Tjekliste til Persondataforordningen (GDPR) for dig og din klinik

GDPR har været aktuelt i mange år, men det var i 2018 nye regler for håndtering af persondata blev sat i værk. Dette har sat nye krav til terapeuter og klinikker i Europa til hvordan persondata håndteres og hvordan der kommunikeres med klienter og patienter online. Baggrunden for GDPR synes vi er vigtig. Som IT virksomhed er sikkerhed vores første prioritet, men desværre har GDPR også sat nye krav til sundhedspersonale i forhold til deres IT kompetencer. Det er her Terapeut Booking kommer ind i billedet. Vi har nedenfor samlet alle de ting du som terapeut eller klinikejer skal være opmærksom på i forbindelse med GDPR. Vi stiller alle redskaber til rådighed i systemet som kan aktiveres og benyttes. Så kan du indhente samtykke, sende krypteret beskeder og øge din sikkerhed.

Terapeut Booking
Behandleren

Databehandlere og Dataansvarlige

Terapeut Booking har håndteret dette for dig.

Skal jeg som behandler gøre noget?

Nej. Dette er blot et spørgsmål om definitioner. Du har accepteret vores aftale om behandling af personoplysninger (DBA), da du oprettede dig på Terapeut Booking. Den kan du altid finde i dine Profil indstillinger når du er logget ind.

Når vi snakker personoplysninger, arbejder man med udtrykkene “Databehandler” og “Dataansvarlig”. Terapeut Booking er i den her konstellation databehandler, og vores brugere er dataansvarlige, da vi behandler jeres klientdata på jeres vegne og i jeres interesse. I har derfor også kontrol over, hvordan vi behandler jeres data, da vi kun behandler den efter instruks fra jer.

Terapeut Booking
Behandleren

Placering af data

Terapeut Booking har håndteret dette for dig.

Skal jeg som behandler gøre noget?

Nej. Terapeut Booking er allerede sat op og sikre håndtering indenfor danske grænser.

Hos Terapeut Booking opbevarer vi personoplysninger hos et dansk hosting-selskab i Danmark. Derudover kan vi garantere, at vi kun benytter databehandlere, som lever op til kravene i GDPR om sikker behandling af personoplysninger.

Terapeut Booking
Behandleren

Samtykkekrav og oplysningsforpligtelse

Terapeut Booking har redskaberne, men der er noget du skal gøre.

Skal jeg som behandler gøre noget?

Ja. Du skal oplyse dine klienter om, at du indsamler personoplysninger, hvilke personoplysninger du indsamler, hvad formålet med indsamlingen er, hvor længe du gemmer oplysningerne/hvornår de bliver slettet, hvilke rettigheder klienten har og hvor klienten kan klage.

Hvis du ønsker at behandle personoplysninger om klienter, som ikke er strengt nødvendige for, at du kan behandle dem, skal du bede dine klienter om at give samtykke til, at du opbevarer og behandler disse personoplysninger (f.eks. nødvendigt, hvis du vil bruge deres e-mailadresse til markedsføring).

Det kan du gøre i samarbejde med Terapeut Booking via vores samtykke-app. Vi har tilføjet en standardtekst som dækker en stor del af de generelle betingelser. Der kan dog i nogle tilfælde være behov for at tilføje yderligere betingelser eller fjerne noget af standardteksten. Det er derfor dit ansvar at sørge for, at samtykketeksten passer præcist til dig og dit erhverv.

Det er vigtigt, at du som behandler og dermed dataansvarlig for dine klienters personoplysninger er klar og tydelig i din kommunikation, når du opbevarer eller på anden måde behandler dine klienters personoplysninger. Behandling af personoplysninger skal enten være nødvendig for at opfylde en kontrakt, baseret på et udtrykkeligt samtykke til det eller være nødvendig efter en interesseafvejning af dine interesser i behandlingen over for din patients interesser i, at oplysningerne ikke behandles – og uanset hvad, skal behandlingen ske med et sagligt formål, og din klient skal have oplyst:

  • hvilke personoplysninger du registrerer,
  • med hvilket formål personoplysningerne behandles,
  • hvor lang tid personoplysningerne bliver opbevaret,
  • at din klient har ret til at få sine oplysninger berigtiget, slettet eller udleveret, samt få begrænset behandlingen heraf,
  • at klienten til enhver tid kan trække sit samtykke tilbage, og hvordan dette kan ske,
  • hvor din klient kan henvende sig for at gøre brug af sin ret til at få berigtiget, slettet eller udleveret – eller begrænset behandlingen af – sine oplysninger,
  • at klienten kan klage til Datatilsynet.

Hvis du f.eks. opretter klienter i Terapeut Booking, skal klienten give sit udtrykkelige samtykke til det og vil i den forbindelse modtage ovennævnte oplysninger. Har du Online Booking i Terapeut Booking, kan du opsætte, at der specifikt skal godkendes betingelser, inden en booking foretages, for at sikre samtykke, og dette bør du altid gøre.

Terapeut Booking
Behandleren

Data Protection Officer

Terapeut Booking har håndteret dette for dig.

Skal jeg som behandler gøre noget?

Nej. Terapeut Booking har allerede håndteret dette for dig ved at udpege en DPO, som blandt andet varetager henvendelser fra dine klienter vedrørende behandlinger af deres personoplysninger.

Som databehandler skal vi som noget nyt udpege en Data Protection Officer (DPO). En DPO skal sikre at en virksomhed lever op til kravene i den nye persondataforordning. Læs i øvrigt mere om hvad en DPO er.

Terapeut Booking
Behandleren

Dataportabilitet

Terapeut Booking har håndteret dette for dig.

Skal jeg som behandler gøre noget?

Nej. Du skal ikke gøre noget. Dette håndteres af Terapeut Booking

De klienter som du har registreret i Terapeut Booking har ret til, at kunne få overført deres data til et andet system, hvis de efterspørger det. I Terapeut Booking har vi mulighed for at eksportere klient-oplysninger via “Indstillinger” → “Import / Eksport”, hvis du skal have et format som kan overleveres til en anden dataansvarlig.

Terapeut Booking
Behandleren

“Right to be forgotten”

Terapeut Booking har håndteret dette for dig.

Skal jeg som behandler gøre noget?

Nej. Du skal ikke gøre noget. Dette håndteres af Terapeut Booking. Du kan slette dine klienter helt, hvis de kræver det – og du ikke har en god grund (f.eks. lovmæssigt dokumentationskrav) til at gemme deres personoplysninger.

Dine klienter har ret til at blive “glemt”. Det betyder, at dine klienter kan kræve, at de bliver slettet fra dit klient-kartotek. I Terapeut Booking kan du både angive en klient som “Inaktiv”, eller slette klienten helt fra dit kartotek. For at “Right to be forgotten” skal opfyldes, er det vigtigt, at du sletter klienten helt fra dit kartotek, medmindre du har brug for at opbevare oplysningerne som dokumentation for din håndtering af personoplysninger eller anden lovgivning tilsiger at gemme disse personoplysninger i en given periode.

Det er dog ikke altid, at en klient kan kræve at få slettet alle oplysninger, da du f.eks. kan have pligt til at gemme regnskabsoplysninger i 5 år. Vurderingen af, om du lovligt kan undlade at efterkomme en anmodning om sletning er i sidste ende din egen, men husk at orientere klienten om beslutningen, uanset om du sletter alle oplysninger eller ej.

Og hvis du ikke sletter alle oplysninger, skal klienten orienteres om det, lige som klienten skal orienteres om muligheden for at klage til Datatilsynet.

Terapeut Booking
Behandleren

Privacy by design / Privacy by default

Terapeut Booking har redskaberne, men der er noget du skal gøre.

Skal jeg som behandler gøre noget?

Ja. Du skal undersøge, om de andre programmer, du anvender til behandling af personoplysninger, lever op til persondataforordningens krav, samt indgå databehandleraftale med dine forskellige databehandlere.

Hos Terapeut Booking overholder vi de forskellige krav, der er til f.eks. kryptering af personoplysninger, men hvis du benytter andre systemer (f.eks. regnskabsprogrammer), skal du som dataansvarlig sikre, at de også overholder kravene. Hvis du for eksempel har forbundet Terapeut Booking til et regnskabssystem, så sørger vi for at overføre data over en krypteret forbindelse, men det er dig som dataansvarlig, der er ansvarlig for, at de andre systemer du benytter, overholder kravene til opbevaring af personoplysninger.

Terapeut Booking
Behandleren

Underretningspligt ved databrud

Terapeut Booking har redskaberne, men der er noget du skal gøre.

Skal jeg som behandler gøre noget?

Ja. Du skal underrette Datatilsynet, hvis du får en underretning fra os om databrud, men vi hjælper naturligvis med udformningen af underretningen, så du ikke behøver spekulere på det tekniske.

Med den nye persondataforordning kommer der også en pligt til at oplyse den nationale persondatamyndighed (det vil sige Datatilsynet i Danmark) omkring databrud. Det skal gøres indenfor 72 timer efter et databrud. Vi har som databehandlere pligt til at underrette både vores brugere og Datatilsynet omkring et brud og vi har sikret, at vi har en procedure for det i vores virksomhed. Husk at du som dataansvarlig også har pligt til at oplyse om eventuelle databrud.

Terapeut Booking
Behandleren

Dokumentation for at Persondataforordningen overholdes

Terapeut Booking har redskaberne, men der er noget du skal gøre.

Skal jeg som behandler gøre noget?

Ja. Du skal kunne dokumentere overfor Datatilsynet, at du overholder persondataforordningen.

Som dataansvarlig er det dit ansvar, at du har dokumentation for, at du overholder persondataforordningen. Det betyder, at du skal have den korrekte dokumentation for at personoplysninger behandles på en korrekt måde i de systemer, du benytter. Du kan finde en beskrivelse af Terapeut Bookings behandling af personoplysninger i vores databehandleraftale, som du kan finde her: persondata i Terapeut Booking.

Terapeut Booking
Behandleren

SSL sikkerhed/krypteret kommunikation

Terapeut Booking har håndteret dette for dig.

Skal jeg som behandler gøre noget?

Måske. Terapeut Booking kører med SSL-sikkerhed automatisk – men overvej eventuelt, om du skal have SSL-sikkerhed på din egen hjemmeside.

Sikker kommunikation fra webbrowser til system (som f.eks. når du redigerer journalindlæg eller når en klient booker en tid) er noget du som dataansvarlig bør være opmærksom på. En stor portion systemer til journalføring, online bookings og fakturering bruger stadig ikke SSL-sikkerhed (Secure Socket Layer). SSL er den lille hængelås du kan se i browseren på eksempelvis netbank eller terapeutbooking.dk. Hvis du bruger et system i dag som ikke har den lille hængelås, så bør du overveje at skifte eller alternativt kontakte din leverandør og sikre, at dette bliver håndteret.

Terapeut Booking
Behandleren

Udveksling af data mellem platforme (Integrationer, apps)

Terapeut Booking har håndteret dette for dig.

Skal jeg som behandler gøre noget?

Nej. Terapeut Booking har opsat sikker kommunikation (SSL) i alle integrationer.

Når man anvender et online system til eksempelvis journalføring eller fakturering er der ofte mulighed for at systemet kan udveksle data automatisk med andre platforme. Det er vigtigt at du, som dataansvarlig, har et overblik over hvilke platforme, du anvender og hvordan disse håndterer personoplysninger. Som bruger på Terapeut Booking kan du eksempelvis udveksle data med e-conomicDinero eller Sygeforsikringen “Danmark”. Alle integrationer via Terapeut Booking kører med SSL-sikkerhed (krypteret, sikker kommunikation) og vi sørger således for, at der ikke kan “lækkes” data ved at integrere platforme.