Databeskyttelsesforordningen – GDPR

GDPR

 

Hvis du som psykoterapeut har behov for at behandle eller opbevare personlige data om klienter, medarbejdere eller andre personer i forbindelse med dit arbejde, skal disse oplysninger behandles korrekt.

Der vil være forskel på, hvordan I som psykoterapeuter behandler persondata, da det afhænger af arbejdssituation, terapiformer og lignende. Derfor kan vi ikke lave en guide for, hvordan lige præcis du kommer i mål med GDPR. Der er dog nogle overordnede principper, som kan være gode at kende til. Derfor kan du her læse mere om, hvordan du sikrer dig, at du følger persondataloven og lever op til reglerne for GDPR.

 

Hvad handler Databeskyttelsesforordningen om?

En forordning er ifølge EU’s regler almengyldig, ligesom den er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat. En forordning virker således som en lov i medlemsstaterne, og den gælder i den form, som den er vedtaget, og den må som udgangspunkt ikke gennemføres i national ret. Desuden fylder databeskyttelsesforordningen 88 sider med en række punkter, som omhandler beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger. Men hvad handler forordningen egentlig om?

Lad os se…

  • Alle med cvr-nummer, som behandler persondata skal leve op til databeskyttelsesforordningen.
  • Persondata skal behandles og opbevares ansvarligt.
  • Mindske unødvendige persondata.
  • Øget gennemsigtighed mellem datagiver og databehandler.
  • Mindske risiko for misbrug af persondata.

 

Hvad skal du gøre som psykoterapeut?

 

1. Lav en databehandlerfortegnelse

Du skal kunne dokumentere hvilke data, du opbevarer, hvad de anvendes til, og hvem de deles med. Det skal du gøre ved at udarbejde en såkaldt databehandlingsfortegnelse. Den skal du kunne fremvise, hvis Datatilsynet beder om det. Du skal lave en fortegnelse for hvert område i din virk­somhed, hvor du behandler persondata, fx i forhold til klienter (at udbyde psykoterapi), administration, mar­kedsføring og personaleadministration.

 

2. Beskyt data

Du skal sikre dig, at der er foretaget passende tekniske og organisatoriske sikkerhedsforanstaltninger til beskyttelse af data i din klinik. Du kan med fordel lave en såkaldt risikovurdering og på den bag­grund vurdere, hvilke sikkerhedsforanstaltninger, der er passende for din virksomhed. Hvis du for eksempel har papirnoter om dine klienter liggende, skal du overveje, hvordan du opbevarer dem sikkert og forsvarligt i klinikken. Læs også mere om, hvordan du beskytter data i vores FAQ nedenfor.

 

3. Lav en databehandleraftale

Du skal sikre, at der foreligger databehandleraftaler mellem dig og dit/jeres systemhus og øvrige databehandlere. Dette er relevant, hvis du har entreret med en virksomhed om, at denne laver din hjemmeside eller dine klientbookninger. Det er også relevant, hvis en virksomhed leverer dit øko­nomisystem, eller hvis fx Dataløn sørger for dine lønudbetalinger. Oftest vil leverandøren sende dig sin databehandleraftale. Læs den grundigt igennem for at sikre dig, at den ikke indeholder klausuler, som ikke er nødvendige

 

 

4. Oplys klienter, hvordan deres data behandles

Du er som psykoterapeut forpligtet til at sikre gennemsigtighed. Du skal oplyse klienten om, at du behandler persondata om klienten. Du skal oplyse, hvem der er den dataansvarlige (dit/virksom­hedens navn og adresse) og formålet med indsamlingen/registreringen (at yde psykoterapi). Der er ingen formkrav til meddelelsen – det vil sige, at der i loven ikke er en beskrivelse af, hvordan in­formationen skal udformes. Den kan således gives mundtligt, skriftligt eller digitalt. Du bør som udgangspunkt iagttage din oplysningspligt over for klienten (den registrerede) ved skriftligt at give klienten de oplysninger, som den pågældende har krav på at få. På denne måde vil du også bedst kunne dokumentere, at du har iagttaget din oplysningspligt.

 

5. Indhent samtykke, hvis du behandler personfølsom data

Da det at gå i terapi anses for at være en helbredsoplysning, er det også en personfølsom oplysning. Derfor skal du – såfremt du opbevarer og behandler personfølsom data – indhente udtrykkeligt samtykke fra klienten.

Det er vigtigt, at samtykke er indgået frivilligt og at der ikke er tvivl om, at det er et samtykke, der er givet. Derfor kan det være en god idé at indsamle et skriftligt samtykke som i skabelonen nedenfor. Et samtykke kan altid trækkes tilbage af klienten, hvis denne ikke længere ønsker at få opbevaret oplysninger. Man må som psykoterapeut ikke nægte en klient terapi, hvis klienten ikke ønsker at give samtykke til behandling af persondata. For børn under 13 år, indhentes forældrenes samtykke. I samtykkeerklæringen skal det tydeligt fremgå, hvilke oplysninger, der behandles, og hvad de bruges til. Det er vigtigt, at du kan dokumentere, hvem der har givet samtykke, hvornår og hvordan samtykket blev givet, hvad den enkelte har samtykket til, og at samtykket reelt er afgivet frivilligt.

Hvis du er offentligt ansat eller autoriseret psykolog skal du være opmærksom på, at det er offentlighedsloven, der gælder ift. journalpligt.

Brug tjeklisten i Datatilsynets vejledning om samtykke for at sikrer dig, at du indhenter samtykke korrekt:

 

Brug for hjælp?

Du kan kontakte Dansk Psykoterapeutforening, hvis du har spørgsmål efter at have læst informationen på denne side. Vi kan rådgive om forordningen på et overordnet niveau. I mange tilfælde vil vi henvise videre til Datatilsynet.

Datatilsynet er den ansvarlige myndighed, der har rådgivningsforpligtelse. Du er derfor velkommen til at kontakte dem for at få yderligere vejledning og rådgivning, hvis du er i tvivl om noget.

Læs mere om Datatil­synet 

Telefon: 33 19 32 00

 

 

FAQ om datasikkerhed

Er det sikkert at modtage betaling via MobilePay?

Det er bankens ansvar at sikre, at bankoplysninger behandles fortroligt, og det er derfor ikke noget problem, at klienter betaler via bankoverførsel eller MobilePay.

Hvad er en personfølsom oplysning?

En personfølsom oplysning er en oplysning om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold. Det omfatter også genetiske og biometriske* data.

*biometriske data: personoplysninger om fysiske karakteristika, såsom ansigtsbillede eller fingeraftryksoplysninger.

Der er tale om personfølsomme oplysninger, når en klient deler personlige helbredsmæssige informationer med en psykoterapeut. Ansvaret for, at personfølsomme data ikke kommer i uvedkom­mendes kendskab, ligger hos den dataansvarlige, dvs. i dette tilfælde psykoterapeuten. Ansvaret kan ikke samtykkes væk af den, der er i behandling.

 

Hvad er persondata?

Persondata er alle de oplysninger, som kan knyttes til en person. Nogle oplysninger anses for mere sensitive end andre.

Datatilsynet beskriver en personoplysning som: “enhver form for information, der kan henføres til en bestemt person, også selv om personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger. Personoplysninger kan for eksempel være personnumre, registreringsnumre, et billede, et fingeraftryk, en stemme, lægejournaler eller biologisk materiale, når det i praksis er muligt at identificere en person ud fra oplysningerne eller i kombination med andre. Man siger, at oplysningen er “personhenførbar”.”

Hvilke regler gælder for videosamtaler?

Det er ikke tilladt at anvende Skype eller FaceTime til terapi. Hvis du vil tilbyde online terapi, skal det ske ved hjælp af sikre, krypterede platforme eller programmer, som beskytter klienternes personlige oplysninger. Dansk Psykoterapeutforening har tilbyder online-systemet Min Psykoterapeut, der er udviklet af virksomheden Medconnect med henblik på at gøre det nemt og sikkert for psykoterapeuter at udføre onlineterapi. Læs mere om løsningen her.

Datatilsynet kan ikke anbefale specifikke udbydere af video-løsninger. Det er op til den enkelte behandler at vælge en sikker løsning, der lever op til lovkravene. Vil man være helt sikker på at vælge en sikker løsning, anbefaler Datatilsynet, at man rådfører sig med en advokat eller IT-ekspert.

Hvordan overholder jeg lovgivningen med min klientkalender?

Du bør sikre, at det ikke ud fra din kalender på din telefon kan ses, hvem der har bestilt tid hos dig. Har du en elektronisk kalender på din smartphone, iPad eller lignende, skal du derfor sikre dig, at f.eks. synkronisering ikke sker til en usikret internetserver, men kun til en sikret internetserver eller sikret computer.

En måde at holde kalender på er ved at skrive klientens initialer, listenummer eller lignende i din kalender, og så have en liste med faktiske navne liggende et sikkert sted, eksempelvis lokalt på en computer, som kun du har adgang til.

Hvornår skal jeg sende krypterede mails?

Vi anbefaler, at du bruger en sikker mailforbindelse. Hvis du sender oplysnin­ger med e-mail over det åbne internet skal der bruges sikker e-mail for at sikre persondata. Der kan være tale om krypterede mails, hvor du fx bruger PROTON-mailsystemet. Se mere her: https://pro­tonmail.com/. Du anbefales også at bruge en VPN-forbindelse, som er sikker. Læs mere om VPN: https://vpninfo.dk/

Når en klient kontakter dig via mail, kan du ikke være sikker på, om forbindelsen er krypteret. Ved besvarelse skal du derfor skrive en ny krypteret mail fra din egen sikre e-mailadresse som svar. Derfor skal du altså ikke svare direkte på den oprindelige mail fra klienten.

Det anbefales desuden, at du minder klienten om ikke at sende personfølsomme oplysninger til dig via en ikke-krypteret e-mail.

Hvornår skal jeg sikre min hjemmeside?

Hvis du giver klienter og andre personer mulighed for at sende oplysninger til eller modtage oplysninger fra dig via din hjemmeside, gælder særlige krav om databeskyttelse.

Vi skal her henvise til:

Må jeg bruge min smartphone til både arbejde og privat?

Vi anbefaler, at du har en privat telefon til private ting og en arbejdstelefon. Problemet med smartphones er, at mange apps beder om at få adgang til data på telefonen, hvilket gør, at eksterne aktører kan få fat i de data, der måtte være på telefonen. Til privat brug vil du derfor typisk have flere apps, der kan få adgang til de følsomme oplysninger, som ligger fra dit arbejde.

Husk at hvis du sikkerhedskopierer, skal du gøre det fra en sikret computer eller server. Du må f.eks. altså ikke gemme i ”cloud’en”.

Hvilke data skal jeg indsamle?

Tænk altid over, hvilke data, der er nødvendige at indsamle, og hvilke data du ikke har brug for. Du skal ikke behandle mere data end højst nødvendigt. Den data, du indsamler, skal du kunne redegøre for ifht. lovgivningen.

Når du ikke længere har brug for den indsamlede data, skal den slettes. Lav en ordning for, hvornår og hvordan dette gøres, så det evt. kan tilskrives i samtykkeerklæringen samt dokumentation til datatilsynet. Det handler om at gøre det så nemt og så gennemsigtigt som muligt – både for dig og din klient.

 

Dansk Psykoterapeutforening gør opmærksom på, at ovenstående er generel information, som gives uden ansvar fra foreningen.