Persondataloven (GDPR)
I det øjeblik, du begynder at registrere oplysninger om andre mennesker i en professionel sammenhæng, fx når du som behandler fører journal, er du underlagt Persondataloven General Data Protection Regulation (GDPR).
Loven omfatter bl.a. oplysninger om personers private, økonomiske eller personlige forhold, herunder helbredsforhold.
Tidligere har det fx været et lovkrav, at vi som alternative behandlere skulle have tilladelse af Datatilsynet til at håndtere personlige og følsomme oplysninger. Det er det ikke længere. Det er nu vores eget ansvar, dvs. vi skal selv vurdere risici, og hvordan vi kan drive vores forretning på en lovlig og sikker måde.
Du opfylder persondataloven, hvis du følger disse tre trin:
- Udform din privatlivspolitik. Måske har din brancheforening en skabelon, du kan bruge.
- Udform en skriftlig samtykkeerklæring, og sørg for, at alle de patienter, du opbevarer data på, har givet samtykke.
- Sørg for at have en underskrevet databehandleraftale med alle dine leverandører og samarbejdspartnere (fx hjemmesideleverandører, online bookingsystemer mv., som ofte har databehandleraftale liggende på deres hjemmeside).
Herudover skal du have styr på din sikkerhed omkring opbevaring og udveksling af data.
Følg disse retningslinjer:
- Data i fysisk form låses inde.
- Data i elektronisk form beskyttes af adgangskode og opdateret firewall og antivirus.
- Begræns medarbejderadgang mest muligt.
- Sørg for, at skriftlig kommunikation via internettet foregår via krypteret e-mail eller lettere i et lukket forum.
- Sørg for, at en evt. back-up på internettet foregår inden for EU. Eksempelvis gemmer den gratis Dropbox-løsning dine data uden for EU, mens Dropbox Business gemmer inden for EU.
Herunder får du et uddrag fra Jesper Hollensbergs kompendium i Klinikdrift, hvor du kan finde meget mere information om persondataloven og skabeloner.
Personoplysninger
Personoplysningen opdeles i følsomme og ikke-følsomme, eller almindelige.
Almindelige oplysninger
Eksempelvis navn, adresse, telefonnummer, fødselsdato og e-mailadresse.
Følsomme oplysninger
Blandt andet race eller etnicitet, politisk, religiøs eller filosofisk overbevisning, fagforening, unikke genetiske og biometriske data (fingeraftryk, ansigts-scans, DNAtests m.m.), helbredsmæssige eller seksuelle forhold.
Følsomme oplysninger er altid fortrolige og skal beskyttes mest. Du må som udgangspunkt kun registrere følsomme oplysninger om en klient, hvis oplysningerne er relevante i forbindelse med behandlingsforløbet.
Samtykkeerklæring
Klienten skal også give sit udtrykkelige samtykke til, at du må registrere oplysningerne. Persondataloven stiller ikke noget krav om, at samtykket skal være skriftligt. Men det er dig, der skal kunne bevise, at samtykket er givet.
Du må ikke forlange, at man skal give samtykke til forskellige formål fx blande tilmelding til nyhedsbrev ind i samtykket til at føre journal over personlige oplysninger.
Samtykke skal kunne trækkes tilbage
Endelig skal samtykket kunne trækkes tilbage. Dine klienter skal til enhver tid kunne bede dig om både at stoppe med at registrere oplysninger omkring dem og at fjerne de oplysninger, du måtte have.
Læs Datatilsynets vejledning om samtykke https://www.datatilsynet.dk/media/6562/samtykke.pdf
Sikkerhed
Hvis du bruger e-mail til at sende fortrolige og følsomme oplysninger, skal du anvende krypteret e-mail
Du er ikke ansvarlig for, hvad dine klienter sender til dig på e-mail. Men du må ikke selv sende fortrolige oplysninger via mails, medmindre de er krypterede.
Læs mere om datatilsynets skærpede praksis ift. krypteret email.
Opbevaring af data
Datatilsynet giver heller ikke konkrete retningslinjer for, hvordan vi skal opbevare data. Du skal selv vurdere, hvordan du håndterer sikkerheden i din klinik. Der ligger nogle afgørelser fra tidligere, som vi kan læne os op ad.
Her kan du læse hele Databeskyttelsesloven https://www.retsinformation.dk/eli/lta/2018/502
Mange foreninger har udarbejdet skabeloner til privatlivspolitik og samtykkeerklæring.