnummers persoonsgegevens zijn. Dit bekijk ik aan de hand van de Regeling omtrent de bescherming van persoonsgegevens van studenten en personeel (hierna: de Regeling), die de Rijksuniversiteit Groningen zelf heeft opgesteld. Deze regeling is afgeleid van de Wet Bescherming Persoonsgegevens (hierna: WBP).

 

 

Op grond van artikel 1 lid 1 sub a van de Regeling is een persoonsgegeven elk gegeven betreffende een geïdentificeerde of identificeerbare betrokkene. Bij mij kwam de vraag op: moet een persoonsgegeven dan door ieder willekeurig persoon te identificeren zijn of is er alleen vereist dat slecht een enkele persoon dit gegeven kan identificeren?

Mijn antwoord vond ik bij het College Bescherming Persoonsgegevens (hierna: CBP) dat onlangs een uitspraak over iets soortgelijks heeft gedaan. Het CBP stelde dat een kenteken als een persoonsgegeven kan worden aangemerkt. Dit kan omdat het te herleiden is tot een persoon door degene die toegang heeft tot het register van de Rijksdienst voor het Wegverkeer, zoals bijvoorbeeld de politie.
Als ik dit redeneer naar analogie kom ik tot de conclusie dat een studentnummer kan worden aangemerkt als een persoonsgegeven. Een studentnummer is immers te herleiden tot een persoon door degene die toegang heeft tot het register waar deze gegevens zijn opgeslagen binnen de RUG.

Nu ik de vraag of een studentnummer als persoonsgegeven kan worden aangemerkt positief heb beantwoord kan ik stellen dat de WBP en de Regeling hier van toepassing zijn. Hiermee kan ik meteen de volgende en tevens laatste vraag beantwoorden: mogen deze gegevens zonder meer worden gebruikt voor wetenschappelijk onderzoek?
Artikel 6 lid 3 van de Regeling alsmede artikel 23 lid 2 van de WBP stellen dat persoonsgegevens voor wetenschappelijk onderzoek mogen worden verwerkt mits de verwerking geschiedt ten behoeve van de specifieke doeleinden.

 

 

Is er dan helemaal geen toestemming van de studenten vereist? Nee. Uit de Europese privacyrichtlijn (hierna: de richtlijn), waarop de WBP gebaseerd is, blijkt dat wetenschappelijk en statistisch onderzoek voor de samenleving van grote betekenis is en dat met dit onderzoek een zwaarwegend algemeen belang wordt gediend. In beginsel dient daarom de verwerking van dergelijke gegevens, ook wanneer het bijzondere gegeven in zin van deze bepaling betreft, voor dat doel te worden toegestaan. Artikel 8 lid 4 van de richtlijn vormt hiervoor de basis.

Uiteindelijk kan ik dus concluderen dat studentnummers in de zin van de Regeling en de WBP persoonsgegevens zijn. Tenminste, als je redeneert naar analogie gezien de recente uitspraak over kentekens. Verder mogen de gegevens gewoon worden gebruikt voor wetenschappelijk onderzoek. Ook zonder dat er toestemming voor gegeven is. Er is dus wettelijk geen privacyschending.

Ondanks dat er geen sprake is van privacyschending, gingen de woorden: ‘wij weten alles’, naar mijn mening te ver.
In het geval van mijn studie en resultaten kunnen mijn herleidbare persoonsgegevens meer informatie geven dan ik wil. Door dit onderzoek is straks niet alleen mijn resultaat, maar ook de manier waarop ik dit resultaat heb bereikt bekend. En wellicht zelfs de manier waarop ik informatie tot me neem. Mocht dit bij bepaalde instanties of bedrijven terecht komen dan zou dit eventueel zelfs gevolgen kunnen hebben voor mijn toekomst.

Natuurlijk vind ik het logisch dat persoonsgegevens worden gebruikt voor wetenschappelijk en statistisch onderzoek, dit is nu eenmaal van belang in onze samenleving. Er moet echter wel op gelet worden dat deze gegevens niet voor een ander doel worden gebruikt dan waarvoor ze zijn bestemd. Ook is het naar mijn mening belangrijk dat het verwerken van deze gegevens niet te zeer ingrijpt in de persoonlijke levenssfeer van de participanten. Het op de verkeerde manier verwerken van persoonsgegevens kan op het gebied van privacy in de huidige maatschappij namelijk grote gevolgen hebben. Gelukkig hoeven wij niet bang te zijn. De uitspraak van mr. Squintani kwam dreigender over dan hij daadwerkelijk was. De personen die dit onderzoek verrichten mogen de gegevens namelijk niet voor een ander doel gebruiken dan dit onderzoek.

Hoe denk jij over het gebruik van jouw persoonsgegevens bij wetenschappelijk onderzoek?

Namens de redactiecommissie,

Marloes Teunissen