Voor veel organisaties staat de maand maart in het teken van dataveiligheid en continuïteit. Op 31 maart is het namelijk Wereld Back-up Dag, een moment waarop wereldwijd aandacht wordt gevraagd voor het beschermen van data.

Een onderwerp dat daar ook bij hoort, is AVG-proof werken met cliëntgegevens in de diagnostiek. Organisaties werken steeds vaker met digitale systemen waarin persoonsgegevens worden verwerkt, zoals testresultaten en rapportages. Dat roept een belangrijke vraag op:

Hoe zorg je ervoor dat digitale diagnostiek niet alleen efficiënt, maar ook AVG-proof blijft?

AVG-proof werken in de diagnostiek: hoe gaat het in de dagelijkse praktijk?

Binnen de psychodiagnostiek wordt steeds vaker digitaal gewerkt. Software ondersteunt het afnemen van vragenlijsten, het scoren van tests en het genereren van rapportages. Dit maakt het diagnostisch proces efficiënter en helpt professionals bij hun dagelijkse werkzaamheden. Hierbij worden ook cliëntgegevens verwerkt, zoals testresultaten en achtergrondinformatie die worden gebruikt voor het opstellen van psychodiagnostische rapportages.

Wanneer een cliënt meerdere keren wordt gezien, wordt gebruikgemaakt van bestaande cliëntgegevens. Denk aan eerdere testresultaten of informatie uit een elektronisch patiëntendossier (EPD). Daarnaast worden gegevens van nieuwe cliënten ook opgeslagen in het EPD. Op die manier kan een professional voortbouwen op eerdere diagnostiek en ontstaat er een vollediger beeld van de cliënt.

Bij dit soort processen is er sprake van verwerking van persoonsgegevens. Dat betekent dat systemen waarin deze gegevens worden verwerkt zorgvuldig moeten zijn ingericht, goed in kaart gebracht en gedocumenteerd in een verwerkingsregister, en moeten voldoen aan de geldende privacyregels.

In de praktijk gebeurt het regelmatig dat men zich niet bewust is van kleinere, maar toch relevante verwerkingen van gegevens. Soms worden bijvoorbeeld tools gebruikt, zoals Excelbestanden of online applicaties, waarin gegevens achterblijven, terwijl deze systemen niet in beeld zijn bij de ICT-afdeling.

Hoewel de regels rondom privacy soms het gevoel kunnen geven dat ze processen vertragen, zijn er helaas veel voorbeelden waarbij juist het ontbreken van overzicht leidt tot een datalek. Dat heeft niet alleen vervelende gevolgen voor de betrokkenen, maar kan ook leiden tot reputatieschade voor een organisatie.

Hoe zorgt Metrisquare ervoor dat het voldoet aan de AVG?

Metrisquare is gecertificeerd volgens de normen ISO 27001 en NEN 7510. Hiervoor is een zogenoemd ISMS (Information Security Management System) ingericht. Binnen dit systeem wordt structureel aandacht besteed aan informatiebeveiliging, inclusief wet- en regelgeving zoals de AVG.

Met behulp van een verwerkersovereenkomst wordt vastgelegd welke gegevens worden verwerkt, met welk doel en hoe lang deze worden bewaard. Ook wordt hierin beschreven hoe gegevens verwijderd kunnen worden. Hiervoor maken we in de meeste gevallen gebruik van het model van de BoZ, dat als basis dient en waar nodig kan worden aangevuld met specifieke afspraken.

In de praktijk zien we dat organisaties soms zelf invulling proberen te geven aan dergelijke overeenkomsten, terwijl er al duidelijke en bruikbare standaarden beschikbaar zijn.

Meer dan alleen privacy: informatiebeveiliging in de breedte

Wat daarnaast belangrijk is om te realiseren, is dat informatiebeveiliging breder is dan alleen vertrouwelijkheid. Het gaat ook om integriteit en beschikbaarheid: zijn de gegevens correct en zijn ze beschikbaar wanneer dat nodig is?
Back-ups spelen hierin een belangrijke rol. Veel organisaties maken wel back-ups, maar testen niet of deze ook daadwerkelijk werken wanneer dat nodig is. Door regelmatig een zogeheten restore-test uit te voeren, kan worden gecontroleerd of gegevens daadwerkelijk succesvol kunnen worden hersteld.

Hoe wij software veilig ontwikkelen

Voordat onze software wordt gebruikt in de dagelijkse praktijk, wordt deze eerst uitgebreid ontwikkeld en getest. Dit doen we om ervoor te zorgen dat systemen betrouwbaar functioneren en dat er zorgvuldig wordt omgegaan met gegevens.

Hierbij werken we volgens het OTAP-principe: eerst ontwikkelen, daarna testen, vervolgens een acceptatiefase en pas daarna wordt de software in productie genomen. Bij het ontwikkelen van diagnostische software is dat extra belangrijk, omdat er gewerkt wordt met gevoelige cliëntgegevens.

Daarom wordt er al vanaf het begin van de ontwikkeling rekening gehouden met privacy en informatiebeveiliging. Zo wordt voorafgaand aan elke ontwikkeling een risico-inschatting gemaakt en wordt al in een vroeg stadium gekeken naar manieren om deze risico’s te verkleinen of te elimineren.

Zorgvuldig omgaan met data tijdens testen

Tijdens het testen van software wordt ook zorgvuldig gekeken naar welke data worden gebruikt. Het testen met persoonsgegevens wordt namelijk gezien als een verwerking van persoonsgegevens. Daarom maken we gebruik van alternatieven, zoals fictieve data, zodat systemen realistisch getest kunnen worden zonder dat echte cliëntgegevens nodig zijn.

Bij Metrisquare passen we deze principes toe bij het ontwikkelen van onze oplossingen voor psychodiagnostiek. Onze software ondersteunt psychologen bij het afnemen van vragenlijsten, het scoren van tests en het genereren van rapportages, zodat het diagnostisch proces efficiënter verloopt en professionals meer tijd kunnen besteden aan hun cliënten.

Tegelijkertijd besteden we veel aandacht aan de veilige verwerking van gegevens. Zo worden gegevens alleen gebruikt voor het doel waarvoor ze bedoeld zijn en blijft de organisatie die het systeem gebruikt eigenaar van haar data.

Digitale diagnostiek: efficiënt én AVG-proof

Digitale systemen spelen een steeds grotere rol binnen de psychodiagnostiek. Ze ondersteunen professionals bij het afnemen van tests, het verwerken van resultaten en het genereren van rapportages.

Juist daarom is het belangrijk dat deze systemen op een veilige en verantwoorde manier worden ontwikkeld en gebruikt. Door zorgvuldig om te gaan met gegevens, zowel in de praktijk als achter de schermen bij de ontwikkeling van software, kan digitale diagnostiek efficiënt én privacyvriendelijk worden toegepast.

Bronnen

• Your test professional (2024, 6 december). Test data management in de praktijk: praktische tips voor privacy en effectieve testdata. Your test professionals. https://www.yourtestprofessionals.nl/test-data-management-in-de-praktijk-praktische-tips-voor-privacy-en-effectieve-testdata/
• Aanstoot, F. & Library, ICT Services & Archive. (2023). RICHTLIJN: TESTEN MET PERSOONSGEGEVENS ONDER DE AVG. https://www.utwente.nl/nl/cyber-safety/cybersafety/wetgeving/richtlijn-testen-met-persoonsgegevens-onder-de-avg.pdf
• AP. (2024, 30 december). Verwerken van persoonsgegevens. https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/privacy-en-persoonsgegevens/verwerken-van-persoonsgegevens