Gå til indhold

Klinikkens ansvar

Klinikken er ansvarlig for personoplysninger (alle personoplysninger, dvs. almindelige og følsomme personoplysninger), som opbevares og deles. Klik dig rundt via linkene herunder, og få oplyst, hvad dit ansvar er som fx klinikejer eller medarbejder i samme klinik, så du er sikker på at overholde kravene i databeskyttelsesforordningen (GDPR).

Klinikken er dataansvarlig

Klinikken er som organisation og juridisk enhed dataansvarlig. Klinikken er juridisk dataansvarlig, da personalet herfra fastlægger til hvilke formål og hvordan der foretages behandling af patienternes helbredsoplysninger.

Den dataansvarlige skal sikre passende tekniske og organisatoriske sikkerhedsforanstaltninger for opbevaring af journaldata, og når data deles med andre aktører fx til patientbehandling eller administration.

En Klinik i form af en juridisk enhed er dataansvarlig efter databeskyttelsesreglerne (GDPR). Sideløbende har personalet i klinikken (fx den praktiserende læge eller anden sundhedsperson) et personligt ansvar for at efterleve reglerne om behandling af personoplysninger efter sundhedsloven og databeskyttelsesreglerne. Lægen er derfor ikke selv "dataansvarlig" i juridiske termer efter GDPR, selvom lægen foretager både patient- og databehandling og er ansvarlig for en sådan patientbehandling. 

Klinikken har således ansvaret efter GDPR mv. og indgår de relevante aftaler, har ansvaret for overholdelse af GDPR (fx udarbejdelse af konsekvensanalyse). Det gælder også selvom, det er klinikejeren, der skriver under på databehandleraftalen.

Data overlades via en databehandleraftale

Behandlingen af data kan være uddelegeret til en databehandler, der herefter behandler helbredsoplysningerne på klinikkens vegne. Dette sker fx i journalsystemet, hvor praksis overlader behandlingen af personoplysninger til et systemhus.

Klinikken skal have en skriftlig databehandleraftale med sit systemhus, og i instruksen, som er en del af aftalen, fastlægges det hvordan databehandleren passer på de data, som behandles på klinikkens vegne.

Data videregives til en anden dataansvarlig

Som dataansvarlig vil du ofte videregive dine patienters helbredsoplysninger til forskellige myndigheder til fx administrative formål eller forskning.

Når du videregiver data til en ny dataansvarlig, skal der ikke være en databehandleraftale med den pågældende modtager.

Ofte er videregivelsen af disse oplysninger hjemlet i sundhedsloven eller anden lovgivning, som betyder, at dataansvaret videregives til en anden myndighed.

Dette kan fx være til en klinisk kvalitetsdatabase administreret af regionerne eller medicin- og vaccinationsoplysninger til Sundhedsdatastyrelsen.

PLO har udarbejdet en såkaldt artikel 30-fortegnelse (ses i GDPR artikel 30), du kan bruge som udgangspunkt for dit dokumentationsarbejde. Det meste er præudfyldt, men enkelte felter skal du selv udfylde. 

Efter GDPR artikel 30 er der en udtrykkelig pligt til at udarbejde en oversigt (fortegnelse) over de behandlingsaktiviteter hvori personoplysninger indgår, dvs.  hvilke persondata der anvendes i klinikken, hvad formålet med dem er, hvem de deles med, og efter hvilken lovmæssig hjemmel, eller hvilken databehandleraftale oplysningerne overlades efter. Tilsvarende skal det fremgå, hvis der sker overførsel af personoplysninger til et tredieland (dvs. et land udenfor EU), det kan fx være tilfældet ved brug af cloud-tjenester.

Gå til artikel 30-fortegnelsen (bag medlemslogin på Min Side)


Fortegnelsen er stort set præudfyldt
Det meste er præudfyldt, men du skal stadig selv indføje bl.a navn på klinikken og systemhuset, ligesom du skal tilføje evt. andre databehandlere. 

Af fortegnelsen finder du fx:
•    Type af personoplysninger (fx følsomme personoplysninger om helbred og HR)
•    Modtager af personoplysninger fra klinikken
•    Formålet med delingen af de følsomme personoplysninger (fx patientbehandling, administration, kvalitetsudvikling eller forskning)
•    It-systemer, som anvendes til opbevaring eller deling af de følsomme personoplysninger 

Vær opmærksom på
I forbindelse med en evt. inspektion er det vigtigt, at fortegnelsen er lige ved hånden. Det anbefales, at du gennemgår fortegnelsen kontinuerligt for at få et overblik over data fra  praksis til eksterne aktører og sikrer dig, at listen er dækkende for databehandlingen i din klinik. 

Du skal være opmærksom på, at hovedparten af de følsomme personoplysninger, som vedrører patientbehandling, er dækket af din databehandleraftale med dit systemhus.

Dette er eksempelvis forsendelse af MedCom-beskeder (Sundhedsdatanettet og VANS-net), henvisninger (Henvisningshotellet), ydelsesoplysninger til regionerne (Sygesikrings-og afregningssystemet) mv.  

Har vi ikke fået alt med i fortegnelsen
Er du forskningsklinik og deler data til brug for forskning, eller bruger du andre it-leverandører end dit systemhus, så indsæt dem i oversigten, så du er klar til et eventuelt besøg fra Datatilsynet.

 

Læs mere om det særlige ansvar, du har som arbejdsgiver. Hvis du har personale som læger, lægesekretærer, sygeplejersker - eller andre faggrupper og medhjælpere ansat i din klinik, har du pligt til at tage omhyggeligt vare på dine medarbejderes data.