Persondataforordningen

Den 25. maj 2018 træder den nye persondataforordning i kraft. Der er i den forbindelse en række ting, som du skal være opmærksom på som praktiserende speciallæge.  
Her på siden finder du en række vigtige informationer.

Kort om dine forpligtelser
Udkast til materiale
Privatlivspolitik
Databehandleraftaler
Hvis der sker brud på datasikkerheden i din klinik

Flere gode råd
Yderligere information 

Kort om dine forpligtelser
For at leve op til den kommende persondataforordnings bestemmelser, skal du helt overordnet:

•    dokumentere hvilke patientdata, du opbevarer i din klinik, hvad de anvendes til, og hvem de deles med
•    fremvise dokumentationen til Datatilsynet, hvis de kommer på inspektionsbesøg og kunne
redegøre for de lovkrav, der er årsagen til, at du behandler patientoplysninger, hvis Datatilsynet beder om det
•    sikre, at der foreligger en databehandleraftale mellem dig og dit systemhus og databehandleraftaler med eventuelle andre databehandlere. Aftalernes indhold skal leve op til forordningens krav 
•    sikre, at der er foretaget de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger til beskyttelse af patientdata i din klinik
•    sikre overholdelse af reglerne om underretning af Datatilsynet og patienter ved sikkerhedsbrud, se nærmere nedenfor
•    sikre overholdelse af pligten til at informere patienterne om anvendelsen af de persondata, de oplyser over for dig, 
•    sikre at din og dine ansattes behandling (herunder opbevaring, videregivelse, sletning mv.) af personoplysninger er i overensstemmelse med reglerne om behandling af personoplysninger.

Ansvaret for at leve op til persondataforordningens regler er dit som virksomhedsejer og dataansvarlig, og FAPS anbefaler derfor, at du sætter dig godt ind i reglerne.

Udkast til materiale, du kan bruge
FAPS har i samarbejde med advokatfirmaet Bruun & Hjejle udarbejdet materiale, som du kan tage udgangspunkt i: 

1.    Dokumentation for behandling af personoplysninger art. 30   (worddokument)
2.    Supplerende dokumentation:  Lovgrundlag for behandling og videregivelse af personoplysninger (worddokument)
3.    Privatlivspolitik (worddokument)

Det er vigtigt at understrege, at der er tale om udkast, som du selv skal udbygge, tilrette og slette i, så det passer med de konkrete forhold i din klinik.  
Vi anbefaler, at du – når du har tilrettet materialet til brug for din klinik – samler det i et ringbind og opbevarer det elektronisk sammen med sine databehandleraftaler, så du ved Datatilsynets eventuelle inspektionsbesøg let kan fremvise den samlede dokumentation.
Du skal være opmærksom på, at materialet udelukkende handler om dine patientdata, men samme krav gælder for øvrige oplysninger, f.eks. personoplysninger om medarbejderne i din praksis (HR-data). Du kan læse mere om kravene til, hvordan du som arbejdsgiver skal håndtere, opbevare og behandle personoplysninger om dine ansatte på PLA's hjemmeside

Privatlivspolitik
Privatlivspolitikken skal sikre, at du overholder din pligt til at informere patienterne om anvendelsen af de persondata, de oplyser over for dig. Vi anbefaler, at privatlivspolitkken:

•  Udleveres skriftligt til nye patienter, det vil sige enten på papir eller eventuelt som link i en e-mail eller sms
•  Ligger i papirformat et synligt sted i klinikken
•  Ligger på din hjemmeside, hvis du har en sådan, sammen med oplysning om, at nye patienter får den udleveret/tilsendt

Du kan finde et udkast til privatlivspolitik oven for under afsnittet "udkast til materiale".


Databehandleraftaler

Du har som dataansvarlig i din klinik pligt til at sikre, at der foreligger en databehandleraftale mellem dig og dit systemhus og databehandleraftaler med eventuelle andre databehandlere.
De mest benyttede systemhuse er i gang med at udarbejde en databehandleraftale. Hvis du ikke modtager en databehandleraftale fra dit systemhus i god tid inden den 25. maj 2018, skal du rykke for den.
Du kan se en tjekliste til databehandleraftaler her.  

Hvis der sker brud på datasikkerheden i din klinik
Det er ikke alle sikkerhedsbrud, der nødvendiggør underretning af Datatilsynet og patienterne, men i nogle situationer gælder en sådan underretningspligt. Der er i den forbindelse fastsat meget stramme tidsfrister (uden unødigt ophold og inden for 72 timer til Datatilsynet). 
Datatilsynet har udarbejdet en vejledning om håndtering af brud på persondatadatasikkerheden, som du kan finde her.
Vi anbefaler, i tilfælde af brud på sikkerheden i din klinik, at du altid kontakter en advokat og får rådgivning om, hvorvidt der er tale om en situation, hvor du skal underrette henholdsvis Datatilsynet og patienterne.

Flere gode råd
Du kan finde gode råd til informationssikkerheden i din klinik, herunder instruktion af dit personale, i ”Rapport om informationssikkerhed”. Rapportens sidste side har overskriften "Din arbejdsplads - dit ansvar". Du finder den her i en version , som du bør printe og drøfte med dit personale.
Du kan også læse mere på PLO's temaside, hvor du bl.a. kan tage testen "Hvor it-sikker er du?"  og finde svar på hyppigt stillede spørgsmål  (Q&A) om Pesondataforordningen.

Information 
For yderligere information om de nye regler, kan du orientere dig på Datatilsynets hjemmeside, hvor du blandt andet finder en række vejledninger omkring forståelse af databeskyttelsesforordningen.