Klar til Datatilsynet?

Datatilsynet fører tilsyn med reglerne i persondataforordningen, og du har som dataansvarlig en anmeldelsespligt ved sikkerhedsbrud. Læs mere nedenfor om, hvad du skal gøre ved sikkerhedsbrud og tilsyn fra Datatilsynet.


1. Hvornår har du selv en anmeldelsespligt over for Datatilsynet?

Det er ikke alle sikkerhedsbrud, der nødvendiggør underretning af Datatilsynet og patienterne, men i situationer, hvor underretningspligten gælder, skal den opfyldes inden for meget stramme tidsfrister (uden unødigt ophold og inden for 72 timer til Datatilsynet).

Underretningspligten gælder udelukkende for data, hvor lægen er dataansvarlig.

Hvis systemhuset er involveret i sikkerhedsbruddet, skal du straks tage kontakt til systemhuset, da de har et ansvar for at hjælpe dig.

PLO anbefaler, at du i tilfælde af eventuel sikkerhedsbrugd rådfører dig med PLO.

Dette er reguleret i databehandleraftalen. 
Læs mere om databehandleraftalen


2. Hvad skal anmeldelsen indeholde?

Måtte uheldet være ude, skal anmeldelsen til Datatilsynet indeholde følgende:

  • En beskrivelse af karakteren af bruddet, herunder om muligt, kategorierne og antal berørte registrerede samt kategorierne og antal berørte registreringer af personoplysninger.
  • En beskrivelse af de sandsynlige konsekvenser af bruddet.
  • En beskrivelse af de foranstaltninger der er truffet for at håndtere bruddet.
  • Kontaktoplysninger på den klinikkens kontaktperson.

2. Hvornår skal du underrette patienterne?

Der skal også ske underretning af de registrerede (patienterne) i nogle tilfælde.

Denne underretningspligt gælder, hvis bruddet sandsynligvis vil indebære en høj risiko for den registreredes rettigheder, fx hvis det kan føre til identitetstyveri.

Datatilsynet vil rådgive om, hvorvidt der skal ske underretning af registrerede som følge af sikkerhedsbrud.


3. Hvornår kan du undlade at anmelde? 

Klinikken kan undlade at anmelde til Datatilsynet, hvis det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for den registrerede.

Det kan fx være tilfældet, hvis bruddet er stoppet og personoplysningerne ikke er identificérbare for udenforstående ved at der er sket kryptering.


4. Hvad skal du gøre den dag, Datatilsynet melder sin ankomst?

Overordnet kan man sige, at du, for at leve op til den kommende persondataforordnings bestemmelser, skal:

  • dokumentere, hvilke patientdata du opbevarer i din klinik, hvad de anvendes til, og hvem de deles med
  • fremvise dokumentation til Datatilsynet gennem en artikel 30-fortegnelse, hvis de kommer på inspektionsbesøg og kunne redegøre for de lovkrav, der er årsagen til, at du behandler patientoplysninger, hvis Datatilsynet beder om det.
  • sikre, at der foreligger en databehandleraftale mellem dig og dit systemhus, og at dens indhold lever op til forordningens krav (aftale sendes fra systemhuset til underskrift)
  • sikre, at der er foretaget de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger til beskyttelse af patientdata i din klinik.
  • sikre overholdelse af reglerne om underretning af Datatilsynet og patienter ved sikkerhedsbrud, se nærmere ovenfor.

Vedr. behov for yderligere rådgivning:
PLO har ikke mulighed for at tilbyde yderligere rådgivning ud over det materiale, som hermed stilles til rådighed, og kan fx ikke se på den enkelte kliniks IT-sikkerhed.