Bij de verwerking van persoonsgegevens in onderzoekscontexten is het essentieel om vast te stellen wie verantwoordelijk is voor het aantonen van de toestemming van respondenten. Dit speelt met name wanneer persoonsgegevens niet anoniem worden verstrekt aan een opdrachtgever. Hieronder worden twee veelvoorkomende situaties besproken waarin deze verantwoordelijkheid ligt bij verschillende partijen.
Situatie 1: De opdrachtgever als verwerkingsverantwoordelijke
Optie A: Toestemming via de onderzoeksorganisatie
De opdrachtgever is in dit geval de verwerkingsverantwoordelijke van het bestand dat wordt gebruikt door de externe onderzoeksorganisatie. De onderzoeksorganisatie vraagt toestemming aan de respondent en informeert deze over:
- De soorten persoonsgegevens die worden verwerkt;
- De ontvanger (zoals de opdrachtgever) van identificerende gegevens;
- Het doel van de gegevensverwerking.
Deze toestemming wordt beschikbaar gesteld aan de opdrachtgever, zodat deze vragen van respondenten over de gegeven toestemming kan beantwoorden. Het advies is dat de onderzoeksorganisatie de toestemming per respondent tijdelijk vastlegt totdat de opdrachtgever volledig heeft voldaan aan zijn contractuele verplichtingen (bijvoorbeeld betaling).
Optie B: Toestemming via de opdrachtgever
Een alternatieve aanpak is dat de opdrachtgever zelf de toestemming vraagt aan de respondenten. Vervolgens wordt het bestand met respondenten die toestemming hebben gegeven ter beschikking gesteld aan de onderzoeksorganisatie. In dit geval hoeft de onderzoeksorganisatie zelf geen toestemming meer te vragen.
Wel wordt geadviseerd dat de onderzoeksorganisatie een beperkte onderzoeksplicht uitoefent. Dit houdt in dat de onderzoeksorganisatie actuele voorbeelden van de verkregen toestemming opvraagt bij de opdrachtgever. Hierbij wordt gecontroleerd of de respondent daadwerkelijk goed is geïnformeerd over de verwerking van persoonsgegevens en de ontvangers van deze gegevens. Dit voorkomt situaties waarin een respondent de onderzoeksorganisatie onterecht beschuldigt van het verwerken zonder toestemming. Een steekproefcontrole wordt daarom aanbevolen.
Situatie 2: De onderzoeksorganisatie als verwerkingsverantwoordelijke
Indien de onderzoeksorganisatie de respondenten selecteert uit een eigen panel, is deze organisatie de verwerkingsverantwoordelijke voor een statistisch onderzoek namens de opdrachtgever. In deze situatie is de onderzoeksorganisatie verantwoordelijk voor het verkrijgen en vastleggen van de toestemming van de respondent.
De onderzoeksorganisatie dient de respondent te informeren over:
- De soorten persoonsgegevens die worden verwerkt;
- De ontvanger (zoals de opdrachtgever) van identificerende gegevens;
- Het doel van de gegevensverwerking.
Aangezien de onderzoeksorganisatie in deze situatie de verwerkingsverantwoordelijke is, ligt de verantwoordelijkheid voor het aantonen van de toestemming volledig bij hen. Indien een opdrachtgever vragen ontvangt van respondenten over de verleende toestemming, dient deze hen door te verwijzen naar de onderzoeksorganisatie.
Conclusie
Het correct vastleggen en aantonen van toestemming is een cruciaal onderdeel van de verwerking van persoonsgegevens in onderzoekssituaties. Afhankelijk van de specifieke rolverdeling tussen opdrachtgever en onderzoeksorganisatie, verschilt de verantwoordelijkheid voor het verkrijgen en documenteren van de toestemming. Een heldere en gedocumenteerde aanpak voorkomt juridische en ethische complicaties.
17 maart 2025
Alexander J.J.T. Singewald
