Wanneer je de recorder uitzet
Gegevensbescherming is essentieel in empirisch onderzoek omdat er persoonlijke informatie wordt verzameld van respondenten. Een belangrijke verantwoordelijkheid van onderzoekers is het waarborgen van de privacy.
Data managen
Met het oog op de veiligheid van de deelnemers hebben we toestemming gevraagd aan de Commissie Ethiek en Data van de Leiden Law School voordat we veldwerk gingen doen. In samenwerking met de data stewards, van de Law School ontwikkelden we een uitgebreid Data Management Plan (DMP), waarin de protocollen voor dataverzameling, -verwerking, -opslag en -archivering werden beschreven. We maakten ook een informatieblad en toestemmingsformulier om de onderzoeksdoelstellingen en de rechten van de respondenten duidelijk te communiceren. Daarnaast hebben we, met een Privacy Officer van de rechtenfaculteit, een Data Protection Impact Assessment (DPIA) uitgevoerd om potentiële privacy risico's te identificeren en te beperken. De Ethische Commissie van de Leidse rechtenfaculteit heeft ons plan in het begin van ons project goedgekeurd.
Data minimaliseren
Deze formaliteiten en procedures zijn in het leven geroepen om te zorgen dat persoonlijke gegevens worden beschermd. Deze persoonlijke gegevens kunnen worden opgeslagen als audio opname, transcript, observatie notities etc. Om te zorgen dat je iemands privacy waarborgt begint bij het is bepalen welke informatie nodig is in plaats van alles vast te leggen. Ons onderzoek richt zich op belangrijke levensgebeurtenissen zoals geboorte en overlijden, waarvoor gegevens zoals verblijfsstatus en religie uitmaken. Verblijfsstatus is relevant omdat migranten zonder formele verblijfsstatus er eerder voor zouden kunnen kiezen om levensgebeurtenissen niet te registreren. Religie was van belang omdat het Marokkaanse familierecht gebaseerd is op religie (Islamitisch en Joods recht). Dit hield dus ook in dat wanneer een respondent politieke uitingen deed die vallen buiten de kaders van dit project, stopte ik met opnemen of legde ik mijn pen neer.
Daarnaast noteerde ik nooit de echte naam van een respondent in notitieboeken of digitaal transcript of samenvatting. Ik vernietigde handgeschreven notities ook zo snel mogelijk en trok na een interview minstens vier uur uit om de gegevens te digitaliseren en op te slaan in een VeraCrypt container. Bij het verwerken van persoonlijke gegevens heb ik bepaalde details vager opgeschreven dan in het interview werd gedeeld, denk hierbij niet iemands specifieke leeftijd te benoemen maar een leeftijdsgroep (bijv. 25-30) of in plaats van het benoemen van de specifieke stad waar de respondent woont de regio vermeld.
Risicoanalyse
Interessant genoeg vonden sommige deelnemers mijn privacy voorzorgsmaatregelen overdreven. Gedurende twee jaar bouwde ik vertrouwen op met verschillende respondenten, van wie sommigen aanboden om fotokopieën van officiële documenten zoals paspoorten of geboorteakten te delen. Hoewel de geboorteakte van een kind cruciaal was voor het onderzoek, koos ik ervoor om dit maar één keer vast te leggen in plaats van achteloos alles te dupliceren iedere keer dat het werd aangeboden. Eenmaal thuis verwijderde ik de persoonlijke informatie van de foto en sloeg deze op in een VeraCrypt container. Uiteindelijk moeten onderzoekers weloverwogen risico analyses maken. Zelfs als deelnemers vrijwillig meer informatie aanbieden, blijft het de vraag of je het echt nodig hebt en iemand niet in gevaar brengt als de gegevens uitlekken.