FAQ om databeskyttelsesforordningen

Danske Fysioterapeuter har udarbejdet denne FAQ for at besvare de mest oplagte spørgsmål vedrørende forordningen.
Databeskyttelsesforordningen vil fra den 25. maj 2018 præcisere og stramme reglerne for beskyttelse af persondata. Danske Fysioterapeuter har udarbejdet en vejledning med tilhørende forslag til standarddokumenter, der kan bruges for at få styr på virksomhedens håndtering af persondata.
Databeskyttelsesforordningen gælder for alle, der behandler persondata. På fysioterapiklinikker vil det typisk være data om medarbejdere og patienter, der er omfattet.

Den dataansvarlige vil typisk være en klinik, der både ejer IT-systemerne og patientkartoteket. Denne klinik skal have udarbejdet sikkerhedsprocedurer, sikret hardware og have de nødvendige aftaler og dokumentation for overholdelse af reglerne. De 5 områder, der skal være styr på, er beskrevet på fysio.dk.

Hvis man som lejer har retten til at tage patientkartoteket med, selv ejer eget journalsystem eller har patienter uvedkommende for klinikken, er man dataansvarlig og skal opfylde de samme regler, som er beskrevet for klinikejere.

Er man arbejdsgiver for fx sundhedspersonale eller en sekretær, skal man som minimum udarbejde 1) dokumentationsblanket for persondata og 2) privatlivspolitik, der oplyser medarbejderne om datahåndteringen.

Danske Fysioterapeuter stiller en række standarddokumenter til rådighed for medlemmerne. Dokumenterne vil omfatte følgende:
  • Standard til fortegnelse over data: dokumentation for persondata
  • Standard til samtykke: samtykkeerklæring
  • Standard til datapolitik: udkast til persondatapolitik, hvor klinikken oplyser patienter om datahåndteringen
  • Vejledning til dokumenterne
  • Forslag til tillægsaftale mellem dataejer (ejer af patientkartoteket) og evt. lejere der forventes at bruge IT-systemerne
Det afhænger af, hvorvidt man er dataansvarlig og for hvilke data, man er ansvarlig:

Klinikejere uden ansatte:
Klinikejere vil typisk også være ejere af IT-system og/eller patientkartotek. Man skal gennemgå de 5 områder, vi har opridset på vejledningssiden.

Hvis der er lejere, der benytter IT-systemet skal der ligeledes udarbejdes tillægsaftale, der præciserer ansvaret for data og hvordan IT-systemerne kan bruges sikkert.

Klinikejere med ansatte medarbejdere:
Skal, ud over de 5 områder for patientdata, også udarbejde 1) dokumentation for medarbejderdata 2) privatlivspolitik for medarbejderne.

Så snart datatilsynets vejledning på området bliver offentliggjort vil det fremgå på fysio.dk

Lejere uden eget patientkartotek/IT-system:
Skal indgå aftale om dataansvar og og aftale om, hvordan klinikkens eller fx Falck Healthcares IT systemer anvendes sikkert.

Vi anbefaler, at man gennemgår de relevante områder i Danske Fysioterapeuters vejledning. Klinikken vil formentlig have behov for bistand fra en IT-konsulent vedrørende den konkrete sikring af IT systemerne og adgangen hertil.

Lejere med retten til at tage patientkartoteket med, der selv ejer eget journalsystem eller har patienter uvedkommende for klinikken, er dataansvarlige og skal opfylde samme regler, som er beskrevet for klinikejere.

Efter den 25. maj 2018 vil Datatilsynet kunne pålægge bøder for overtrædelse af forordningen. Der er fastsat to bødeniveauer, der adskiller sig væsentligt fra det, der gælder i den nuværende persondatalov.

Det laveste bødeniveau fastsættes til det højeste af enten 2 % af virksomhedens omsætning eller 10 millioner euro. Dette bødeniveau anvendes i følgende situationer:

  • Virksomheden har ikke underrettet Datatilsynet om et databrud
  • Virksomheden har ikke udarbejdet en konsekvensanalyse (impact assessment)
  • Virksomheden har ikke overholdt oplysningspligten over for den registrerede 

Bøder på det højeste bødeniveau fastsættes til det højeste af enten 4 % af virksomhedens omsætning eller 20 millioner euro. Dette bødeniveau anvendes i følgende situationer:

  • Virksomheden foretager databehandling uden hjemmelsgrundlag
  • Virksomheden underlader at slette, give indsigt i eller rette data
  • Virksomheden foretager ulovlig overførsel af data til tredjelande udenfor EU

Hvorfor er bødetaksterne så høje?

Bødestørrelsen er vedtaget af EU. Begrundelsen for bødernes størrelse er politisk og har til formål at sikre overholdelse af forordningens bestemmelser.  

Reglerne om journalføring er uændrede. Du skal ikke have samtykke til at føre journal – det er din pligt som autoriseret. Du skal dog være opmærksom på, om dit journalføringssystem lever op til kravene i Databeskyttelsesforordningen, og du skal fortsat have noteret samtykke til behandlingen og evt. samtykke til videregivelse af oplysninger i journalen, når det konkret er relevant.
Systemleverandørerne på sundhedsområdet skal alle leve op til reglerne også. De kan ligeledes pålægges store bøder, hvis de ikke lever op til reglerne og beskytter dine data.

Det kræver formentlig faglig viden om IT-sikkerhed, når klinikken skal have vurderet, om den konkrete IT sikkerhed er i orden på klinikken. Danske Fysioterapeuter kan ikke rådgive om dette. 

Når en dataansvarlig benytter sig af en databehandler skal parterne indgå en databehandleraftale.

Datatilsynet har udarbejdet en skabelon til standardaftale, der lever op til reglerne.
Danske Fysioterapeuter kan ikke yde individuel rådgivning til medlemmerne om databehandleraftaler.

Fysioterapeuten har ret og pligt til at behandle og føre journal i henhold til sundhedsloven. Patienten skal ikke give samtykke til, at du fører journal.

Der skal indhentes skriftligt samtykke, hvis man vil bruge mail, telefon eller andre personlige oplysninger til markedsføring. Opfølgende information til færdigbehandlede er markedsføring.

Patientens samtykke til selve behandlingen og til evt. videregivelse af helbredsoplysninger skal fortsat indhentes og kan dokumenteres via et journalnotat.

Den dataansvarlige er forpligtet til at oplyse de registrerede personer om, hvilke oplysninger der indhentes om dem i forbindelse med databehandlingen. Det er derfor vigtigt, at du informerer patienterne om virksomhedens persondatapolitik første gang, de kommer på klinikken.

Patienter skal til enhver tid kunne få indsigt i, hvilke data du har indsamlet om vedkommende. 

Den dataansvarlige er forpligtet til at slette alle personoplysninger, når der ikke længere er hjemmel til at opbevare dem.

Det vil blandt andet sige:

Journalnotater og nødvendigt afregningsmateriale skal som hovedregel slettes efter 5 år. Der skal være en konkret grund til at gemme det længere.

Markedsføringsdata (mail, tlf., billeder, og lign) må kun gemmes, så længe det er relevant, og skal slettes, hvis patienten trækker sit samtykke tilbage.

Følsomme personoplysninger, der skal krypteres er iht. databeskyttelsesforordningens artikel 9 samt databeskyttelsesloven følgende:

  • Race og etnisk oprindelse
  • Politisk overbevisning
  • Religiøs eller filosofisk overbevisning
  • Fagforeningsmæssige tilhørsforhold
  • Genetiske data
  • Biometriske data med henblik på entydig identifikation
  • Helbredsoplysninger
  • Seksuelle forhold eller seksuel orientering
  • CPR-nummer
Del eller udskriv artiklen