Persondatabeskyttelse på klinikken

Den nye databeskyttelsesforordning betyder strammere krav til beskyttelse af persondata på klinikkerne. Her kan du hente en række dokumenter, der kan hjælpe din klinik godt på vej med arbejdet.

Den 25. maj 2018 trådte den nye databeskyttelsesforordning i kraft. Det betyder strammere krav til beskyttelse af persondata på klinikkerne. Her kan du hente en række dokumenter, der kan hjælpe din klinik godt på vej med arbejdet.

En klinik for fysioterapi opbevarer og håndterer i stort omfang personfølsomme oplysninger, og derfor er det vigtigt, at klinikejeren og virksomhedsejere i øvrigt får gennemgået, hvordan virksomheden håndterer personfølsomme oplysninger og retter procedurer mv. til, så reglerne overholdes.

Standarddokumenter til 5 vigtige områder

Danske Fysioterapeuter har udarbejdet en række standarddokumenter, der hjælper virksomheden til at få klarhed over, hvad der skal overholdes. Standarddokumenterne er eksempler på, hvordan man kan leve op til reglerne om indhentning af samtykke og informere patienterne om klinikkens opbevaring og håndtering af personfølsomme oplysninger. 

1. Dokumentation af patientoplysninger

Klinikken skal kunne dokumentere, hvilke patientoplysninger der håndteres, hvad de bruges til og hvem de videregives til. Som hjælp til dette kan klinikken udfylde en blanket, der er tilpasset en typisk fysioterapeutisk klinik.

For hvem: Klinikejere og andre selvstændige med eget patientkartotek eller IT-journalsystem hvor der indgår persondata.

Den praktiske anvendelse: Blanketten gennemgås og tilpasses til klinikkens faktiske forhold inden for reglerne. Blanketten skal opbevares administrativt og kunne udleveres til myndighederne, hvis de ønsker det, fx i forbindelse med et sikkerhedsbrud.

Find blanket og vejledning her:

Hent blanket til patientoplysninger (kræver log ind)

Hent vejledning til, hvordan du udfylder blanketten (kræver log ind) 

2. Persondatapolitik

Patienterne skal fra starten informeres om, hvilke oplysninger klinikken håndterer – og klinikken skal kunne dokumentere, at de har fået informationen. Derfor kan klinikken med fordel udarbejde en persondatapolitik, som udleveres ved opstart af behandlingen.

Danske Fysioterapeuter har derfor fået udarbejdet et udkast til persondatapolitik, som vil være anvendelig på en typisk klinik.

For hvem: Klinikejere og andre selvstændige med eget patientkartotek eller IT-journalsystem, hvor der indgår persondata.

Den praktiske anvendelse: Dokumentet gennemgås og tilpasses til klinikkens faktiske forhold. Klinikkens skal efterfølgende have en procedure, der sikrer, at alle patienter ved første registrering bliver oplyst om persondatapolitikken. Det kan være i form af udlevering, ophængning i venteværelse, som note i velkomstbrev, der henviser til hele teksten på hjemmesiden, og lignende.

Find udkast til persondatapolitik her:

Hent udkast til persondatapolitik (kræver log ind)

Hvis klinikken anvender patientoplysninger til andet end det rent behandlingsmæssige og afregningen af denne, vil klinikken have behov for et samtykke, det kan være til markedsføringsformål eller lignende. Til brug for dette kan klinikken anvende denne simple samtykkeerlæring:

Hent samtykkeerklæring (kræver log ind)

3. Databehandleraftaler

Der skal være en databehandleraftale med IT-leverandører og andre, der behandler/håndterer patientoplysninger på klinikkens vegne. Der er krav til, hvad IT-leverandører må skrive i deres databehandleraftale – derfor skal klinikken drøfte med IT leverandøren, hvordan leverandøren vil leve op til de standardkrav, der er.

For hvem: Klinikejere og andre selvstændige med eget IT-journalsystem, hvor der indgår persondata, og hvor data opbevares hos en 3. part.

Den praktiske anvendelse: Der skal foreligge en lovlig aftale mellem den dataansvarlige klinik og databehandleren. Databehandleren skal hvert år i en erklæring dokumentere, at de overholder reglerne.

Der er pr. 17 maj 2018  udarbejdet en standard for praksisområdet. IT-leverandørerne er blevet bedt om at sende den version til deres fysioterapeutiske kunder. Versionen lever op til de relevante krav i lovgivningen. Danske Fysioterapeuter yder ikke specifik rådgivning til indholdet af databehandleraftaler.

4. Beskyttelse af patientoplysninger

Klinikken skal sikre, at patientoplysninger rent praktisk er beskyttet, så uvedkommende ikke får adgang til dem. Det kræver, dels at klinikken aftaler med IT leverandøren, hvordan data beskyttes teknisk. Dels kræver det, at klinikken har retningslinjer for beskyttelse af data, dvs. retningslinjer for medarbejdere og lejeres håndtering af IT sikkerhedsspørgsmål.

Spørgsmål som password, firewalls, kryptering, brug af wifi, sikker mail osv., hører under denne kategori.

Klinikken kan med fordel udfylde evalueringen, der hedder PrivacyKompasset, som er udarbejdet af Datatilsynet og Erhvervsstyrelsen for at give små virksomheder en vejledning i, hvad man skal leve op til, og hvilke tiltag man skal sætte ind med.

Hent 10 gode grundregler for IT sikkerhed på klinikken (kræver log ind)

5. Håndtering af sikkerhedsbrud

Endelig er det virksomhedens pligt at underrette Datatilsynet og patienter hurtigst muligt, hvis der skulle være sket sikkerhedsbrud. Eksempelvis skal patienterne vide, hvis deres oplysninger er blevet kompromitteret.

I en sådan situation anbefaler vi, at man ligeledes kontakter en advokat for at sikre sig juridisk.

Hent juridisk vejledning, hvor de 5 områder er uddybet (kræver log ind)

Fastlæggelse af dataansvar mellem ejere og lejere

Hvis der ved en klinik er lejere, der anvender klinikkens IT-systemer, er det vigtigt, at klinikken og lejerne har aftalt, hvordan dataansvaret er fastlagt, og hvordan personfølsomme oplysninger beskyttes af alle, der anvender klinikkens IT-systemer.

Hvis parterne i øvrigt anvender standardkontrakten for leje af praksisret, vil det i henhold til advokatvurdering være i overensstemmelse med reglerne at aftale, at det er klinikken, der er eneansvarlig for data. Til brug for fastlæggelse af dette kan man anvende denne tillægsaftale, der underskrives af begge parter:

Hent tillægsaftale mellem ejere og lejere om dataansvar (kræver log ind)

Hvis man som lejer har retten til at tage patientkartoteket med, selv ejer eget journalsystem eller har patienter uvedkommende for klinikken, er man dataansvarlig og skal opfylde samme regler som er beskrevet for klinikejere.

Har du ansatte på klinikken?

I givet fald indsamler og opbevarer du også persondata på medarbejderne. Medarbejderne skal oplyses om, hvilke oplysninger du har indsamlet, og hvilke du videregiver til fx SKAT, osv.

Du kan derfor udarbejde både en dokumentationserklæring og en privatlivspolitik.

Del eller udskriv artiklen

Kontakt

Esben Riis

Chefkonsulent
3341 4619