Gå til indhold

Databeskyttelse - Persondata / GDPR

Som praktiserende speciallæge har du ansvaret for behandling og beskyttelse af persondata i din klinik. Det er vigtigt, at du sætter dig grundigt ind i reglerne, så du kan sikre, at reglerne overholdes.

Det ligger ikke indenfor FAPS’ rådgivningsområde at rådgive om GDPR-reglerne og det anbefales derfor, at du søger rådgivning hos enten Datatilsynet  eller en advokat med kendskab til området. Datatilsynet har lavet en række vejledninger, der kan være en god hjælp i dagligdagen i forhold til arbejdet med GDPR.


Skabeloner - privatlivspolitik og artikel 30-fortegnelse

Det er et krav, at du har udarbejdet en privatlivspolitik og en artikel 30-fortegnelse. Du skal kunne fremvise det til Datatilsynet, hvis de kommer på tilsyn i din klinik.

FAPS har i samarbejde med advokatfirmaet Kromann Reumert udarbejdet skabeloner til Privatlivspolitik og artikel 30-fortegnelser, der kan tages udgangspunkt i.

Privatlivspolitik

Artikel 30-fortegnelsen 

Det er vigtigt at understrege, at der er tale om skabeloner, som du selv skal tilpasse og slette i, så de passer til de konkrete forhold i din klinik.
  
Vi anbefaler, at du opbevarer privatlivspolitikken og artikel 30-fortegnelsen sammen med dine databehandleraftaler og eventuelle retningslinjer og instrukser til fx klinikpersonale, så du ved Datatilsynets eventuelle tilsyn let kan finde og fremvise den samlede dokumentation.

Du skal være opmærksom på, at privatlivspolitikken udelukkende omhandler persondata på dine patienter. Der gælder samme krav, hvis du har medarbejdere i din klinik. Du kan læse mere om kravene til, hvordan du som arbejdsgiver skal håndtere, opbevare og behandle personoplysninger om dine ansatte på PLA’s hjemmeside.

Databehandleraftaler

Du har som dataansvarlig i din klinik pligt til at sikre, at der foreligger en databehandleraftale mellem dig og dit systemhus samt andre databehandlere.
Datatilsynet har lavet en standarddatabehandleraftale, som du kan finde her

Dine pligter i tilfælde af sikkerhedsbrud 

Datatilsynet har lavet en vejledning om håndtering af sikkerhedsbrud, som du kan finde her.

I tilfælde af et sikkerhedsbrud skal der tages stilling til om Datatilsynet og eventuelt den/de berørte patienter skal orienteres. Det er ikke alle sikkerhedsbrud, der er omfattet af orienteringspligten. Det er vigtigt, at du så snart du bliver bekendt med et sikkerhedsbrud, forholder dig til det, da der er en tidsfrist for orientering af Datatilsynet på 72 timer.

Kort om dine forpligtelser

For at overholde reglerne om persondata i GDPR skal du helt overordnet:

  • dokumentere hvilke patientdata du opbevarer i din klinik, hvad de anvendes til, og hvem de deles med

  • kunne fremvise dokumentationen til Datatilsynet, hvis de kommer på tilsyn

  •  kunne redegøre for de lovkrav, der er årsagen til, at du behandler patientoplysninger, hvis Datatilsynet beder om det

  • sikre, at der foreligger en databehandleraftale mellem dig og dit systemhus og andre databehandlere

  • sikre, at der er foretaget de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger til beskyttelse af patientdata i din klinik

  • sikre overholdelse af reglerne om underretning af Datatilsynet og patienter ved sikkerhedsbrud, se nærmere nedenfor

  • sikre overholdelse af pligten til at informere patienterne om anvendelsen af de persondata, de oplyser over for dig

  • sikre at din og dine ansattes behandling (herunder opbevaring, videregivelse, sletning mv.) af personoplysninger er i overensstemmelse med reglerne om behandling af personoplysninger.