Behandling af personoplysninger jf. GDPR
I virksomheden Køge Nord AKupunktur
1.Lovgivningens rammer- teorien
Fortalen til Jyske lov fra år 1241 som Kong Valdemar gav, og Danerne vedtog, lyder således: ’’ Med lov skal land bygges’’. Og denne sætning gælder stadig, da vi som borgere i Danmark, har pligt til at følge landets lovgivning. Derfor skal personlige oplysninger behandles og anvendes på en forsvarlig, lovlig og transparent måde.
1.1 Baggrund
Baggrunden for dette resumé af lovgivningens rammer for behandling af personoplysninger tager udgangspunkt i:
– EU’s Persondataforordning GDPR (General Data Protection Regulation)
– Tilsluttende dansk lovgivning
Formålet med lovgivningen er at sikre borgerne i hele EU inkl. Danmark en privatlivsbeskyttelse, som beskytter personoplysningerne om den enkelte person.
1.2 Krav til behandling af personoplysninger
Forudsætningen for indhentning og opbevaring af personoplysninger er at:
– de er nødvendige
– de er rigtige og ajourførte
– de er tilgængelige for den person de vedrører
– de kan slettes
– der foreligger en samtykkeerklæring, kontrakt eller juridisk forpligtigelse
Enhver håndtering af personlige oplysninger er behandling. Der er to typer af personoplysninger, som angivet i eksemplerne nedenfor:
Almindelige oplysninger
Navn
Adresse
Telefonnummer
Fødselsdato
E-mailadresse
Familieforhold
Sociale problemer
Stilling /erhverv
Følsomme oplysninger
Helbredsmæssige, eller seksuelle forhold
Fagforeningsoplysninger
CPR. nummer (DK)
Politisk/religiøs overbevisning
Genetiske eller biometriske data
For at en person ved, at behandleren opbevarer personlige data om den pågældende, skal der foreligge en samtykkeerklæring vedrørende den konkrete behandling. Dette kan jf. Dansk lovgivning være mundlig eller skriftlig.
Afgivelse af en samtykkeerklæring skal være frivillig (uden pres eller tvang), specifik (knyttet til en konkret anvendelse) og informeret (hvad samtykket gives til), og i særlige tilfælde utvetydig.
Formålet er at sikre, at de oplysninger, de dataansvarlige ønsker at få oplyst, kun er de nødvendig, at den dataansvarlige ved, der er forskel på anvendelsen af oplysningerne, og at den dataansvarlige ved, at ’’ejeren’’ til de konkrete personoplysninger alene er den person, som oplysningerne vedrører.
1.3 Ansvar
Der skelnes i Persondataforordningen imellem i hvert fald disse følgende hovedtyper af interessenter:
– den dataansvarlige
– databehandleren
– tredjemand
Alle udover den dataansvarlige samt databehandler er tredjemand.
Databehandleren er en fysisk eller juridisk person, der behandler personoplysninger på den dataansvarliges vegne. Der må udelukkende anvendes databehandlere, som kan stille garantier i form af ekspertise, pålidelighed og ressourcer.
Man kan outsource opgaven, men ikke ansvaret. Derfor skal der foreligge en skriftlig databehandleraftale imellem
den dataansvarlige og databehandleren, hvis dette ikke er én og samme person.
Formålet er at fastlægge ansvaret for håndteringen af personlige oplysninger, således at den dataansvarlige er den,
der indsamler og bruger de personlige data, og databehandleren der kan være den dataansvarlige selv, eller fx en
ekstern udbyder af bookingsystemer, systemer til journalføring eller udbydere af hjemmesider o. lign.
De officielle GDPR definitioner:
Dataansvarlig: ,,En fysisk eller juridisk person, en offentlig myndighed, en institution eller andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene eller hjælpemidlerne til en sådan behandling er fastsat i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret.’’
Databehandler: ,, En fysisk eller juridisk person, en offentlig myndighed, en institution eller andet organ, der behandler personoplysninger på den dataansvarliges vegne.’’
Kort fortalt:
1.3.1
Den dataansvarlige
– er den, der modtager de personlige oplysninger fra en kunde/klient, og som har den personlige kontakt.
1.3.2
Databehandleren
– er den der behandler/opbevarer/har adgang til de personlige oplysninger.
Det er altid den dataansvarlige, der har det juridiske ansvar overfor den person, hvis data man modtager.
1.4 Videregivelse af data
1.4.1 aftale om databehandling
Videregivelsen skal principielt
– Være i legitim (¨berettiget¨) interesse
– Være baseret på en skriftlig aftale om ansvarsfordeling mm.
– Udvise varsomhed i forbindelse med sociale medier
– Være godkendt i en samtykkeerklæring
1.4.2 lovreguleret videregivelse
For lovgivningsmæssige krav om videregivelse af personlige oplysninger, kan der foreligge andre krav.
1.4.3 Back- up og ICloud
Her skal udbyderen dokumentere en sikker adgang og opbevaring.
Formålet er at sikre, at personlige data ikke ¨slippes fri¨ eller ¨lækkes¨ overfor tredjemand.
1.5 Opbevaring af personlige oplysninger
Der stilles krav til opbevaring af personlige oplysninger, såvel vedrørende
– En fysisk opbevaring, som
– En elektronisk opbevaring
Formålet er, som nævnt under 1.1 at sikre en privatlivsbeskyttelse. Opbevaringen skal beskrives jf. Punkt 1.6
1.6 Dokumentationskrav
1.6.1
Den dataansvarlige er ansvarlig for og skal kunne påvise, at principperne for behandlingen af personoplysninger
overholdes. Der er bl.a. følgende krav til dokumentationen, der skal foreligge skriftligt
– Navn og kontaktinformation på den dataansvarlige
– Formål med anvendelsen af personloge oplysninger
– Beskrivelse af kategorier af personoplysninger
– Evt. En generel angivelse af tidsfrister for sletning
1.6.2
En beskrivelse af tekniske og organisatoriske sikkerhedsforanstaltninger (risikovurdering)
Formålet er at kunne bevise at virksomheden har forstået, og lever op til de retslige forpligtigelser, der er gældende i
forbindelse med behandlingen af personoplysninger, og at dette kan dokumenteres overfor myndighederne.
2. Sådan gør vi hos Køge Nord Akupunktur
2.1 Behandlingen af personoplysninger
Den registrerede har altid ret til indsigt i egne data.
2.1.1 Typer af personoplysninger
I virksomheden Køge Nord Akupunktur indhentes de nødvendige personlige oplysninger til at kunne identificere personen, og til at kunne stille en diagnose forud for iværksættelse af en behandling.
2.1.2 Samtykkeerklæring
Der indhentes altid en skriftlig samtykkeerklæring. Samtykkeerklæringen er en del af den personlige journal, hos nye klienter.
Behandlingen af ¨Almindelige personoplysninger¨ kræver informeret samtykke (mundtligt eller skriftligt indforstået), mens behandlingen af ¨Følsomme personoplysninger¨ kræver et udtrykkeligt samtykke (frivilligt, specifikt og informeret viljetilkendegivelse). Stiltiende eller indirekte samtykke er ikke gældende.
Personen har altid ret til at trække sit samtykke tilbage. I så fald slettes eller anonymiseres personens data.
2.2 Ansvaret for personoplysningerne
2.2.1 Dataansvarlig
Den Dataansvarlige er klinikkens indehaver
2.2.2 Databehandler
Hvis behandlingen af personoplysningerne gennem hele behandlingsperioden kun foretages af den dataansvarlige, er det indforstået, at denne også er databehandleren.
2.3 Videregivelse af personlige oplysninger
Personlige oplysninger videregives aldrig til 3. part uden klientens udtrykkelige skriftlige samtykke, medmindre særlovgivning siger noget andet.
Personen har ret til at få udleveret de oplysninger, som personen selv har bragt, eller at få dem videresendt til en
anden dataansvarlig i et almindeligt anvendt og maskinlæsbart format.
2.4 Opbevaring af personlige oplysninger
Alle personlige oplysninger, herunder personens journal opbevares i et aflåst arkivstålskab i klinikken. Nøglen opbevares i et aflåst værdiskab.
2.5 Dokumentation
2.5.1. Den dataansvarlige
Virksomheden er Køge Nord Akupunktur CVR.nr. 42817546
Den dataansvarlige er:
Jannie Tofte og Nick Azmaei
Stevnsbovej 25
4600 Køge
60692727
kontakt@koegenordakupunktur.dk
2.5.3. Formålet med behandlingen af personlige oplysninger
Formålet er – ud fra kundens egne helbredsoplysninger og andre konkrete personoplysninger- at kunne identificere, diagnosticere og behandle kunden med akupunktur, strøm, magnet, akupressur, zoneterapi mm., samt at kunne dokumentere den gennemførte behandling.
2.5.4 Beskrivelse af kategorier af anvendte personoplysninger
Følgende personlige oplysninger efterspørges:
Almindelige oplysninger
Navn
Stilling /arbejdssituation
Adresse
Telefonnummer
E-mailadresse
Følsomme oplysninger
Årsag til henvendelse
Medlemskab af Sygeforsikringen ’Danmark’
Cpr. Nummer
Medicin
Familiære forhold
2.5.5. Tidsfrister for sletning
Oplysninger, hvor sidste aktive behandlingsdato er mere end 5 år gammel, destrueres på en betryggende måde.
2.5.6 Tekniske og organisatoriske sikkerhedsforanstaltninger (risikovurdering)
Sikkerhedsforanstaltning Risikovurdering*
Adgangsforhold: Klinik Middel
Opbevaring: Journaler i aflåst arkivskab Lav
Svar på henvendelser pr. mail samt Facebook henvendelser Middel
Korrespondance på ’nettet’- der er password til pc’er Lav
Der er antivirus på Pc’er Lav
*Risikovurdering kan være lav, middel, høj
Ved brud på sikkerheden anmeldes det til Datatilsynet senest 72 timer efter bruddet.
Her oplyses det, hvad konsekvenserne af sikkerhedsbruddet er, samt oplyses, hvad der er gjort for at stoppe
sikkerhedsbruddet, og hvor det er muligt- underrettes de berørte personer.
Samtykkeerklæring
Undertegnede
Navn
Adresse
Postnr.
Telefon
E-mail
Giver hermed mit udtrykkelige samtykke til, at
Køge Nord Akupunktur
Stevnsbovej 25
4600 Køge
Danmark
Opbevarer nødvendige personlige oplysninger om mig, for at jeg kan modtage den behandling, som diagnosticeres til at være nødvendig i forbindelse med min henvendelse.
Jeg bekræfter samtidig, at jeg er blevet informeret om, at
– samtykkeerklæringen kun er gyldig, fordi jeg har afgivet den frivilligt.
– oplysningerne udelukkende anvendes i forbindelse med det min henvendelse vedrører.
– oplysningerne udelukkende anvendes i forbindelse med den behandling der iværksættes.
– jeg til enhver tid har ret til indsigt i de opbevarede oplysninger.
– mine personlige oplysninger slettes senest 5 år efter sidste behandlingsdato.
– jeg kan tilbagekalde samtykkeerklæringen, og at mine personlige oplysninger derefter slettes eller anonymiseres.
Køge den
Underskrift