Tjekliste til Persondataforordningen (GDPR) for dig og din klinik

Når vi snakker personoplysninger, arbejder man med udtrykkene “Databehandler” og “Dataansvarlig”. Terapeut Booking er i den her konstellation databehandler, og vores brugere er dataansvarlige, da vi behandler jeres klientdata på jeres vegne og i jeres interesse. I har derfor også kontrol over, hvordan vi behandler jeres data, da vi kun behandler den efter instruks fra jer.

Hos Terapeut Booking opbevarer vi personoplysninger hos et dansk hosting-selskab i Danmark. Derudover kan vi garantere, at vi kun benytter databehandlere, som lever op til kravene i GDPR om sikker behandling af personoplysninger.

Det er vigtigt, at du som behandler og dermed dataansvarlig for dine klienters personoplysninger er klar og tydelig i din kommunikation, når du opbevarer eller på anden måde behandler dine klienters personoplysninger. Behandling af personoplysninger skal enten være nødvendig for at opfylde en kontrakt, baseret på et udtrykkeligt samtykke til det eller være nødvendig efter en interesseafvejning af dine interesser i behandlingen over for din patients interesser i, at oplysningerne ikke behandles – og uanset hvad, skal behandlingen ske med et sagligt formål, og din klient skal have oplyst:

• hvilke personoplysninger du registrerer,
• med hvilket formål personoplysningerne behandles,
• hvor lang tid personoplysningerne bliver opbevaret,
• at din klient har ret til at få sine oplysninger berigtiget, slettet eller udleveret, samt få begrænset behandlingen heraf,
• at klienten til enhver tid kan trække sit samtykke tilbage, og hvordan dette kan ske,
• hvor din klient kan henvende sig for at gøre brug af sin ret til at få berigtiget, slettet eller udleveret – eller begrænset behandlingen af – sine oplysninger,
• at klienten kan klage til Datatilsynet.

Hvis du f.eks. opretter klienter i Terapeut Booking, skal klienten give sit udtrykkelige samtykke til det og vil i den forbindelse modtage ovennævnte oplysninger. Har du Online Booking i Terapeut Booking, kan du opsætte, at der specifikt skal godkendes betingelser, inden en booking foretages, for at sikre samtykke, og dette bør du altid gøre.

Som databehandler skal vi som noget nyt udpege en Data Protection Officer (DPO). En DPO skal sikre at en virksomhed lever op til kravene i den nye persondataforordning. Læs i øvrigt mere om hvad en DPO er.

De klienter som du har registreret i Terapeut Booking har ret til, at kunne få overført deres data til et andet system, hvis de efterspørger det. I Terapeut Booking har vi mulighed for at eksportere klient-oplysninger via “Indstillinger” → “Import / Eksport”, hvis du skal have et format som kan overleveres til en anden dataansvarlig.

Dine klienter har ret til at blive “glemt”. Det betyder, at dine klienter kan kræve, at de bliver slettet fra dit klient-kartotek. I Terapeut Booking kan du både angive en klient som “Inaktiv”, eller slette klienten helt fra dit kartotek. For at “Right to be forgotten” skal opfyldes, er det vigtigt, at du sletter klienten helt fra dit kartotek. Dette kan automatiseres gennem vores app “Oprydning”.

Det er dog ikke altid, at en klient kan kræve at få slettet alle oplysninger, da du f.eks. kan have pligt til at gemme regnskabsoplysninger i 5 år. Det kan også være, hvis du har brug for at opbevare oplysninger som dokumentation for din håndtering af personoplysninger, eller en anden lovgivning tilsiger at gemme disse personoplysninger i en given periode. Vurderingen af, om du lovligt kan undlade at efterkomme en anmodning om sletning er i sidste ende din egen, men husk at orientere klienten om beslutningen, uanset om du sletter alle oplysninger eller ej.

Og hvis du ikke sletter alle oplysninger, skal klienten orienteres om det, lige som klienten skal orienteres om muligheden for at klage til Datatilsynet.

Hos Terapeut Booking overholder vi de forskellige krav, der er til f.eks. kryptering af personoplysninger, men hvis du benytter andre systemer (f.eks. regnskabsprogrammer), skal du som dataansvarlig sikre, at de også overholder kravene. Hvis du for eksempel har forbundet Terapeut Booking til et regnskabssystem, så sørger vi for at overføre data over en krypteret forbindelse, men det er dig som dataansvarlig, der er ansvarlig for, at de andre systemer du benytter, overholder kravene til opbevaring af personoplysninger.

Med den nye persondataforordning kommer der også en pligt til at oplyse den nationale persondatamyndighed (det vil sige Datatilsynet i Danmark) omkring databrud. Det skal gøres indenfor 72 timer efter et databrud. Vi har som databehandlere pligt til at underrette både vores brugere og Datatilsynet omkring et brud og vi har sikret, at vi har en procedure for det i vores virksomhed. Husk at du som dataansvarlig også har pligt til at oplyse om eventuelle databrud.

Som dataansvarlig er det dit ansvar, at du har dokumentation for, at du overholder persondataforordningen. Det betyder, at du skal have den korrekte dokumentation for at personoplysninger behandles på en korrekt måde i de systemer, du benytter. Du kan finde en beskrivelse af Terapeut Bookings behandling af personoplysninger i vores databehandleraftale, som du kan finde her: persondata i Terapeut Booking.

Sikker kommunikation fra webbrowser til system (som f.eks. når du redigerer journalindlæg eller når en klient booker en tid) er noget du som dataansvarlig bør være opmærksom på. TLS, som står for Transport Layer Security, er en sikkerhedsprotokol, der sørger for sikker og privat transmission af data over internettet. Det er som et sikkerhedstæppe for din onlinekommunikation, der beskytter den mod snagen og manipulation. Her er en oversigt over, hvad TLS gør:

Kryptering: Forestil dig, at du sender en hemmelig besked. TLS krypterer de oplysninger, du sender og modtager, og gør dem ulæselige for enhver, der opsnapper dem, selv på et usikkert netværk.

Autentificering: Ligesom man tjekker en persons ID, før man lukker vedkommende ind, verificerer TLS identiteten på de websites og servere, du opretter forbindelse til. Dette hjælper med at forhindre efterligning og sikrer, at du taler med den tilsigtede part.

Dataintegritet: TLS sørger for, at de oplysninger, du sender, ankommer komplette og uændrede. Det er som at tilføje en checksum til en pakke for at se, om noget er gået tabt eller er blevet ændret undervejs.

Easy Practice har den højeste score, A+, i TLS-testen på ssllabs.com, som er branchestandarden.

Når man anvender et online system til eksempelvis journalføring eller fakturering er der ofte mulighed for at systemet kan udveksle data automatisk med andre platforme. Det er vigtigt at du, som dataansvarlig, har et overblik over hvilke platforme, du anvender og hvordan disse håndterer personoplysninger. Som bruger på Terapeut Booking kan du eksempelvis udveksle data med e-conomic, Dinero eller Sygeforsikringen “Danmark”. Alle integrationer via Terapeut Booking kører med TLS-sikkerhed (krypteret, sikker kommunikation) og vi sørger således for, at der ikke kan “lækkes” data hos netværkstjenesteudbydere.