Uitgeverij van Psychologische Tests

Testmij Online helpt je met de AVG (GDPR) privacy richtlijnen

Privacy is belangrijk, zeker als het om medische gegevens gaat. De Algemene Verordening Gegevensbescherming (de AVG of in het Engels GDPR) draagt bij aan de bewustwording en stelt eenvoudige regels voor het naleven van privacy regels. Maar het leidt ook tot extra administratieve lasten. Lees hieronder hoe Datec bij gebruik van Datec Testmij Online helpt om aan je verplichtingen te voldoen.

Ben jij voorbereid op de AVG GDPR privacy richtlijnen?

De rechten van betrokkenen

De cliënt (patiënt) wordt door de AVG "betrokkene" genoemd. De cliënt heeft een aantal rechten:

Dataportabiliteit

De cliënt heeft het recht om zonder extra kosten zijn data over te dragen naar een andere leverancier (psycholoog). Je moet alle gegevens beschikbaar stellen die de cliënt heeft verstrekt. Je hoeft geen afgeleide gegevens te verstrekken, zoals vragenlijst scores, normen en conclusies.

In Testmij Online kan je een Excel spreadsheet downloaden met deze gegevens. Mocht een cliënt je vragen om dataportabiliteit dan kun je  eenvoudig aan voldoen aan deze AVG eis voor wat betreft de bij Testmij Online verwerkte gegevens.

Vergetelheid

De cliënt heeft als gevolg van de AVG het recht om zijn gegevens te laten verwijderen. Daar zitten wel beperkingen aan, want als je de gegevens nog nodig hebt voor het doel waar ze zijn verzameld dan hoeft het niet. Datec laat de beoordeling hiervan aan jou, de verwerkingsverantwoordelijke. Je kan de cliënt gegevens bij Datec eenvoudig wissen.

Zodra de cliënt de vragenlijst heeft ingevuld, worden de login gegevens gewist. En als jij een jaar niet meer bent ingelogd, dan verwijderen we je login. Na een maand wordt dan alles gewist, inclusief de cliënt persoonsgegevens. Er blijft alleen anonieme data over voor statistische analyse. Van ROM vragenlijsten met een privacy verklaring worden ook de vragenlijst antwoorden en de statistische gegevens gewist.

Inzage en rectificatie

De cliënt heeft het recht in te zien welke gegevens je van hem hebt en deze eventueel aan te passen. Je kan dit waarschijnlijk het beste met je EPD gegevens doen, maar bij Datec kan je ook het spreadsheet downloaden en verstrekken zoals genoemd bij het kopje dataportabiliteit.

Informatie

De AVG stelt dat de verantwoordelijke een informatieplicht heeft. Je moet nieuwe cliënten duidelijk informeren wat je met hun gegevens doet. Dit doe je waarschijnlijk al bij het opstellen van de behandelovereenkomst. Het is belangrijk daar ook in op te nemen wat wij met de gegevens doen:

  • Afnemen van vragenlijsten en opstellen van een persoonlijk rapport met scores en conclusies
  • Sturen van emails voor uitnodiging en herinnering aan de cliënt (betrokkene)
  • Leveren ROM data aan de SBG (indien van toepassing)
  • Statistische analyse van anonieme vragenlijst resultaten

Er is een privacyverklaring voor de cliënt ter inzage bij het invullen van de vragenlijsten. Deze vermeldt duidelijk wie er verantwoordelijk is en de contact gegevens (naam van de behandelaar/testleider) en naam en email van de functionaris gegevens bescherming van Datec. Daarnaast vermeldt het wat we met de gegevens doen en waar we die bewaren (EU). Zie hier voor een voorbeeld.

Wat doet Datec met de persoonsgegevens?

  • Datec gebruikt de persoonsgegevens alleen voor het verwerken van de vragenlijsten, zoals sturen van de uitnodiging, herinneringen en opstellen van het rapport.
  • Op jouw verzoek kunnen we de ROM gegevens gepseudonimiseerd doorsturen naar de SBG (bij zelfstandigen via de SVR) en volledig naar je EPD leverancier.
  • Wij zullen nooit zelfstandig de gegevens gebruiken, anders dan voor ondersteuning van jouw werk.
  • Omdat bij email lekken van gegevens niet valt uit te sluiten, zullen we nooit cliënt gegevens opsturen per email, zonder deze eerst te versleutelen.
  • De gegevens zullen nooit aan derden geleverd worden zonder je uitdrukkelijke opdracht.
  • Voor verbetering van normgroepen kunnen we anonieme data gebruiken voor statistische analyse.
  • Alle gegevens worden binnen de EU bewaard, en zijn daarmee beschermd volgens de EU en Nederlandse toepasselijke regels.
  • De medewerkers van Datec hebben een geheimhoudingsverklaring ondertekend.
  • Toegang tot de gegevens is alleen beschikbaar voor medewerkers die dit nodig hebben en wordt gelogd.

Beveiliging en privacy van de gegevens voor de AVG

Om ons voor te bereiden op de AVG hebben we onze beveiliging doorgelicht en waar nodig verbeterd.

Datec heeft een Information Security Management System (ISMS) volgens de ISO 27001, NEN 7212 en NEN 7513 normen, met onder andere:

  • Het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
  • Het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
  • Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.

Beveiligingsmaatregelen

Datec heeft een Verklaring van Toepasselijkheid conform ISO 27001 opgesteld, en voor zover van toepassing verklaard, de daarin genoemde beveiligingsmaatregelen geïmplementeerd, dan wel in een plan voor risicobehandeling opgenomen, waarin onder andere geregeld is:

  • Het beveligingsbeleid, ontwikkelingsbeleid en organisatie van beveiliging
  • Beheer bedrijfsmiddelen
  • Classificatie van gegevens
  • Behandeling opslagmedia
  • Toegangscontrole
  • Cryptografie
  • Beveiligde informatieuitwisseliing
  • Beheer van incidenten

Beveiligingsbeleid Datec

Datec werkt volgens het "Privacy by Design & Privacy by Default" principe.

Privacy by design houdt in dat we bij iedere verandering nadenken over de impact op de privacy, en zorgen dat het ontwerp van de software daar rekening mee houdt. Maar bijvoorbeeld ook dat we niet meer gegevens verzamelen dan noodzakelijk voor het doel van de verwerking. En dat we de gegevens niet langer bewaren dan nodig.

Privacy by default houdt in dat we technische en organisatorische maatregelen nemen om ervoor te zorgen dat we, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat we wilt bereiken.

Principes

Dit laat zich vertalen in de volgende principes:

  • Respect voor de privacy van onze klanten en cliënten
  • We gebruiken de privacygevoelige data alleen waar het voor bestemd is, we verkopen het nooit. Statistische analyse doen we alleen van anonieme datasets.
  • Bescherming gedurende de hele levenscyclus van de data. We hebben een beleid voor de levenscyclus en ruimen data op die niet meer noodzakelijk is.
  • Integreren van gegevensbescherming in het design
  • Dataprotectie is standaard in alles wat we doen
  • Voorkomen is beter dan genezen.
  • Als een inbraak (poging) toch gebeurd, dan willen we ervoor zorgen dat we:
  1. a) het de (digitale) inbreker zo moeilijk mogelijk maken, door waar mogelijk meer dan een hindernis op te werpen, en

b) de impact zo laag mogelijk te maken, bijvoorbeeld door toepassing van encryptie, waardoor de eventueel gestolen data geen waarde heeft.

Verwerkingsovereenkomst bijgewerkt voor de AVG

Datec heeft geen abonnement en heeft daarom tot nu toe een verwerkingsovereenkomst niet verplicht gesteld. Als je dat voor je bedrijfsvoering nodig hebt hebben we een verwerkingsovereenkomst klaar liggen. Deze is volgens het model van de Brancheorganisaties Zorg, versie december 2017. We vragen hier een kleine jaarlijkse vergoeding voor, omdat we de kosten hiervoor moeten afdekken en we geen abonnement hebben om dat in onder te brengen. In de verwerkingsovereenkomst regelen we onze verantwoordelijkheden en plichten, en we vrijwaren je van boetes in geval van een datalek veroorzaakt door Datec. Je kan de verwerkingsovereenkomst hier bestellen.