Dokumentation for behandling af persondata

billede_PLO

Dokumentation for behandling af personoplysninger efter persondataforordningens art. 30

For dataansvarlige

 

En virksomhed har pligt til at udarbejde og løbende opdatere dokumentation for alle virksomhedens databehandlingsaktiviteter. Dokumentationen skal foreligge skriftligt og elektronisk, så den på anmodning kan udleveres til Datatilsynet. Dokumentationen skal ikke indsendes til Datatilsynet, med mindre tilsynet i en konkret sag anmoder om det.

 

Bruun & Hjejle Advokatpartnerselskab og PLO påtager sig intet ansvar for medlemmernes anvendelse af dette materiale og kan ikke gøres ansvarlige for senere regelændringer, der måtte få betydning for indholdet og behov for opdatering deraf. Medlemmernes tilegnelse og anvendelse af materialet sker på medlemmernes eget ansvar og Bruun & Hjejle Advokatpartnerselskab og PLO kan således ikke gøres ansvarlig for fejl og mangler i indholdet der måtte opstå som følge af medlemmernes anvendelse af materialet. Bruun & Hjejle rådgiver ikke om IT eller sikkerhed og medlemmerne opfordres derfor til at søge særskilt rådgivning herom.

 

Nedenstående standarddokumentation vedrører primært patienternes helbredsoplysninger. Lægen er imidlertid også dataansvarlig i forhold til sine medarbejdere, hvorfor fortegnelsens sidste linjer opfylder fortegnelseskravene i relation til ansatte. Praktiserende Lægers Arbejdsgiverorganisation har i øvrigt udarbejdet vejledningsmateriale om lægens rolle som dataansvarlig arbejdsgiver.

 

I dokumentet er der endvidere gjort plads til at klinikken selv kan udfylde flere linjer, hvis der deles data med andre modtagere end dem, der er nævnt i denne standarddokumentation

 

 

 

Den dataansvarlige
Navn Lægehuset Gunhilds Plads
CVR-nummer 12329032
Adresse Gunhilds Plads 6, 1. tv. , 7100 Vejle
Telefonnummer 75 82 10 66
E-mail adresse Benyt E-portalen på hjemmesiden
Hjemmeside Www.gunhildsplads.dk

 

Behandlingen af personoplysninger
Behandlingens betegnelse Indsamling og videregivelse af helbredsoplysninger om patienter
Formålene med behandlingen

Hovedformålet med behandlingen af helbredsoplysninger er at muliggøre behandling af patienter. For at muliggøre patientbehandlingen, er det nødvendigt at der videregives helbredsoplysninger til forskellige aktører i sundhedssektoren, herunder til afregningsformål.

 

 

 

Kategorier af registrerede personer og kategorierne af personoplysninger

Kategori:

Patienter

Særlige kategorier af personoplysninger (sæt kryds i boksene)

☒  Race eller etnisk oprindelse

☐  Politisk overbevisning

☐  Religiøs overbevisning

☐  Filosofisk overbevisning

☐  Fagforeningsmæssigt tilhørsforhold

☒  Almindelige kategorier af personoplysninger: Stamdata, dvs. patientens navn, personnummer, e-mail og hjemmeadresse samt telefonnummer.

Modtagere af personoplysningerne

Af nedenstående fremgår en samlet liste over modtagere (både selvstændigt dataansvarlige og databehandlere), som personoplysningerne overlades eller videregives til, systemer, typer af oplysninger og hjemmel

Formål Modtager System Type oplysninger
Patientbehandling

Lægens leverandør af elektronisk journalsystem

Compugroup Medical

 

Journalsystem

 

XMO

Helbredsoplysninger

 

PLSP A/S Praksisleverandørernes serviceplatform Helbredsoplysninger
MultiMED Henvisningshotellet Henvisninger

Danish Medical Data Distribution

(DMDD)

WebReq & WebPatient Bestilling af laboratorieprøver & opbevaring af borgerens spørgeskemasvar
DAK-E Sundhedsmappen (Digitale Forløbsplaner) Helbredsoplysninger
Offentlige myndigheder (regioner, kommuner) Sundhedsdatanet og VANS (MedCom-beskeder) Helbredsoplysninger
Andre sundhedsaktører (speciallæger, privathospitaler mv) Sundhedsdatanet og VANS (MedCom-beskeder) Helbredsoplysninger
Sundhedsdatastyrelsen Det Fælles Medicinkort Medicinoplysninger
Sundhedsdatastyrelsen Det Danske Vaccinationsregister Vaccinationer
Patienten selv i forbindelse med aktindsigt i helbredsoplysninger Lægens journalsystem Helbredsoplysninger
[Indsæt evt. andre modtagere af personfølsomme oplysninger til patientbehandling] - -
[Indsæt evt. andre modtagere af personfølsomme oplysninger til patientbehandling] - -

Kvalitetsdatabaser/

kontrol og udvikling

Kliniske kvalitetsdatabaser (RKKP) Eksempel: Dansk Voksen Diabetes Database Helbredsoplysninger
- - -

 

- -
Administration og kvalitetsudvikling Sundhedsdatastyrelsen Statens elektroniske indberetningssystem (SEI) Oplysninger om dødsfald
Sundhedsdatastyrelsen DPSD2 Utilsigtede hændelser
Styrelsen for Patientsikkerhed (STPS) STPS indberetningsløsning

Helbredsoplysninger

(ifm. praksislukning)

Styrelsen for Patientsikkerhed (STPS) STPS indberetningsløsning

Helbredsoplysninger

(ifm. mulig inddragelse af kørekort)

Styrelsen for Patientsikkerhed/Patienterstatningen Patienterstatningens indberetningsløsning

Helbredsoplysninger

 

Regioner Sygesikrings-og afregningssystemet Ydelsesoplysninger
Forsikring og pension DMDD (It-leverandør) Helbredsoplysninger og attester
Politi og domstole N/A Helbredsoplysninger
Sociale myndigheder (fx kommune og Udbetaling Danmark) EG Kommuneinformation A/S Helbredsoplysninger og attester

Arbejdstilsynet og Arbejdsskadestyrelsen

 

Virk.dk (e-blanket) Helbredsoplysninger

Lægemiddelstyrelsen

 

Lægemiddelstyrelsens e-blanket Bivirkninger ved medicin og vaccinationer
  - -
  - -
Netværkskommunikation MedCom Sundhedsdatanet Helbredsoplysninger
VANS-leverandører VANS-net Helbredsoplysninger
[Har du en anden leverandør af klinikkens netværksløsning end dit systemhus, fx TDC-erhverv? – Indsæt oplysninger her] - Alle kategorier af personoplysninger
Klinikadministration

Lægens leverandør af lønsystem

Revisor Kurt Holm Hansen

 

Lønsystem Oplysninger om løn

Lægens leverandør af system til klinikadministration

Compugroup Medical

 

Administrationssystem

XMO

HR-oplysninger inkl. CPR-nummer
Danske Regioner Praksis- og afregningsportalen (sundhed.dk) Praksisdeklarationer og tilmelding til yderregisteret
SKAT MitVirk Skatteoplysninger
Kommunen MitVirk/NemRefusion Ansøgning om sygedagpenge, barsel mv.
NETS

NETS NemID portal

(Medarbejdersignatur)

Personoplysning
Revisor N/A Oplysninger om HR, løn og skat
 

 

NOTE1: Hvis du benytter systemer eller software-løsninger (fx cloud baseret office365), som overfører data til lande uden for EU, skal din dokumentation også indeholde oplysning herom. Tilføj i så fald en række nederst i ovenstående liste med oplysninger herom.

 

NOTE2: Kolonnen ”System” dækker over forskellige elektroniske systemer. I visse tilfælde, fx i relation til arbejdsgivere og forsikringsselskaber, kan kommunikation dog også foregå ved almindelig postforsendelse.

 

Sletning af personoplysninger
Forventede tidsfrister for sletning af forskellige kategorier af oplysninger

Helbredsoplysninger indeholdt i patientjournaler

 

 

 

Generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger
Sikkerhed

Klinikkens systemhus (og evt. andre databehandlere) har i en databehandleraftale forpligtet sig til at sikre, at der træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer uvedkommende til kendskab, misbruges eller i øvrigt behandles i strid med lovgivningen.

 

Kommunikation af personoplysninger skal ske over sikre forbindelser. Personoplysninger, der overføres eller opbevares uden for et lukket netværk kontrolleret af Databehandleren, skal beskyttes med kryptering.  Hvor det er passende og hensigtsmæssigt henset til oplysningernes karakter, skal oplysningerne desuden pseudonomiseres.

 

Adgangskontroller og –begrænsninger skal indføres i passende omfang. Fysisk materiale, der indeholder personoplysninger, opbevares aflåst.

 

Databehandleren skal sørge for løbende sikkerhedskopiering af personoplysningerne, hvis der er indgået aftale herom. Hvis systemhuset ikke foretager backup, skal der indgås aftale herom med en anden leverandør.  Kopierne skal opbevares adskilt og forsvarligt og på en måde som sikrer mulighed for at oplysningerne kan genskabes.

 

Databehandleren har som led i databehandleraftalen forpligtet sig til én gang årligt at afgive en erklæring til mig (den dataansvarlige), der dokumenterer, at databehandleren handler i overensstemmelse med gældende persondataret. Erklæringen baseres på ISAE 3402 eller tilsvarende. Erklæringen skal være underskrevet af en kvalificeret, uvildig instans, f.eks. databehandlerens revisor.