Databeskyttelse
Der er en række ting, som du skal være opmærksom på som praktiserende speciallæge i forhold til beskyttelse af persondata i din klinik.
Her på siden finder du en række vigtige informationer, herunder:
Databehandleraftaler
Hvis der sker brud på datasikkerheden i din klinik
Rapport og plakat om datasikkerhed i Speciallægepraksis
Flere gode råd
Yderligere information
Kort om dine forpligtelser
For at leve op til den kommende persondataforordnings bestemmelser, skal du helt overordnet:
• Dokumentere hvilke patientdata, du opbevarer i din klinik, hvad de anvendes til, og hvem de deles med
• Fremvise dokumentationen til Datatilsynet, hvis de kommer på inspektionsbesøg og kunne
redegøre for de lovkrav, der er årsagen til, at du behandler patientoplysninger, hvis Datatilsynet beder om det
• Sikre, at der foreligger en databehandleraftale mellem dig og dit systemhus og databehandleraftaler med eventuelle andre databehandlere. Aftalernes indhold skal leve op til forordningens krav
• Sikre, at der er foretaget de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger til beskyttelse af patientdata i din klinik
• Sikre overholdelse af reglerne om underretning af Datatilsynet og patienter ved sikkerhedsbrud, se nærmere nedenfor
• Sikre overholdelse af pligten til at informere patienterne om anvendelsen af de persondata, de oplyser over for dig,
• Sikre at din og dine ansattes behandling (herunder opbevaring, videregivelse, sletning mv.) af personoplysninger er i overensstemmelse med reglerne om behandling af personoplysninger.
Ansvaret for at leve op til persondataforordningens regler er dit som virksomhedsejer og dataansvarlig, og FAPS anbefaler derfor, at du sætter dig godt ind i reglerne.
Udkast til materiale, du kan bruge
FAPS har i samarbejde med advokatfirmaet Bruun & Hjejle udarbejdet materiale, som du kan tage udgangspunkt i:
Dokumentation for behandling af personoplysninger art. 30
Supplerende dokumentation: Lovgrundlag for behandling og videregivelse af personoplysninger
Det er vigtigt at understrege, at der er tale om udkast, som du selv skal udbygge, tilrette og slette i, så det passer med de konkrete forhold i din klinik.
Vi anbefaler, at du – når du har tilrettet materialet til brug for din klinik – samler det i et ringbind og opbevarer det elektronisk sammen med sine databehandleraftaler, så du ved Datatilsynets eventuelle inspektionsbesøg let kan fremvise den samlede dokumentation.
Du skal være opmærksom på, at materialet udelukkende handler om dine patientdata, men samme krav gælder for øvrige oplysninger, f.eks. personoplysninger om medarbejderne i din praksis (HR-data). Du kan læse mere om kravene til, hvordan du som arbejdsgiver skal håndtere, opbevare og behandle personoplysninger om dine ansatte på PLA's hjemmeside
Privatlivspolitik
Privatlivspolitikken skal sikre, at du overholder din pligt til at informere patienterne om anvendelsen af de persondata, de oplyser over for dig. Vi anbefaler, at privatlivspolitikken:
• Udleveres skriftligt til nye patienter, det vil sige enten på papir eller eventuelt som link i en e-mail eller sms
• Ligger i papirformat et synligt sted i klinikken
• Ligger på din hjemmeside, hvis du har en sådan, sammen med oplysning om, at nye patienter får den udleveret/tilsendt
Du kan finde et udkast til privatlivspolitik oven for under afsnittet "udkast til materiale".
Databehandleraftaler
Du har som dataansvarlig i din klinik pligt til at sikre, at der foreligger en databehandleraftale mellem dig og dit systemhus og databehandleraftaler med eventuelle andre databehandlere.
De mest benyttede systemhuse har udarbejdet en databehandleraftale.
Du kan se en tjekliste til databehandleraftaler her.
Hvis der sker brud på datasikkerheden i din klinik
Det er ikke alle sikkerhedsbrud, der nødvendiggør underretning af Datatilsynet og patienterne, men i nogle situationer gælder en sådan underretningspligt. Der er i den forbindelse fastsat meget stramme tidsfrister (uden unødigt ophold og inden for 72 timer til Datatilsynet).
Datatilsynet har udarbejdet en vejledning om håndtering af brud på persondatadatasikkerheden, som du kan finde her.
Rapport og plakat om datasikkerhed i Speciallægepraksis
Sundhedsministeriet har betalt Deloitte for, i samråd med FAPS og Danske Regioner, at udarbejde en rapport over datasikkerheden i speciallægepraksis. Rapporten, der udkom i 2020, viser, at der er mange steder at forbedre, og at man glemmer, at ansvaret for datasikkerhed er klinikindehaverens og ikke systemleverandørens. Det er vigtigt, at du sikrer dig, at din systemleverandør også hjælper dig med at sikre dine data. Derudover blev der sammen med rapporten lavet en plakat med en masse konkrete anbefalinger til, hvordan man kan sikre sin praksis, hvordan man husker at tale IT-sikkerhed med sit personale, og hvordan man taler med sin systemleverandør. Det er en god idé at læse rapporten og derudover at printe plakaten (A3) og sætte den op et sted i praksis, hvor personalet jævnlig ser den.
Flere gode råd
Du kan finde gode råd til informationssikkerheden i din klinik, herunder instruktion af dit personale, i ”Rapport om informationssikkerhed”. Rapportens sidste side har overskriften "Din arbejdsplads - dit ansvar". Du finder den her i en version, som du bør printe og drøfte med dit personale.
Du kan også læse mere på PLO's temaside, hvor du bl.a. kan finde svar på hyppigt stillede spørgsmål om databeskyttelse.
Information
For yderligere information om de nye regler, kan du orientere dig på Datatilsynets hjemmeside, hvor du blandt andet finder en række vejledninger omkring forståelse af databeskyttelsesforordningen.
Som forhandlingsorganisation er dette ikke FAPS’ kerneområde, men vi har her på hjemmesiden samlet relevant viden, som vi har indhentet fra ekstern rådgiver. Egentlig, individuel rådgivning, kan FAPS desværre ikke påtage sig at yde.
Hvis du har yderligere spørgsmål kan du i første omgang kontakte Datatilsynet på 33 19 32 00, og ellers en privat advokat.