Hvad er den nye persondataforordning?

Den nye persondataforordning trådte i kraft den 25. maj 2018, og er en forordning som skal ensarte reglerne om databeskyttelse på det europæiske marked. Danmark har allerede en relativt høj beskyttelse som følge af den gældende Persondatalov, men forordningen vil medføre yderligere stramninger.

Persondataforordningen gælder alle, som håndterer persondata og medfører, at der vil komme større fokus på, hvordan virksomheder håndterer data, både hvad gælder medarbejderdata og f.eks. klientdata. 

Den nye forordning bliver direkte gældende i dansk lovgivning, men indeholder også muligheder for nationale fortolkninger, hvilket medfører, at der i praksis vil være tale om en blanding af forordning, dansk lovgivning og praksis.

Nogle af de større ændringer, som persondataforordningen medfører, er de skærpede samtykkeregler, at offentlige myndigheder og visse private virksomheder skal udpege en databeskyttelsesansvarlig, at bødeniveauet for brud mod databeskyttelsesregler er meget højere end tidligere, og at der foreligger højere dokumentationskrav for hvordan man behandler data i sin klinik, herunder også at man skal informere relevante myndigheder om eventuelle brud på datasikkerheden.

Nedenfor kan du få svar på de mest hyppige spørgsmål om datasikkerhed. Du kan derudover finde information om den nye persondataforordning, der trådte i kraft den 25. maj 2018.

FAQ om datasikkerhed

Hvad er en personoplysning?

Hvad er en personfølsom oplysning?

En personfølsom oplysning er en oplysning om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold. Med den nye forordning omfattes også genetiske og biometriske* data.

*biometriske data: personoplysninger om fysiske karakteristika, såsom ansigtsbillede eller fingeraftryksoplysninger.

Er et navn en personfølsom oplysning?

Nej, et navn er ikke i sig selv en personfølsom oplysning, men en personoplysning. Dog – såfremt navnet medfører en identificering af en person i en personfølsom sammenhæng (i kombination med andre oplysninger), f.eks. at man kan se, at en navngiven person skal deltage i en psykologisk undersøgelse – så skal det behandles med tilstrækkelige sikkerhedsforanstaltninger.

Er det en personfølsom oplysning at gå til psykolog?

Dansk Psykolog Forening har nu afklaret med Datatilsynet, at det er en personfølsom oplysning at gå til psykolog, hvilket baseres på, at en helbredsoplysning – som ifølge GDPR er en personfølsom oplysning – omfatter oplysninger om personers psykiske tilstand.

Kan man indhente samtykke fra en klient/person som skal deltage i en psykologisk undersøgelse vedrørende at man kommunikerer via mail som ikke er krypteret?

Nej, ansvaret for at personfølsomme data ikke kommer i uvedkommendes kendskab ligger hos den dataansvarlige, dvs. i dette tilfælde psykologen, og kan ikke samtykkes væk af den, der er i behandling.

Skal man indhente samtykke i forbindelse med behandling?

Det er ikke nødvendigt med samtykkeerklæring i forbindelse med registrering af behandling af klienter, idet det reguleres af særlovgivning om pligten til at føre journal.

Hvad er en dataansvarlig?

En dataansvarlig er en fysisk eller juridisk person*, offentlig myndighed, institution eller andet organ, som alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af oplysninger. Den dataansvarlige er lovens primære pligtsubjekt, hvilket også medfører, at det er den dataansvarlige, som har det overordnede ansvar, også for behandling af data, som foretages af tredjemand på vegne af den dataansvarlige.

*Juridisk person: en virksomhed

Hvad er en databehandler?

En databehandler er enhver, som behandler oplysninger på vegne af en dataansvarlig. Som eksempler kan nævnes virksomheder, som varetager drift af kunders it-systemer, eller hostingvirksomheder som f.eks. tilbyder serverkapacitet til indehavere af hjemmesider.

Skal man have databehandleraftale med teleselskaber?

Teleselskaber er ifølge oplysninger fra Datatilsynet fritaget fra databehandleraftaler.

Skal man have databehandleraftale med revisionsselskaber?

Ifølge Datatilsynet er revisionsselskaber selvstændigt dataansvarlig, og man skal som virksomhed således ikke have en databehandleraftale med sin revisor.

Skal man have databehandleraftale med f.eks. Sygeforsikringen Danmark og FHC?

Ifølge Datatilsynet  skal der være lovhjemmel til ikke at indgå databehandleraftaler, alternativt en gyldig juridisk vurdering om det pågældende dataudvekslingsforhold.

Såfremt du står i en situation, hvor du mener at du egentlig skal have en databehandleraftale, men din modpart ikke ønske at indgå en sådan, skal du henvende dig til Datatilsynet for konkret rådgivning.

Skal en privatpraktiserende psykolog tilmelde sig Datatilsynet i forbindelse med behandling af personfølsomme oplysninger?

Nej, en privatpraktiserende psykolog er ikke forpligtet til at tilmelde sig Datatilsynet i forbindelse med behandling af personfølsomme oplysninger. Dette følger af en undtagelsesbestemmelse i persondataloven, som medfører, at autoriserede psykologer, som arbejder indenfor sundhedsområdet, ikke omfattes af kravet om tilmelding, ligesom f.eks. læger heller ikke omfattes.

Er det sikkert at udføre internetbaseret terapi via Skype eller FaceTime?

Nej, det er vores opfattelse, at Skype og FaceTime, eller lignende internetbaserede telefonkonferenceprogrammer, ikke er sikre nok. Dette skyldes, at data ikke er tilstrækkeligt beskyttet, herunder er serverne placeret udenfor EU, hvorfor der ikke gælder samme lovgivning omkring datasikkerhed.

Der findes nogle internetbaserede løsninger, der garanterer sikre forbindelser, men hvis man benytter sig at disse, skal man selv sikre sig, at sikkerheden lever op til lovgivningen.

Ansvaret for at personfølsomme data ikke kommer i uvedkommendes kendskab ligger hos den dataansvarlige, dvs. i dette tilfælde psykologen. Ansvaret kan – ligesom i forbindelse med at man som psykolog mailer med en klient – ikke samtykkes væk af den, der er i behandling.

Er internetservere sikre?

Du kan have en egen server, som er sikret, ellers skal du have databehandleraftaler hele vejen ned til den sidste i databehandlerkæden, som kan dokumentere sikkerheden.

Skal jeg have logning?

Logning er ifølge Datatilsynet ikke nødvendigt i en enkeltmandsvirksomhed, idet selve formålet med logning er, at man skal have styr på hvis der er flere personer der logger på et system. Såfremt du har vikar på, er det heller ikke nødvendigt, idet vikaren så træder i stedet for dig som den eneste der logger på.

Hvilke krypteringskrav gælder for mail?

Ligesom ved internetbaseret terapi ligger ansvaret for at personfølsomme data ikke kommer i uvedkommendes kendskab hos den dataansvarlige, dvs. i dette tilfælde psykologen. Ansvaret kan ikke samtykkes væk af den, der er i behandling. Det er dig som psykolog, som har ansvaret for, at mail og indholdet er tilstrækkeligt sikret.

Hvordan kan man udføre sikker kommunikation med klienter og andre interessenter? Må man indkalde til psykologisk undersøgelse via mail?

Indholdet i korrespondance med klienter vil oftest være at betegne som personfølsomme oplysninger og skal derfor sikres. Dette gælder både oplysninger omkring klienter samt indholdet fra behandling.

Såfremt opgaven udføres på vegne af en kommune (en offentlig myndighed), er du som psykolog omfattet af sikkerhedsbekendtgørelsen, idet du i det tilfælde agerer som databehandler for kommunen. Dette medfører, at du skal sikre informationen med kryptering.

Såfremt du udfører opgaven privat, dvs. ikke på vegne af en offentlig myndighed, skal du stadig følge vilkårene i persondatalovens § 41. Der foreligger i den forbindelse ikke et udtalt krav, men en klar anbefaling fra Datatilsynet om, at personfølsomme oplysninger bør krypteres.

Hvornår skal jeg så som psykolog sende krypterede mails?

Når en klient kontakter dig via mail, kan du ikke være sikker på, om forbindelsen er krypteret. Ved besvarelse skal du derfor skrive en ny krypteret mail fra din egen sikre e-mailadresse som svar. Derfor skal du altså ikke svare direkte på den oprindelige mail.

Det anbefales desuden, at du minder klienten om ikke at sende personfølsomme oplysninger til dig via en ikke-krypteret e-mail.

Må man modtage betaling via bankoverførsler eller MobilePay?

Ja, det er bankens ansvar at sikre, at bankoplysninger behandles fortroligt, og det er derfor ikke noget problem, at klienter betaler via bankoverførsel eller MobilePay.

Må man som psykolog opbevare data på DropBox?

Nej. Ved at opbevare data på en internetserver gives der adgang til data for tredjeparter. Hvis data ikke opbevares i et europæisk land, er virksomheden ikke omfattet af den europæiske lovgivning for datasikkerhed (se også Datatilsynets hjemmeside her). Dette betyder, at gratistjenester som DropBox ikke kan benyttes.

Er oplysninger i min klientkalender personfølsomme oplysninger?

Ja, det er en personfølsom oplysning, at en klient går til en psykolog. Det skal derfor sikres, at dette ikke kan læses ud af din kalender. Har du en elektronisk kalender på din smartphone, iPad eller lignende, skal du derfor sikre dig, at f.eks. synkronisering ikke sker til en usikret internetserver, men kun til en sikret internetserver eller sikret computer.

Hvordan sikrer jeg, at indholdet i min kalender overholder regler om beskyttelse af persondata?

En måde at holde kalender på er ved at skrive initialer, listenummer eller lignende i din kalender, og så have en liste med faktiske navne liggende et sikkert sted, eksempelvis lokalt på en computer, som kun du har adgang til.

Må jeg bruge min smartphone/iPad/tablet til både arbejde og privat?

Nej. Problemet med smartphones er, at mange apps beder om at få adgang til data på telefonen, hvilket gør, at eksterne aktører kan få fat i det data, der måtte være på telefonen. Til privat brug vil du derfor typisk have flere apps, der kan få adgang til de følsomme oplysninger, som ligger fra dit arbejde.

Må jeg sikkerhedskopiere min smartphone/iPad/tablet?

Kun hvis du sikkerhedskopierer til en sikret computer eller server. Du må f.eks. altså ikke gemme på en ”cloud”.

Må jeg kommunikere med klienter via sociale medier, f.eks. Facebook?

Nej. Du må ikke kommunikere med dine klienter over sociale medier som Facebook, da al data, som går igennem sådanne sider, tilhører ejerne af siderne. Dette betyder, at alt det, du skriver på Facebook, bliver gemt hos en tredjepart, der kan bruge det, som de har lyst.  Dette gælder både private beskeder via sociale medier, samt kommentarer til andres opslag på sociale medier.

Sikker mail?

En personoplysning er et overordnet begreb, der omfatter alle oplysninger, som kan henføres til en bestemt fysisk person, såsom navn og alder, men også personfølsomme oplysninger såsom helbredsoplysninger. Det gælder også oplysninger, som først i kombination med andre oplysninger kan henføres til en bestemt fysisk person. Enkeltmandsvirksomheder omfattes også af begrebet, idet de oplysninger kan henføres til en ejer.

Som medlem af Dansk Psykolog Forening har du nu mulighed for at indgå en aftale om sikker mail med RMail (danastar), en virksomhed som tilbyder kryptering af mails.

Der har været stor efterspørgsel på en løsning på problematikken omkring sikker mail, og vi har arbejdet intenst med at finde en både teknisk og økonomisk fordelagtig løsning for vores selvstændige medlemmer.

RMail krypterer dine e-mails i et lukket system, dvs modtager kan – selvom modtageren ikke selv har sikker mail – svare via et link i din mail, og på den måde svare sikkert inde i det lukkede system.

Systemet genererer derudover en dokumentation over levering og åbning.
Ved køb af standardpakke (200 e-mails per måned) koster det 1000 kr. i opstartsafgift, og ved en bindingstid på 12 måneder, får du de 3 første måneder gratis, derefter 159 kr./måned.

Dansk Psykolog Forening vurderer, at produktet har høj kvalitet og brugervenlighed. Vi kan dog ikke udelukke, at der også findes andre ligeværdige produkter, da vi ikke har fuldt markedsoverblik. Vejledning mv. skal iøvrigt hentes hos Danastar.

Klik her for at komme til aftalen.

 

Fakta:

  • Indholdet i korrespondance med klienter vil oftest være at betegne som personfølsomme oplysninger og skal derfor sikres i henhold til den nye Persondataforordning.
  • Ansvaret for, at personfølsomme data ikke kommer i uvedkommendes kendskab, ligger hos den dataansvarlige, dvs. hos dig som psykolog.
  • Ansvaret kan ikke samtykkes væk af den, der er i behandling, og det er således dig, som har ansvaret for, at mail og indholdet i mailen, er tilstrækkeligt sikret.

 

Kort spørgsmålsguide til din it-leverandør

Dansk Psykolog Forening har fremstillet en kort guide med spørgsmål, man – som selvstændig – kan stille sin it-leverandør med henblik på at sikre, at it-leverandøren har styr på it-sikkerheden.

 

De otte guidelines fremgår nedenfor:

  • Guidelines ifm. it-leverandører:
    Har du en databehandleraftale med din it-leverandør/hostingvirksomhed?
    Hvis du har en it-leverandør/hostingvirksomhed, som håndterer dine data, skal du have en databehandleraftale med vedkommende. Af databehandleraftalen skal det fremgå, hvordan ansvaret for it-sikkerheden er fordelt, og du skal sikre – uanset at du som dataansvarlig har det overordnede ansvar – at ansvaret også ligger hos leverandøren.
  • Kan din leverandør fremvise en privatlivspolitik?
    Det er vigtigt, at din leverandør kan fremvise en tilstrækkelig privatlivspolitik. Det betyder, at privatlivspolitikken blandt andet skal omfatte de tilfælde, hvor leverandøren/hostingvirksomheden casher (indsamler) data, når dine klienter fx bruger en kontaktformular på din hjemmeside, eller der bruges cookies vid tidsbestilling via nettet.
  • Opbevaring og transport af data
    Du skal høre om din leverandør sikrer din data, når den transporteres og opbevares.
  • Opbevares din data inden for EU?
    Du skal spørge, hvor og hvordan din leverandør opbevarer din data, herunder om din data opbevares inden for EU, eller i så kaldte ”sikre 3. lande” uden for EU.
  • Hvordan gemmes din data på server og på back-up?
    Din data bør gemmes krypteret. Det gælder både på selve serveren og i back-up. Hvis muligt skal din leverandør heller ikke have direkte adgang til din data.
  • Hvor ofte bliver der lavet back-up på dit journalmateriale?
    Du skal som dataansvarlig sikre – udover at dine journaler opbevares sikkert – at der også jævnligt laves back-up.
  • Er der andre der har journaladgang i din klinik?
    Hvis du fx har en vikar i din klinik skal du have styr på følgende:
  1. Logning: Hvis flere personer har adgang til dine journaler, skal dette kunne spores på den vis, at der skal logges, hvem der har læst i hvilke journaler.
  2. Styring af journaladgang: Adgangen skal være begrænset på baggrund af nødvendighedskriterium, dvs. adgangen skal være saglig, og din vikar skal ikke have adgang til flere journaler end nødvendigt.
  • Slettemuligheder hos leverandøren og din kliniks slettepolitik
    Din leverandørs mulighed for sletning skal være i overensstemmelse med din egen kliniks slettepolitik. Det betyder, at din leverandør teknisk bør kunne tilbyde et system, som finder frem journaler, som er blevet opbevaret i 5 år efter sidste journalnotat, og som – såfremt ikke særlige omstændigheder foreligger for den konkrete journal – derfor skal slettes.

 

Tjekliste til databehandleraftale

På Dansk Psykolog Forenings hjemmeside har vi to skabeloner til databehandleraftaler.

Du skal som selvstændig huske at tilpasse indholdet specifikt til den situation, du konkret skal bruge den til.

I forbindelse hermed anbefaler vi også, at aftaleparterne kigger på Datatilsynets hjemmeside og den mere detaljerede version, som er tilgængelig her:
https://www.datatilsynet.dk/vejledninger/vejledninger-databeskyttelsesforordningen/

 

Streaming af Persondataworkshops samt adgang til materiale

Der har været meget stor efterspørgsel på vores workshops om Persondataforordningen, og derfor gør vi nu workshopindholdet tilgængeligt for samtlige selvstændige medlemmer via MitDP.

Workshoppen om Persondatasikkerhed kan fra d. 26. marts 2018 streames via MitDP, og du har her ligeledes adgang til alt materiale, som er blevet uddelt til workshoppen.

Du kan således streame workshoppen, når det passer dig, og der er ikke nogen begrænsning på, hvor mange gange du kan se det.

Workshoppen giver et overblik over den kommende Persondataforordning og giver dig viden om følgende:

  • Hvilke aktiviteter du skal lave for at blive compliant med persondataforordningen
  • Hvordan du gennemgår dine procedurer, samt hvilke dokumenter du har behov for at udarbejde
  • Udarbejdelse af databehandlingsaftale med vores skabelon
  • Udarbejdelse af privatlivspolitik osv. (dokumentation til brug for Datatilsynet)
  • Hvad du mangler for at komme i mål

Oplægsholdere er Torben Nordquist, CEO, og Kristian Boe Helweg Hansen. Begge er certificeret i persondataret.

Det skal bemærkes, at du ikke må sprede materialet, idet det er ophavsretligt beskyttet.

Materialet er tilgængeligt via MitDP frem til og med den 31. maj 2018.

RESSOURCER

Persondataforordningen
Læs mere om den nye persondataforordning her

Datatilsynet
Find mere information på Datatilsynets hjemmeside her

Guidelines ifbm it-leverandører

Nedenfor kan du læse nogle guidelines til dit samarbejde med it-leverandører.

Har du en databehandleraftale med din it-leverandør/hostingvirksomhed?

Hvis du har en it-leverandør/hostingvirksomhed, som håndterer dine data, skal du have en databehandleraftale med vedkommende. Af databehandleraftalen skal det fremgå hvordan ansvaret for it-sikkerheden er fordelt, og du skal sikre – uanset at du som dataansvarlig har det overordnede ansvar – at ansvaret også ligger hos leverandøren.

Kan din leverandør fremvise en privatlivspolitik?

Det er vigtigt, at din leverandør kan fremvise en tilstrækkelig privatlivspolitik. Det betyder, at privatlivspolitikken blandt andet skal omfatte de tilfælde hvor leverandøren/hostingvirksomheden casher (indsamler) data når dine klienter f.eks. bruger en kontaktformular på din hjemmeside eller der bruges cookies vid tidsbestilling via nettet.

Opbevaring og transport af data

Du skal høre om din leverandør sikrer din data, når den transporteres og opbevares.

Opbevares din data indenfor EU?

Du skal spørge hvor og hvordan din leverandør opbevarer din data, herunder om din data opbevares indenfor EU, eller i så kaldte ”sikre 3. lande” uden for EU.

Hvordan gemmes din data på server og på back-up?

Din data bør gemmes krypteret. Det gælder både på selve serveren og i backup. Hvis muligt skal din leverandør heller ikke have direkte adgang til din data.

Hvor ofte bliver det lavet back-up på dit journalmateriale?

Du skal som dataansvarlig sikre, at – udover at dine journaler opbevares sikkert – der også jævnligt laves back-up.

Er der andre der har journaladgang i din klinik?

Hvis du f.eks. har en vikar i din klinik skal du have styr på følgende:
Logning: Hvis flere personer har adgang til dine journaler, skal dette kunne spores på den vis at der skal logges hvem der har læst i hvilke journaler.
Styring af journaladgang: Adgangen skal være begrænset på baggrund af nødvendighedskriterium, dvs adgangen skal være saglig, og din vikar skal ikke have adgang til flere journaler end nødvendigt.

Slettemuligheder hos leverandøren og din kliniks slettepolitik

Din leverandørs mulighed for sletning skal være i overensstemmelse med din egen kliniks slettepolitik.

Det betyder, at din leverandør teknisk bør kunne tilbyde et system som finder frem journaler som er blevet opbevaret i 5 år efter sidste journalnotat, og som – såfremt ikke særlige omstændigheder foreligger for den konkrete journal – derfor skal slettes.

Sikker mail

Som medlem af Dansk Psykolog Forening har du nu mulighed for at indgå en aftale om sikker mail med RMail (danastar), en virksomhed som tilbyder kryptering af mails.

Der har været stor efterspørgsel på en løsning på problematikken omkring sikker mail, og vi har arbejdet intenst med at finde en både teknisk og økonomisk fordelagtig løsning for vores selvstændige medlemmer.

RMail krypterer dine e-mails i et lukket system, dvs modtager kan – selvom modtageren ikke selv har sikker mail – svare via et link i din mail, og på den måde svare sikkert inde i det lukkede system.

Systemet genererer derudover en dokumentation over levering og åbning.
Ved køb af standardpakke (200 e-mails per måned) koster det 1000 kr. i opstartsafgift, og ved en bindingstid på 12 måneder, får du de 3 første måneder gratis, derefter 159 kr./måned.

Dansk Psykolog Forening vurderer, at produktet har høj kvalitet og brugervenlighed. Vi kan dog ikke udelukke, at der også findes andre ligeværdige produkter, da vi ikke har fuldt markedsoverblik. Vejledning mv. skal iøvrigt hentes hos Danastar.

Klik her for at komme til aftalen.

 

Fakta:

  • Indholdet i korrespondance med klienter vil oftest være at betegne som personfølsomme oplysninger og skal derfor sikres i henhold til den nye Persondataforordning.
  • Ansvaret for, at personfølsomme data ikke kommer i uvedkommendes kendskab, ligger hos den dataansvarlige, dvs. hos dig som psykolog.
  • Ansvaret kan ikke samtykkes væk af den, der er i behandling, og det er således dig, som har ansvaret for, at mail og indholdet i mailen, er tilstrækkeligt sikret.

 

Start med at skrive, og tryk Enter for at søge