Den nye persondataforordning

Sidst opdateret: 28. maj 2018

Dette er information om EU’s nye persondataforordning, der træder i kraft den 25. maj 2018.

 

I 2016 besluttede EU-landene at indføre nye regler om databeskyttelse. Persondataforordningen gælder for alle, som opbevarer oplysninger om personer. Forordningen træder i kraft den 25. maj 2018.

Ansvaret for at overholde reglerne ligger hos den enkelte psykoterapeut/driftsansvarlige. Du er godt med, hvis du allerede overholder den nugældende persondatalovgivning. Den nye persondataforordnin­g er et supplement til de allerede gældende regler, som du er forpligtet til at overholde.

 

Vejledning i EU's nye persondataforordning

Hvad hjælper Dansk Psykoterapeutforening med?

Dansk Psykoterapeutforening giver rådgivning om den nye persondataforordning på et overordnet niveau. Det gør vi via denne information, ligesom vi i marts og april måned har afholdt en række fyraftensmøder om den nye persondataforordning. Du kan kontakte foreningen, hvis du har spørgsmål efter at have læst informationen på denne side.

Datatilsynet er den ansvarlige myndighed, der har rådgivningsforpligtelse. Du er derfor velkommen til at kontakte dem for at få yderligere vejledning og rådgivning, hvis du er i tvivl om noget.

Læs mere om Datatil­synet 

Telefon: 33193200

Hvad går den nye persondataforordning ud på?

Den nye persondataforordning omfatter, at der bliver indført en række skærpede regler. Kort fortalt er der tale om:

  • Strengere krav til behandling af personoplysninger
  • Forbedrede rettigheder til den registrerede (klienten som du registrerer oplysninger om)
  • Større informationskrav over for den registrerede
  • Større krav til en databehandleraftale
  • Større krav til den dataansvarlige og databehandlerens sikkerhedsniveau
  • Dokumentationskrav om overholdelse af lovgivningen
  • Større bødeniveau

Læs mere om de nye regler

Læs Datatilsynets vejledninger i den nye forordning

Hvad skal du gøre som psykoterapeut?

 

  1. Information til klienten

Du er som psykoterapeut forpligtet til at sikre gennemsigtighed. Du skal oplyse klienten om, at du behandler persondata om klienten. Du skal oplyse, hvem der er den dataansvarlige (dit/virksom­hedens navn og adresse), formålet med indsamlingen/registreringen m.v. (at yde psykoterapi).

 

Den regi­streredes/klientens rettigheder omfatter kort fortalt følgende:

  • Ret til at få information fra den dataansvarlige om, at der indsamles oplysninger om vedkom­mende. Det betyder, at du som psykoterapeut har oplysningspligt
  • Ret til indsigt i de oplysninger, der behandles om klienten
  • Ret til at protestere mod, at behandling af oplysninger finder sted,
  • Ret til at protestere mod, at oplysninger om klienten selv videregives med henblik på markedsfø­ring, og
  • Ret til at få oplysninger, der er urigtige eller vildledende, rettet eller slettet, samt i den forbin­delse at forlange, at andre, der har modtaget oplysningerne, orienteres om dette.

 

Der er ingen formkrav til meddelelsen – det vil sige, at der i loven ikke er en beskrivelse af, hvordan in­formationen skal udformes. Den kan således gives mundtligt, skriftligt eller elektronisk. Du bør som udgangspunkt iagttage din oplysningspligt over for klienten (den registrerede) ved skriftligt at give klienten de oplysninger, som den pågældende har krav på at få. På denne måde vil du også bedst kunne dokumentere, at du har iagttaget din oplysningspligt. Du kan med fordel orientere om den registrere­des/klientens rettigheder på din hjemmeside i en rubrik med navn ”Privatlivspolitik”. Du kan google ”privatlivspolitik” og blive inspireret ved at læse andres beskri­velser.

 

Læs mere om oplysningspligten i dette dokument fra Datatilsynet

Læs mere om de registreredes rettigheder i denne vejledning fra Datatilsynet

 

 

  1. Dokumentation
    Du skal dokumentere hvilke data, du/I opbevarer, hvad de anvendes til, og hvem de deles med. Det skal du gøre ved at udarbejde en såkaldt databehandlingsfortegnelse, som du kan have liggende på din computer. Den skal du kunne fremvise, hvis Datatilsynet beder om det. Du skal lave en databehandlerfortegnelse for hvert område i din virk­somhed, hvor du behandler persondata, fx i forhold til klienter (at udbyde psykoterapi), administration, mar­kedsføring og personaleadministration

Læs mere om fortegnelsen

Se et vejledende eksempel på en databehandlingsfortegnelse her 

Hent vejledningen som word-dokument her

 

  1. Databehandleraftale

Du skal sikre, at der foreligger databehandleraftaler mellem dig og dit/jeres systemhus og øvrige databehandlere. Dette er relevant, hvis du har entreret med en virksomhed om, at denne laver din hjemmeside eller dine klientbookninger. Det er også relevant, hvis en virksomhed leverer dit øko­nomisystem, eller hvis fx Dataløn sørger for dine lønudbetalinger. Oftest vil leverandøren sende dig sin databehandleraftale. Læs den grundigt igennem for at sikre dig, at den ikke indeholder klausuler, som ikke er nødvendige

Læs mere om databehandleraftaler

 

 

  1. Beskyttelse af data

Du skal sikre, at der er foretaget passende tekniske og organisatoriske sikkerhedsforanstaltninger til beskyttelse af data i din klinik. Du kan med fordel lave en såkaldt risikovurdering og på den bag­grund vurdere, hvilke sikkerhedsforanstaltninger, der er passende for din virksomhed. Hvis du for eksempel har papirnoter om dine klienter liggende, skal du overveje, hvordan du opbevarer dem sikkert og forsvarligt i klinikken

Læs mere om datasikkerhed

 

 

  1. Skærpede sikkerhedskrav ved personfølsomme oplysninger

Der er tale om personfølsomme oplysninger, når en klient deler personlige helbredsmæssige informationer med en psykoterapeut. Ansvaret for, at personfølsomme data ikke kommer i uvedkom­mendes kendskab, ligger hos den dataansvarlige, dvs. i dette tilfælde psykoterapeuten

Ansvaret kan ikke samtykkes væk af den, der er i behandling. Det skal derfor sikres, at dine klientaftaler eksempelvis ikke kan læses ud af din kalender. Har du en elektronisk kalender på din smartphone, iPad eller lig­nende, skal du derfor sikre dig, at f.eks. synkronisering ikke sker til en usikret internetserver, men kun til en sikret internetserver eller sikret computer med adgangskode

Du kan sikre data på din din computer ved at bruge BITLOCKER, FILEVAULT (apple) eller VeraCrypt (gratis, OpenSource). Det vil gøre, at data er det som hedder krypterede, og ikke kan læses af andre. Hvis din computer bliver stjålet, vil tyven så ikke kunne få adgang til data. Du kan have en egen server, som er sikret. Ellers skal du have databehandleraftaler hele vejen ned til den sidste i databehandlerkæden, som kan dokumentere sikkerheden

Hvis du som psykoterapeut benytter dig af internetbaseret terapi, skal du sikre dig en internetbaseret løsning, der garanterer sikre forbindelser. Læs mere om Skype og Facetime nedenfor

Sikring af personfølsomme oplysninger

 

Ansvaret for, at personfølsomme data ikke kommer i uvedkommendes kendskab ligger hos den dataansvarlige, dvs. psykoterapeuten. Du kan ikke slippe for dette ansvar ved at få et samtykke fra klienten.

 

Mails

Vi anbefaler, at du bruger en sikker mailforbindelse. Hvis du sender oplysnin­ger med e-mail over det åbne internet skal der bruges sikker e-mail for at sikre persondata. Der kan være tale om krypterede mails, hvor du fx bruger PROTON-mailsystemet. Se mere her: https://pro­tonmail.com/. Du anbefales også at bruge en VPN-forbindelse, som er sikker. Læs mere om VPN: https://vpninfo.dk/

Når en klient kontakter dig via mail, kan du ikke være sikker på, om forbindelsen er krypteret. Ved besvarelse skal du derfor skrive en ny krypteret mail fra din egen sikre e-mailadresse som svar. Derfor skal du altså ikke svare direkte på den oprindelige mail fra klienten.

Det anbefales desuden, at du minder klienten om ikke at sende personfølsomme oplysninger til dig via en ikke-krypteret e-mail.

 

Hjemmesider

Vi anbefaler, at personoplysninger på hjemmesider bliver krypteret. Vi skal her henvise til Datatilsynets vejledning

 

MobilePay

Det er bankens ansvar at sikre, at bankoplysninger behandles fortroligt, og det er derfor ikke noget problem, at klienter betaler via bankoverførsel eller MobilePay.

 

 

Klientkalender

Du bør sikre, at det ikke ud fra din kalender på din telefon kan ses, hvem der har bestilt tid hos dig. Har du en elektronisk kalender på din smartphone, iPad eller lignende, skal du derfor sikre dig, at f.eks. synkronisering ikke sker til en usikret internetserver, men kun til en sikret internetserver eller sikret computer.

En måde at holde kalender på er ved at skrive klientens initialer, listenummer eller lignende i din kalender, og så have en liste med faktiske navne liggende et sikkert sted, eksempelvis lokalt på en computer, som kun du har adgang til.

 

Smartphones – både til arbejde og privat

Vi anbefaler, at du har en privat telefon til private ting og en arbejdstelefon. Problemet med smartphones er, at mange apps beder om at få adgang til data på telefonen, hvilket gør, at eksterne aktører kan få fat i de data, der måtte være på telefonen. Til privat brug vil du derfor typisk have flere apps, der kan få adgang til de følsomme oplysninger, som ligger fra dit arbejde.

Husk at hvis du sikkerhedskopierer, skal du gøre det fra en sikret computer eller server. Du må f.eks. altså ikke gemme i ”cloud’en”.