Bijlage Risicoanalyse steekproeftrekking
Versie: 2.0 Datum: 15-09-2013 Code: BIJ 02.01 Eigenaar: KI
1. Risicoanalyse voor de steekproeftrekking De eerste stap in de uitvoering van de steekproeftrekking betreft het uitlezen van (geselecteerde) data, uit de basisbestanden van de opdrachtgever (de zorginstelling, de zorgverzekeraar of de beroepsbeoefenaar in de zorg) en het opstellen van het cliëntenbestand. De databestanden worden in de meeste gevallen ingelezen in een reken- of spreadsheetprogramma. Daarna volgt een serie van bewerkingen op en verwerkingen van de ingelezen bestanden om respectievelijk het populatiebestand, het achtergrondbestand en het steekproefbestand te genereren. In PRO 02 Steekproeftrekking zijn verschillende varianten voor de steekproeftrekking gedefinieerd, ieder met een specifieke takenverdeling tussen de opdrachtgever en de meetorganisatie. De volgende tabel brengt dit in beeld: O = wordt uitgevoerd door opdrachtgever, M = wordt uitgevoerd door meetorganisatie
BIJ 02.01 Risicoanalyse steekproeftrekking, versie 2.0, blz. 1 van 6
Stap 8 Aantekening ‘medisch dossier’
Stap 7 Opleveren steekproefbestand en achtergrondbestand
Stap 6 Opstellen steekproefbestand
Stap 5 Controle representativiteit
Stap 4 Uitvoeren steekproeftrekking
Stap 3 Vastleggen kenmerken bestanden
Stap 2 Opstellen populatiebestand
Stap 1 Opstellen cliëntenbestand Variant 1: steekproeftrekking door de opdrachtgever Variant 2: Steekproeftrekking door de meetorganisatie ten kantore van de opdrachtgever Variant 3: Steekproeftrekking door de meetorganisatie op basis van niet-direct herleidbare gegevens ten kantore van de meetorganisatie Variant 4: Steekproeftrekking door de meetorganisatie op basis van direct herleidbare gegevens ten kantore van de meetorganisatie
O
O
M
O
M
O
O
O
O
M
M
M
M
O/M
O/M
O
O
M
M
M
M
O
O
O
O
M
M
M
M
M
M
O
In deze richtlijn wordt aangegeven op welke wijze de meetorganisatie samen met de opdrachtgever tot een keuze dient te komen voor één van deze varianten met bijbehorende takenverdeling. De opdrachtgever is als ‘verantwoordelijke’ leidend in dit overleg.
BIJ 02.01 Risicoanalyse steekproeftrekking, versie 2.0, blz. 2 van 6
2. Kwaliteitsrisico’s en beveiligingsrisico’s Bij de verwerkingen die worden uitgevoerd tijdens de steekproeftrekking zijn kwaliteitsrisico’s aan de orde en afhankelijk van de taken die ondergebracht worden bij de opdrachtgever kunnen er beveiligingsrisico’s spelen.
Kwaliteitsrisico’s - verwerkingsrisico’s kunnen de kwaliteit van het uiteindelijke achtergrond- en steekproefbestand beïnvloeden. Bewerkingen kunnen foutief en niet volledig zijn, samenvoegingen kunnen onjuist of onvolledig zijn, selecties kunnen verkeerd zijn uitgevoerd enzovoort, en dat alles leidt tot bestanden die niet aan de kwaliteitseisen voldoen. Vaak is dit manco zonder uitgebreide tests niet zichtbaar. Dit betekent dat goede en voldoende kwaliteitsborgende maatregelen aanwezig moeten zijn om ervoor te zorgen dat de gegevens in het achtergrond- en steekproefbestand juist en nauwkeurig zijn. Eén van die maatregelen is dat de bewerkingen door een competente persoon moeten worden uitgevoerd. Een andere is dat dit gebeurt op een daartoe uitgeruste computer. - beïnvloedingsrisico’s: indien bepaalde bewerkingen aan de functionaris van de opdrachtgever worden overgelaten, dan kan het zijn dat bewust of onbewust het achtergrond- en steekproefbestand worden beïnvloed door potentiële respondenten te excluderen. Ook als bepaalde functionarissen bij de opdrachtgever inzicht krijgen wie er in de steekproef is opgenomen kan gedragsmatige beïnvloeding van de cliënt/patiënt optreden op een later moment. Iedere variant van de steekproeftrekking kent eigen beïnvloedingsrisico’s die sterk afhangen van de concrete situatie.
Beveiligingsrisico’s De verwerkingen en de bestanden dienen op het juiste niveau beveiligd te zijn tegen verlies en onrechtmatige verwerking. Ook toegang tot of het gebruik van de gegevens door onbevoegden, zowel binnen de organisatie zelf als door derden, dient voorkomen te worden. Dit vergt beveiligingsmaatregelen die voor de meetorganisatie verder zijn gespecificeerd in BIJ 00.04 Beveiliging van bestanden. Indien er verwerkingen over worden gelaten aan een functionaris van de opdrachtgever ontstaat er evenwel een beveiligingsrisico. Het kan bijvoorbeeld zijn dat de opslag van de bestanden niet goed is beveiligd conform de vereiste risicoklasse of dat de toegang niet adequaat is geautoriseerd. Maar het kan bijvoorbeeld ook zijn dat de ruimte waarin de verwerkingen worden verricht niet voldoet aan adequate fysieke beveiliging.
3. Varianten van de steekproeftrekking Om te voldoen aan de vereisten van de Wbp staan de eerder genoemde varianten op volgorde van wenselijke toepassing. De volgorde is gebaseerd op de volgende, uit de Wbp afgeleide principes: - zo min mogelijk bewerkingen van persoonsgegevens; - zo min mogelijk verplaatsing van persoonsgegevens buiten de locatie van de opdrachtgever; - uitvoering van de steekproef met zo min mogelijk persoonsgegevens, door de steekproef uit het cliëntenbestand te trekken waar herleidbaarheid is geminimaliseerd, doordat de direct herleidbare persoonsgegevens (communicatiegegevens) zijn verwijderd. Het cliëntenbestand bevat alleen nog maar een identifyer, het uniek cliëntnummer, dat valt in de categorie indirect herleidbare persoonsgegevens. Variant 1 heeft de voorkeur omdat daarin zoveel mogelijk bewerkingen worden overgelaten aan de opdrachtgever. De meetorganisatie voert feitelijk alleen de representativiteitstoets uit. Deze variant kan alleen worden toegepast als de kwaliteitsrisico’s voor bewerking en beïnvloeding alsook de beveiligingsrisico’s minimaal zijn. De omvang of ernst van aanwezige kwaliteitsrisico’s en/of BIJ 02.01 Risicoanalyse steekproeftrekking, versie 2.0, blz. 3 van 6
beveiligingsrisico’s bepalen de keuze voor een variant met een hoger volgnummer. Hoe groter de risico’s, hoe hoger het volgnummer van de genoemde varianten. Het doel is om de steekproeftrekking zo in te richten dat zoveel mogelijk wordt voldaan aan de genoemde principes en tegelijkertijd de risico’s worden geminimaliseerd. Een hoger volgnummer betekent in de meeste gevallen ook een hoger beveiligingsniveau van de verwerkingen (waaronder transport) van de bestanden (zie ook BIJ 00.04 Beveiliging van bestanden).
4. Risicoanalyse Voor een weloverwogen keuze voor een variant van de steekproeftrekking dient de meetorganisatie in samenwerking met de opdrachtgever een analyse van de risico’s te maken. De volgende vragen dienen daarbij als leidraad: • welke bewerkingen moeten er plaatsvinden? Denk hierbij aan de standaardstappen van de steekproeftrekking, maar ook aan o vervuilde of niet goed bijgewerkte bestanden die extra bewerkingsstappen noodzakelijk maken o ongelijksoortige basisbestanden die moeten worden samengevoegd o de vraag of de opdrachtgever de gegevens in het juiste format kan leveren • kunnen alle benodigde basisbestanden geleverd worden door de betreffende functionaris of moeten er nog anderen in de organisatie worden benaderd voor aanvullende informatie? • zijn bij de opdrachtgever de juiste applicaties aanwezig (juiste versie) en heeft de functionaris voldoende expertise en ervaring om daarmee de verschillende bewerkingen uit te voeren? • hoe groot is het beïnvloedingsrisico? Denk hierbij aan o is er sprake van voldoende functiescheiding tussen deze functionaris en de betrokken managers of behandelaars die in contact staan met potentiële respondenten? o is er een mogelijkheid om geheimhouding af te spreken met deze functionaris? • welke beveiligingsrisico’s zijn er als bewerkingen door de opdrachtgever worden uitgevoerd? Denk aan o benodigde informatiebeveiliging m.b.t. de vereiste risicoklasse voor zover van toepassing • voldoet de ruimte waarin de bewerkingen plaatsvinden aan de fysieke beveiligingsvereisten? Aan de hand van deze vragen, aangevuld met overwegingen op basis van eigen professionaliteit van de CQI-onderzoeksleider, worden vervolgens de risico’s ingeschat. Indien nodig kan het CKZ worden geraadpleegd.
5. De keuze voor een variant voor de steekproeftrekking Op basis van de risico-inschatting wordt vervolgens een variant van de steekproeftrekking gekozen. Ook bij de keuze van een variant kan desgewenst het CKZ worden geraadpleegd. Voorbeelden: 1. Een CQI-meting die wordt uitgevoerd door een grote verzekeringsmaatschappij. Er is sprake is van grote bestanden die up-to-date zijn. Een professionele IT afdeling is aanwezig die voldoende expertise heeft om de meeste van de noodzakelijke bewerkingen te verrichten, eventueel onder begeleiding van de meetorganisatie of met behulp van een uitgewerkte instructie. De IT afdeling heeft de juiste middelen en ook de computers en fysieke ruimte zijn voldoende beveiligd tegen verlies en onrechtmatige verwerking. In dit geval zijn de BIJ 02.01 Risicoanalyse steekproeftrekking, versie 2.0, blz. 4 van 6
bewerkingsrisico’s minimaal, het beïnvloedingsrisico is aanwezig maar kan worden geborgd met een aanvullende afspraak in het onderzoeksvoorstel over geheimhoudingsplicht van de IT afdeling. Variant 1 is van toepassing. 2. Een kleinschalige CQI-meting voor een zorginstelling. Er is slechts weinig relevante ICT expertise aanwezig en de aanwezige Excel programmatuur betreft een oude versie. Bestanden zijn wel up-to-date en er hoeven maar weinig samenvoegingen te worden uitgevoerd. Het samenstellen van het cliëntenbestand is overzichtelijk en er zijn geen onverwachte verstoringen te voorzien. De functionaris die eventueel de bewerkingen gaat uitvoeren zit in een ander deel van het gebouw en heeft geen contacten met de behandelaars van de cliënten/patiënten. De ruimte van de functionaris is voldoende afgeschermd tegen onverwacht binnenlopen van derden. In deze situatie is het beïnvloedingsrisico minimaal, maar zijn de bewerkingsrisico’s zo groot dat de bewerkingen door de CQI-onderzoeksleider zelf moeten worden uitgevoerd. Variant 2, waarbij de meetorganisatie de bewerkingen uitvoert op locatie met behulp van een eigen laptop, moet worden gekozen. Het achtergrondbestand en het steekproefbestand die na afloop ontstaan worden conform risicoklasse 3 versleuteld en via de mail van de opdrachtgever weggestuurd naar het mailadres van de CQI-onderzoeksleider. De bestanden op de laptop en op het ICT netwerk van de zorginstelling worden hierna vernietigd. 3. Een CQI-meting in een VVT instelling. Er is niet voldoende ICT expertise en er is sprake van een groot beïnvloedingsrisico. Dat wil zeggen dat verwacht kan worden dat functionarissen bij de VVT instelling de potentiële respondenten al dan niet bewust kunnen beïnvloeden. Variant 2 waarbij de bewerkingen worden uitgevoerd op locatie door een medewerker van de meetorganisatie op de laptop van de meetorganisatie heeft de voorkeur. Als er desondanks op kantoor van de VVT instelling geen mogelijkheden zijn om de bewerkingen (en de steekproefresultaten) af te schermen voor de betrokkenen (wat weer een onacceptabel beïnvloedingsrisico genereert) dan dient variant 3 gevolgd te worden. 4. Een CQI-meting in een kleine praktijk van fysiotherapeuten. Er is geen adequate programmatuur aanwezig om bestanden te verwerken en de aanwezige ICT competentie bij de opdrachtgever is niet voldoende. In overleg met de opdrachtgever wordt bepaald dat het niet wenselijk is dat degene die het cliëntenbestand opstelt inzicht krijgt in het steekproefbestand. In dit uitzonderlijke geval is variant 4 de goede keuze. Het verrijkte cliëntenbestand wordt conform beveiligingsklasse 3 naar de meetorganisatie gestuurd die de stappen uitvoert. Na het samenstellen van het achtergrond en steekproefbestand vernietigt de meetorganisatie het verrijkte cliënten- en populatiebestand. Na het versturen van het steekproefbestand naar de coördinator dataverzameling wordt ook het verrijkte steekproefbestand vernietigd.
6. Verantwoording in het interne logboek De argumenten voor de keuze voor variant 2, 3 of 4 dienen te worden vastgelegd in het interne logboek en in de meetverantwoording, zodat de keuze kan worden verantwoord tegenover het CKZ indien deze daarom verzoekt. De argumentatie zal worden getoetst in de accreditatie-audits. Ook vanuit het wettelijke kader rond de Wbp is vastlegging noodzaak. Zie hiervoor o.a. de taakstelling van het College bescherming persoonsgegevens (Cbp) op www.cbpweb.nl.
BIJ 02.01 Risicoanalyse steekproeftrekking, versie 2.0, blz. 5 van 6
7. Bijbehorende documenten •
PRO 02 Steekproeftrekking
• BIJ 00.04 Beveiliging van bestanden
BIJ 02.01 Risicoanalyse steekproeftrekking, versie 2.0, blz. 6 van 6
