Siden EU vedtog persondataforordningen i 2018 har Datatilsynet udstedt bøder for mange mio.kr. og det er da også ret uoverskueligt at få styr på de mange og indviklede regler.

De fleste tandklinikker kan leve op til lovgivningen med følgende dokumenter samt naturligvis forsvarlig tilrettelæggelse og intern kontrol.

De 7 lovpligtige GDPR-dokumenter

Den danske lovgivning vedr. forsvarlig behandling af personfølsomme oplysninger tager udgangspunkt i EU’s persondataforordning og det er dentalkvalitet.dk’s konklusion, at en tandklinik skal udarbejde og vedligeholde følgende 6-7 dokumenter:

Intern fortegnelse

Den interne fortegnelse over databehandlingsaktiviteter er et krav jf. persondataforordningens art. 30 og den skal kunne stilles til rådighed for Datatilsynet ved et eventuelt kontrolbesøg. Fortegnelsen skal udarbejdes, selvom de fleste tandklinikker har under 250 ansatte, idet vi behandler helbredsoplysninger, som medfører “risiko for krænkelse af personens rettigheder”. Fortegnelsen skal give et systematisk overblik over, hvordan og hvorfor klinikken behandler personoplysninger om såvel patienter som medarbejdere. Fortegnelsen skal f.eks. indeholde beskrivelse af de samtykker, medarbejderne giver i forbindelse med opbevaring af deres CPR-nummer, tilladelse til personbilleder på hjemmesiden samt andre registreringer af personfølsomme oplysninger.

Datastrømsanalyse

Datastrømsanalysen afdækker hvilke data, der behandles som konsekvens af klinikkens arbejdsgange/processer, og hvordan data behandles. Datastrømsanalysen er ikke et egentligt lovpligtigt krav. Analysen er imidlertid nødvendig for at kunne lave konseskvensanalysen, som er lovpligtig. Datastrømsanalysen afdækker f.eks., hvordan man opretter patienter, hvilke data, der registreres ifm. ansættelse af medarbejdere, lønudbetaling osv. samt hvor data gemmes, hvem data videregives til og om der er tale om personfølsomme oplysninger eller ej.

Konsekvensanalyse

Tandklinikker skal gennemføre en konsekvensanalyse, idet klinikken systematisk registrerer biometriske, personfølsomme oplysninger, som jf. persondataforordningens art. 9 er “særlig kategori”. Konsekvensanalysen indeholder en risikovurdering og konsekvensanalyse af, hvorvidt de registrerede data krænker personers rettigheder eller frihedsrettigheder.

It-sikkerhedspolitik

It-sikkerhedspolitikken er klinikkens samlede retningslinjer for, hvordan man benytter it forsvarligt. It-sikkerhedspolitikken indeholder både oplysninger om sikkerhedsprocedurer og “alt det tekniske” – f.eks. firewall, password-rutiner, virus-forsvar, sletning af mapper, backup-rutiner osv.

Politikken skal også beskrive sikringen af de fysiske adgangsforhold som f.eks. alarm, adgangskoder, aflåste rum mv. samt regler og procedurer for behandling af oplysninger i papirform, f.eks. makulering.

It-beredskabsplan

It-beredskabsplanen skal beskrive, hvordan klinikken håndterer et evt. brud på datasikkerheden. Der skal udpeges ansvarlige samt en plan for, hvem der underrettes og hvordan. Disse oplysninger kan også indeholdes som en del af it-sikkerhedspolitikken.

Privatlivspolitik

Privatlivspolitikken er klinikkens udadrettede orientering om, hvordan man opbevarer og benytter data om patienter, medarbejdere og evt. øvrige parter, man registrerer oplysninger om. Privatlivspolitikken skal blandt andet indeholde oplysninger om rettigheder i forhold til de registrerede data (f.eks. sletning, oplysningspligt osv.). Man kan vælge at inkludere orienteringen til medarbejdere i dette dokument eller man kan alternativt udarbejde en persondatapolitik.

Persondatapolitik

Oplysningerne i dette dokument kan med fordel indarbejdes i privatlivspolitikken, men man kan også udarbejde dette dokument specifikt til medarbejderne. Dokumentet oplyser om rettigheder og hvilke data der behandles. Dette dokument synliggør, hvordan din virksomhed orienterer om grundlaget for at behandle disse data. Det dokumenterer også formålet med at behandle data, og hvem i virksomheden der er ansvarlig for videregivelse og sletning af data.

Databehandleraftaler

Klinikken skal huske at indgå databehandleraftaler med de personer eller virksomheder, som behandler eller har adgang til personfølsomme oplysninger, som klinikken er databehandleransvarlig for. Det er f.eks. IT-support, lønbureau, evt. ekstern bogholder og alle andre, som gives adgang til at se personfølsomme oplysninger. Overskriften linker til Tandlægeforeningens forslag til databehandleraftaler.

 

Du kan kontakte os på info@dentalkvalitet.dk, hvis du vil ha’ hjælp til at leve op til kravene.