GDPR voor psychotherapeuten – psychologen

Tenzij u de afgelopen maanden onder een rots bent geweest, zult u zich ervan bewust zijn dat er veranderingen plaatsvinden in de wereld van gegevensbescherming . Je inbox zit waarschijnlijk vol met e-mails van organisaties die verschillende pakkende zinnen gebruiken om je te laten “kiezen” voor het ontvangen van communicatie. Maar wat is GDPR en wat betekent dit allemaal voor u als therapeut? 

Wat is GDPR en is dit op psychologen van toepassing?

De Algemene Verordening Gegevensbescherming (AVG) treedt in werking op 25 mei en is van toepassing op personen en organisaties binnen de EU die persoonsgegevens verwerken (verzamelen en gebruiken). Persoonlijke gegevens zijn zeer ruim gedefinieerd, inclusief de naam van een persoon. Er zijn extra waarborgen voor gevoelige persoonlijke gegevens (bekend als speciale categoriegegevens), zoals informatie over iemands gezondheid, seksleven, seksuele geaardheid, politiek, religie enz. 

Kort gezegd, ervan uitgaande dat u klanten hebt (of ooit heeft gehad) en alles hebt vastgelegd waarmee ze kunnen worden geïdentificeerd, is de AVG van toepassing op de manier waarop u deze gegevens gebruikt en opslaat. 

gdpr voor psychologen

Door de onderstaande stappen te volgen, kunt u ervoor zorgen dat u aan de AVG voldoet en het risico op een gegevensinbreuk minimaliseren (zoals onbedoeld verlies of openbaarmaking van persoonlijke gegevens). Het is duidelijk dat dergelijke inbreuken potentieel verwoestend zijn voor klanten en het vertrouwen in uw therapeutische relatie kunnen ondermijnen. Alsof dat niet stimulerend genoeg is om uw huis op orde te krijgen, volgens de AVG, moeten bepaalde soorten datalekken binnen 72 uur worden gemeld en kunnen ze een hoge boete opleveren bij het Information Commissioner’s Office. 

Wat moet ik doen?

1. Audit: 

voordat u naar de shredder gaat, moet u een oefening uitvoeren om te zien welke gegevens u bewaart en waar u deze bewaart. Aantekeningen van therapiesessies zijn misschien het meest voor de hand liggende voorbeeld van klantgegevens, maar veel andere documenten die u dagelijks in uw praktijk aanmaakt, kunnen ook persoonlijke gegevens van uw klanten bevatten, zoals facturen, agenda-afspraken en supervisie-aantekeningen.    

2. Categoriseren: 

om persoonsgegevens te verzamelen en te gebruiken, moet u daarvoor een wettelijke basis hebben. De relevante wettelijke basis hangt af van het type gegevens. De wettelijke basis voor het vastleggen en opslaan van klantnotities en gerelateerde informatie is waarschijnlijk ‘ legitieme belangen’”. Dit is de meest flexibele wettelijke basis en is van toepassing wanneer u de gegevens van de klant gebruikt op een manier die ze redelijkerwijs zouden verwachten en er een minimale impact op de privacy is. Wanneer een cliënt zich bij u registreert en behandelingssessies bijwoont, verwacht hij van u dat hij zijn contactgegevens bijhoudt, zodat u contact met hem kunt opnemen om de behandeling te regelen en te bespreken. Ze zullen ook van je verwachten dat je een soort verslag van je sessies met hen bijhoudt om te helpen bij hun lopende therapie. Als u de door hen verstrekte gegevens wilt gebruiken voor een ander doel, waarop ze misschien niet anticiperen, heeft u waarschijnlijk een andere wettelijke basis nodig.

Aantekeningen van behandelingssessies met cliënten (in tegenstelling tot contactgegevens van cliënten of andere, minder gevoelige informatie) vallen waarschijnlijk onder de definitie van speciale categoriegegevens. Dit betekent dat u een aanvullende voorwaarde nodig hebt voor het gebruik en de opslag van deze gegevens, zoals wanneer verwerking noodzakelijk is voor het verstrekken van gezondheidszorg of noodzakelijk is om redenen van aanzienlijk openbaar belang (het verstrekken van vertrouwelijke counseling wanneer het onredelijk is om toestemming te vragen, kan vallen binnen deze voorwaarde). 

Als je eenmaal een duidelijk beeld hebt van de gegevens die je hebt, hoe oud deze is en waar deze is opgeslagen, is het tijd voor wat onderhoud.       

3. Verwijderen en beschermen: 

u dient ervoor te zorgen dat uw persoonlijke gegevens actueel zijn en dat u deze slechts zo lang als nodig bewaart. De tijdsduur dat u uw gegevens terecht kunt bewaren, is afhankelijk van de context. U zult bijvoorbeeld waarschijnlijk kunnen rechtvaardigen dat aantekeningen van therapiesessies bij cliënten langer worden bewaard dan namen en contactgegevens van potentiële cliënten die niet aanwezig zijn geweest voor therapie. 

U moet er ook voor zorgen dat de gegevens die u bewaart veilig worden bewaard om het risico van een datalek te minimaliseren. Beschikt u over maatregelen om te beschermen tegen onopzettelijk verlies, vernietiging of beschadiging en om ervoor te zorgen dat de gegevens alleen toegankelijk zijn voor degenen die ze moeten zien?

4. Concept –

als je blij bent dat je een wettige basis hebt voor het opslaan en gebruiken van alle persoonlijke gegevens die je hebt, dat deze veilig is opgeslagen en dat je alle onnodige of verouderde gegevens hebt vernietigd, wil je zeker dat je zo blijft. Zorg ervoor dat u over de juiste beleidslijnen en procedures beschikt en dat alle medewerkers deze lezen en begrijpen.   

Dit lijkt misschien allemaal een administratieve nachtmerrie. Als u dit echter als een gelegenheid aangrijpt om uw inbox eindelijk te ontstoppen en wat ruimte in uw schappen vrij te maken, kan het voldoen aan de AVG verrassend therapeutisch zijn (zien wat ik daar heb gedaan ?!). 

Deze gids is slechts een kort overzicht en is noodzakelijkerwijs generiek. Als u meer advies op maat of hulp bij het toepassen van GDPR-principes op uw praktijk wilt, helpt ons gespecialiseerde team u graag.