Persondataforordningen

Datasikkerhed – persondataforordning GDPR (General Data Protection Regulation)

 EU´s persondataforordning afløste den 25. maj 2018 persondataloven, som har været gældende siden 1. juli 2000.

Den nye persondataforordning skærper kravene til håndtering af personoplysninger på nogle områder og især med fokus på elektronisk databehandling.

Du kan læse om persondataforordningen på datatilsynets hjemmeside https://www.datatilsynet.dk/generelt-om-databeskyttelse, hvor du også kan finde vejledninger og skabeloner.

Som selvstændig psykoterapeut har du pligt til at sætte dig ind i reglerne og overholde dem, da det er dig, der er dataansvarlig og databehandler.

Vi vil her beskrive væsentlige områder, du skal være opmærksom på. Dette skal ikke betragtes som en fuldstændig gennemgang, og det er som sagt dit eget ansvar at sætte dig i ind og overholde reglerne. Overtrædelse kan medføre bøder.

 

Dataansvarliges pligter.

Som dataansvarlig skal du derfor bl.a. sikre dig, at du:

  • Har lov til at behandle de oplysninger, som du og dine databehandlere er i besiddelse af (om du har en behandlingshjemmel).
  • Er i stand til at efterleve de registrerede personers rettigheder (f.eks. opfylde din oplysningspligt eller give den registrerede indsigt).
  • Får indberettet eventuelle brud på persondatasikkerheden til Datatilsynet inden for 72 timer. https://www.datatilsynet.dk/media/6560/dataansvarlige-og-databehandlere.pdf

 

Personoplysninger.

Der skelnes mellem forskellige typer af personoplysninger

Almindelige personoplysninger omfatter alle oplysninger, der ikke er følsomme personoplysninger. Det kan for eksempel være navn og adresse, telefonnummer, e-mail, eller oplysninger om gæld, væsentlige sociale problemer og andre rent private forhold.

Følsomme personoplysninger er udtrykkelig afgrænset til: Helbredsoplysninger, etnisk oprindelse, politisk overbevisning, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, genetiske data, biometriske data med henblik på entydig identifikation, seksuelle forhold eller seksuel orientering.

Fortrolige oplysninger er en særlig kategori af oplysninger, der ikke nævnes udtrykkeligt i databeskyttelsesreglerne, men hvor særlige beskyttelsesbehov kan have betydning ved anvendelsen af databeskyttelsesreglerne f. eks. interne familieforhold, selvmordsforsøg og ulykkestilfælde.

Cpr.nr. er ikke nævnt i forordningen, men betragtes normalt som en personfølsom oplysning. Der forventes at komme nationale retningslinjer for dette.

https://www.datatilsynet.dk/generelt-om-databeskyttelse/hvad-er-personoplysninger/

 

Dokumentation af håndtering af personoplysninger

Du skal føre interne fortegnelser over din behandling af personoplysninger. Fortegnelseskravet erstatter således den hidtil gældende anmeldelsesordning og omfatter både almindelige og følsomme personoplysninger.

Fortegnelsen skal indeholde

  • Dataansvarliges navn og kontaktoplysninger
  • Formål med indsamling af oplysninger– der må kun indsamles oplysninger som er relevante ift. behandling/terapien.
  • Kategorier af registrerede og oplysninger der registreres: Hvilke personoplysninger og personfølsomme
  • Håndtering – indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.
  • Tidsfrister , der gælder ved iagttagelsen af de registreredes rettigheder

 

Du finder blanketter til anmeldelse hos datatilsynet på https://www.datatilsynet.dk/generelt-om-databeskyttelse/blanketter/https://indberet.virk.dk/myndigheder/stat/DT/Privat_virksomhed

Hvis du registrerer personfølsomme oplysninger, skal du også have en nedskrevet databehandlerfortegnelse, hvor det fremgår hvilke andre databehandlere du interagere med, og hvordan datasikkerheden overholdes i forhold til dem f.eks. vedr. hosting, vedligeholdelse af hjemmeside og bogføringsfirma.

Databehandler fortegnelsen skal indeholde: Navn- og kontaktoplysninger, kategorier af behandlinger, overførsler til et tredjeland eller international organisation, tekniske og organisatoriske foranstaltninger.

https://www.datatilsynet.dk/media/6567/fortegnelse.pdf

 

Samtykke

Behandling af personoplysninger kan som udgangspunkt altid ske, hvis den registrerede har givet sit samtykke til dette.

Du skal sikre dig, at du har klientens samtykke til at indsamle og behandle oplysninger om vedkommende. Dette fremgår af den registreredes rettigheder (se dette).

Samtykke kan både afgives mundtligt, skriftligt og digitalt.

Almindelige personoplysninger såsom navn, telefonnummer, adresse og e-mail kan behandles uden samtykke, hvis det er nødvendigt af hensyn til bl.a. en kontrakt med den registrerede og den dataansvarliges retlige forpligtelser.

https://www.datatilsynet.dk/media/6562/samtykke.pdf

 

De registreredes rettigheder – Oplysningspligt og indsigelsesret

Formålet med reglerne er bl.a. at skabe åbenhed om, hvem der behandler oplysninger, give mulighed for at få indsigt i hvilke oplysninger, der behandles, og give mulighed for at kræve urigtige oplysninger slettet og/eller rettet.

Du skal på eget initiativ give den registrerede en række oplysninger, når du indsamler eller modtager oplysninger om vedkommende.

Ved den første kommunikation med den registrerede skal du gøre vedkommende udtrykkeligt opmærksom på retten til at gøre indsigelse mod en behandling af de indsamlede data.

Den registrerede skal have oplysninger om formålene med og retsgrundlaget for behandlingen af data.

Medmindre den registrerede specifikt beder om en mundtlig besvarelse, skal du kommunikere skriftligt eller med andre midler.

Kommunikationen skal være direkte til den registrerede, det er ikke tilstrækkeligt at henvise til ”privatlivspolitik”på en hjemmeside eller lign.

De registreredes rettigheder i databeskyttelsesforordningen er:

  • oplysningspligt
  • indsigtsret
  • ret til berigtigelse
  • ret til begrænsning af behandling
  • underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling
  • ret til dataportabilitet
  • ret til indsigelse
  • ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder

Hvis personoplysningerne skal videregives til andre, skal du oplyse den registrerede herom.

Tidsfrist: En anmodning om indsigt, berigtigelse, sletning osv. skal som hovedregel besvares uden unødig forsinkelse og senest en måned efter, du har modtaget anmodningen.

https://www.datatilsynet.dk/media/6565/registreredes-rettigheder.pdf

 

Håndtering af personoplysninger og personfølsomme oplysninger, herunder opbevaring og kommunikation via digitale medier.

Du er ansvarlig for at beskytte personoplysningerne mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse ved hjælp af passende tekniske og organisatoriske foranstaltninger.

Ansvaret kan ikke samtykkes væk af klienten. Du skal derfor sikre at al kommunikation med og behandling af data om klienten foregår sikkert.

https://www.datatilsynet.dk/generelt-om-databeskyttelse/hvordan-beskytter-du-personoply sninger/

 

I praksis vil det bl.a. sige

  • Hvis du skriver noter eller lister i papirform, må de ikke ligge eller stå så andre besøgende, klienter eller familiemedlemmer kan få adgang til En passende foranstaltning er opbevaring i aflåst skuffe eller skab.
  • Du kan benytte en pc, som kun du har adgang til – beskyttet med password og pauseskærm – til håndtering af følsomme
  • Gem ikke personoplysninger i Dropbox, Google docs eller i ”skyen,” da server- indehaveren vil kunne få adgang til dem.
  • Vær opmærksom på at smartphones og tablets ofte har apps, der kræver adgang til andre informationer på enheden, hvilket gør at eksterne aktører kan få adgang data til på Det derfor ikke er hensigtsmæssigt at bruge dem til opbevaring af personfølsomme oplysninger eller oplysninger der i kombination med andre oplysninger kan blive personfølsomme.
  • Navn og telefonnummer er ikke en personfølsom oplysning, men at en person går i terapi må betragtes som helbredsoplysning og er derfor personfølsom. Hvis det fremgår af din elektroniske kalender, at en navngiven person har terapiaftale, og det via telefonen kan kombineres med personens navn og telefonnummer, bliver det en personfølsom Bruger du en elektronisk kalender på en smartphone, tablet eller pc skal du sikre dig, hvis den ikke synkroniseres via en usikret server.
  • En måde at håndtere ovenstående er ikke at skrive klienters navn i elektronisk kalender, men at angive en kode eks. initialer eller klientnummer og have en separat liste, der opbevares et andet sted og gerne i papirform, over klienter og den valgte kode, der identificerer dem i kalenderen.
  • Ved mail og sms kommunikation med klienter skal beskeden krypteres ved anvendelse af en sikker mail og krypterings app til Du kan altså ikke svare direkte på en sms eller mail fra en klient, da du ikke ved om de kommunikerer via en sikker forbindelse. Du skal svare via din egen sikre mail eller sms-app.
  • Sociale medier som eks. Facebook er ikke sikre og kan ikke anvendes til kommunikation med klienter.
  • Videokonference via Skype og lignende er heller ikke sikre forbindelser og kan ikke anvendes i terapeutiske sammenhænge.

 

Klienter kan anvende netbank, Mobilpay og lign. til betaling, da det er bankens ansvar at overholde datasikkerhed ved disse transaktioner.