Privatlivspolitik

Persondataloven

Den 25.05.2018 blev lov om beskyttelse af persondata i Europa skærpet.

Jeg har – som behandler – tavshedspligt og journalføringspligt, hvilket vil sige, at jeg opbevarer personfølsomme oplysninger. Jeg benytter mig af et booking-, journal- og regnskabsprogram, Cbit, hvor alt er under én databehandler og hvor alt opbevares og håndteres på sikker og krypteret vis.

Da det er lovpligtigt og nødvendigt for behandlingen, at jeg fører journal og derved får personfølsomme oplysninger, vil der i booking programmet og i klinikken være en samtykke erklæring til gennemlæsning og godkendelse.

Dette samtykke kan til enhver tid nemt trækkes tilbage via log in til bookingprogrammet eller ved at kontakte mig.

For yderligere information henvises til persondataloven eller orientering og samtykke erklæringen i bookingprogrammet.

Behandling af personoplysninger i virksomheden Grønfeldt Akupunktur

Udarbejdet på baggrund af skriftligt materiale (© Olejann Malchau) vedrørende Persondataforordningen, samt efter seminar forestået af Thorsten Kranz fra advokatfirmaet Bech-Bruun.

Stilles til rådighed for medlemmerne i RABforum og SundhedsRådet.

Indholdsfortegnelse

1 Lovgivningens rammer – teori

1.1 Baggrund

1.1.1 Persondataforordning

1.1.2 Tilsluttende dansk lovgivning

1.2 Krav

1.3 Ansvar

1.3.1 Ansvar for data

1.3.2 Ansvar for databehandlingen

1.3.3 Samtykkeerklæring

1.4 Videregivelse

1.4.1 Aftale om databehandlingen

1.4.2 Lovreguleret videregivelse

1.4.3 Back-up og ”cloud”

1.5 Opbevaring af personlige oplysninger

1.6 Dokumentationskrav

1.6.1 Behandlingen af personoplysninger skal dokumenteres

1.6.2 Risikoanalyse

2 Sådan gør vi – praksis hos Grønfeldt Akupunktur

2.1 Behandling af personoplysninger

2.1.1 Typer af personoplysninger

2.1.2 Samtykkeerklæring

2.2 Ansvaret for personoplysningerne

2.2.1 Dataansvarlig

2.2.2 Databehandler

2.3 Videregivelse af personoplysninger

2.4 Opbevaring af personoplysninger

2.5 Dokumentation

2.5.1 Den dataansvarlige

2.5.3 Formålet med behandlingen af personoplysninger

2.5.4 Beskrivelse af kategorier af anvendte personoplysninger

2.5.5 Tidsfrister for sletning

Samtykkeerklæring

Krav til Databehandleraftale

De officielle GDPR definitioner:

Dataansvarlig: ”En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastsat i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret.”

Databehandler: ”En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne.”

Lovgivningens rammer – teorien

Fortalen til Jyske Lov fra år 1241, som kong Valdemar gav, og Danerne vedtog, lyder således: ”Med lov skal land bygges”.

Og denne sætning gælder fortsat, således at vi som borgere i Danmark, har pligt til at følge landets lovgivning. Derfor skal personlige oplysninger behandles og anvendes på en lovlig, rimelig og gennemsigtig måde.

1.1 Baggrund

Baggrunden for dette resume af lovgivningens rammer for behandling af personoplysninger tager udgangspunkt i

EU’s Persondataforordning (GDPR)
Tilsluttende dansk lovgivning.

Formålet med lovgivningen er at sikre samtlige borgere i såvel EU som i Danmark en privatlivsbeskyttelse, således at der sikres arbejdsgange, der beskytter oplysningerne om den enkelte person.

1.2 Krav til behandling af personoplysninger

Forudsætningen for indhentning og opbevaring af personoplysninger er:

  • at de er nødvendige
  • de er rigtige og ajourførte
  • de er tilgængelige for den person, de vedrører
  • de kan slettes
  • der foreligger en samtykkeerklæring, kontrakt eller juridisk forpligtigelse.

Enhver håndtering af personlige oplysninger er behandling.

Der er to typer af personoplysninger, som angivet i eksemplerne nedenfor:
Almindelige oplysninger

Følsomme oplysninger

Navn

Adresse

Telefonnummer

Fødselsdato

e-mailadresse

Familieforhold

Sociale problemer

Stilling

Helbredsmæssige eller seksuelle forhold

Fagforeningsoplysninger

CPR nr. (DK)

Politisk/religiøs overbevisning

Genetiske eller biometriske data

For at sikre, at en person ved, at behandleren opbevarer personlige data om den pågældende, skal der foreligge en samtykkeerklæring vedrørende den konkrete behandling. Denne kan ifølge dansk lovgivning være enten mundtlig eller skriftlig.

Afgivelse af en samtykkeerklæring skal være frivillig (uden pres eller tvang), specifik (knyttet til en konkret anvendelse) og informeret (hvad samtykket gives til) og i særlige tilfælde utvetydigt.

Formålet er at sikre, at de oplysninger, den dataansvarlige ønsker at få oplyst, kun er de nødvendige, at den dataansvarlige ved, at der er forskel på anvendelsen af oplysningerne og at den dataansvarlige ved, at ”ejeren” til konkrete personoplysninger alene er den person, som oplysningerne vedrører.

1.3 Ansvar

Der skelnes i Persondataforordningen imellem i hvert fald disse følgende hovedtyper af interessenter

den dataansvarlige
databehandleren, og
tredjemand

Alle udover den dataansvarlige og databehandleren er tredjemand.

Databehandleren er en fysisk eller juridisk person, der behandler personoplysninger på den dataansvarliges vegne. Der må udelukkende anvendes databehandlere, som kan stille garantier i form af ekspertise, pålidelighed og ressourcer.

Man kan outsource opgaven, men ikke ansvaret. Derfor skal der være en skriftlig databehandleraftale imellem den dataansvarlige og databehandleren.

Formålet er at fastlægge ansvaret for håndteringen af personlige oplysninger, således at den dataansvarlige er den, der indsamler og bruger de personlige data og databehandleren, der både kan være den dataansvarlige selv, eller f.eks. en ekstern udbyder af bookingsystemer, systemer til journalføring eller udbydere af hjemmesider o.l.

1.4 Videregivelse af data

1.4.1 aftale om databehandling

Videregivelsen skal principielt:

  • være i en legitim (”berettiget”) interesse
  • være baseret på en skriftlig aftale om ansvarsfordeling mm.
  • udvise varsomhed i forbindelse med sociale medier
    være godkendt i en samtykkeerklæring

1.4.2 lovreguleret videregivelse

For lovgivningsmæssige krav om videregivelse af personlige oplysninger, kan der foreligge andre krav.

1.4.3 Back-up og ”cloud”

Her skal udbyderen dokumentere en sikker adgang og opbevaring.

Formålet er at sikre, at personlige data ikke ”slippes fri” eller ”lækkes” overfor tredjemand.

1.5 Opbevaring af personlige oplysninger

Der stilles krav til opbevaring af personlige oplysninger, såvel vedrørende

en fysisk opbevaring, som
en elektronisk opbevaring

Formålet er, som nævnt under 1.1 at sikre en privatlivsbeskyttelse. Opbevaringen skal beskrives, jf. punkt 1.6.

1.6 Dokumentationskrav

Den dataansvarlige er ansvarlig for og skal kunne påvise, at principperne for behandlingen af personoplysninger overholdes.

Der er bl.a. følgende krav til dokumentationen, der skal foreligge skriftligt

Navn og kontaktinformation på den dataansvarlige
Formål med anvendelsen af personlige oplysninger
Beskrivelse af kategorier af personoplysninger
en generel angivelse af tidsfrister for sletning
En beskrivelse af tekniske og organisatoriske sikkerhedsforanstaltninger (risikovurdering)

Formålet er at kunne bevise at virksomheden har forstået og lever op til de retslige forpligtigelser, der er gældende i forbindelse med behandlingen af personoplysninger og at dette kan dokumenteres overfor myndighederne.

Sådan gør vi – praksis hos Grønfeldt Akupunktur

2.1 Behandlingen af personoplysninger

Den registrerede har altid ret til indsigt i egne data.

2.1.1 Typer af personoplysninger

I virksomheden Grønfeldt Akupunktur indhentes de nødvendige personlige oplysninger til at kunne identificere personen og til at kunne stille en diagnose forud for iværksættelse af en behandling.

2.1.2 Samtykkeerklæring

Der indhentes altid en skriftlig samtykkeerklæring.

Samtykkeerklæringen findes som bilag 1.

Behandlingen af ”Almindelige personoplysninger” kræver informeret samtykke (”mundtligt eller skriftligt indforstået”), mens behandlingen af ”Følsomme personoplysninger” kræver et udtrykkeligt samtykke (”frivilligt, specifikt og informeret viljestilkendegivelse”). ”Stiltiende” eller ”indirekte” samtykke er ikke gældende.

Personen har ret til at trække sit samtykke tilbage. I så fald slettes eller anonymiseres personens data.

Via min hjemmeside registreres anonymt cookies om folks færden på hjemmesiden, for at forbedre oplevelsen for brugeren.

2.2 Ansvar

2.2.1 Dataansvarlig

Den dataansvarlige er klinikkens indehaver.

2.2.2 Databehandler

Klinikken er en enkeltmandsvirksomhed, der anvender virksomheden Cbit som udbyder booking-, journalførings- og regnskabssystem til behandling og arkivering af personoplysninger og/eller bookingsystem til booking af tider i klinikken med tilhørende autogenereret bekræftelse til kunden. Databehandleren er derfor udbyderen, Cbit.

Der foreligger en skriftlig databehandleraftale imellem den dataansvarlige og udbydervirksomheden. Aftalen med udbydervirksomheden findes som bilag 2.

2.3 Videregivelse af personlige oplysninger

Personlige oplysninger videregives aldrig til 3. part, uden kundens udtrykkelige skriftlige samtykke, medmindre særlovgivning siger noget andet.

Personen har ret til at få udleveret de oplysninger, som personen selv har tilvejebragt, eller at få dem videresendt til en anden dataansvarlig i et almindeligt anvendt og maskinlæsbart format.

2.4 Opbevaring af personlige oplysninger

Klinikken er en enkeltmandsvirksomhed, der anvender virksomheden Cbit som udbyder booking-, journalførings- og regnskabssystem til behandling og arkivering af personoplysninger og/eller bookingsystem til booking af tider i klinikken med tilhørende autogenereret bekræftelse til kunden. Databehandleren er derfor udbyderen, Cbit.

Der foreligger en skriftlig databehandleraftale imellem den dataansvarlige og udbydervirksomheden. Aftalen med udbydervirksomheden findes som bilag 2.

2.5 Dokumentation

2.5.1 Den dataansvarlige

Virksomheden er Grønfeldt Akupunktur, CVR nr. 33407890.

Den dataansvarlige er:

Anne-Sophie Grønfeldt

Fredericiagade 41

8700 Horsens

Tlf. 40 73 74 40

kontakt@g-akupunktur.dk

2.5.2 Databehandleren

Databehandleren er:

Cbit

Bülowsvej 3

1870 Frederiksberg C

Denmark

Tlf. 35 24 08 10

info@cbit.dk

CVR: 20243244

2.5.3 Formålet med behandlingen af personlige oplysninger

Formålet er – ud fra kundens egne helbredsoplysninger og andre konkrete personoplysninger – at kunne identificere, diagnosticere og behandle kunden med Akupunktur, cupping, massage, selvudviklende råd mm. samt at kunne dokumentere den gennemførte behandling.

2.5.4 Beskrivelse af kategorier af anvendte personoplysninger

Følgende personlige oplysninger efterspørges:

  • Almindelige oplysninger
  • Følsomme oplysninger
  • Navn
  • Alder
  • Stilling/arbejdsvilkår
  • Adresse
  • Telefonnummer
  • E-mailadresse
  • Årsag til henvendelse fysisk og psykisk
  • Medlemskab af sygeforsikringen
  • CPR nr.
  • Sygehistorie
  • Medicin
  • Se evt. standard journal

2.5.5 Tidsfrister for sletning

Oplysninger, hvor sidste aktive dato er mere end 5 år gammel, destrueres på betryggende måde.

Er der forskningsmæssige hensyn, hvor oplysningerne indgår i anonymiseret form, eller er der verserende sager af juridisk karakter, kan oplysningerne opbevares i længere tid.

2.5.6 Tekniske og organisatoriske sikkerhedsforanstaltninger (risikovurdering)
Sikkerhedsforanstaltning Risikovurdering*)

Adgangsforhold

Opbevaring

Sikret datalinje

Svar på henvendelser pr. e-mail og aftaler om konsultation

Korrespondance på ”nettet” – der er password til pc’er

Kommunikation med databehandler (hvis aktuelt)

Middel

Middel

Lav

Middel

Middel

Middel

*) Risikovurderingen kan være Lav, Middel eller Høj

Ved brud på sikkerheden anmeldes dette til Datatilsynet senest 72 timer efter bruddet.

Her oplyses det, hvad konsekvenserne af sikkerhedsbruddet er samt oplyses, hvad der er gjort for at stoppe sikkerhedsbruddet, og – hvor det er muligt – underrettes de berørte personer.

Samtykkeerklæring, bilag 1

Som det fremgår af oplysningerne i vores persondatapolitik behandler

Grønfeldt Akupunktur ved Anne-Sophie Grønfeldt

Fredericiagade 41

8700 Horsens

visse personoplysninger om dig. Grundlaget for vores behandling af dine oplysninger kan blandt andet være et samtykke som du har afgivet ved afkrydsning nedenfor.

Du kan på hvilket som helst tidspunkt trække dit samtykke tilbage. Du trækker samtykket tilbage på vores hjemmeside eller ved at rette henvendelse til os. I det omfang vores behandling af dine oplysninger alene er baseret på samtykke sletter vi dine oplysninger når du trækker samtykket tilbage.
Anvendelse af data

Jeg giver hermed mit udtrykkelige samtykke til, at

Grønfeldt Akupunktur

Ved Anne-Sophie Grønfeldt

Fredericigade 41

8700 Horsens

opbevarer nødvendige personlige oplysninger om mig, for at jeg kan modtage den behandling, som diagnosticeres til at være nødvendig i forbindelse med min henvendelse.

Jeg bekræfter samtidig, at jeg er blevet informeret om, at:

  • samtykkeerklæringen kun er gyldig, fordi jeg har afgivet den frivilligt
  • relevant info, med henblik på udbetaling, sendes til sygeforsikring Danmark, hvis dette haves
  • oplysningerne udelukkende anvendes i forbindelse med det, min henvendelse vedrører
  • oplysningerne udelukkende anvendes i forbindelse med den behandling, der iværksættes
  • jeg til enhver tid har ret til indsigt i de opbevarede oplysninger
  • mine personlige oplysninger slettes senest 5 år efter sidste anvendelse
  • jeg kan tilbagekalde samtykkeerklæringen og at mine personlige oplysninger derefter slettes eller anonymiseres

Oplysninger om dine rettigheder mv.

Vi henviser til vores persondatapolitik

Bilag 2, indhold i databehandleraftalen

Denne Databehandleraftale (“DBA”) regulerer CBIT A/S behandling af personoplysninger som “Databehandler” på vegne af dennes kunde som ”den Dataansvarlige”.

Denne DBA er bindende for Databehandleren og den Dataansvarlige når parterne har underskrevet den eller digitalt accepteret den.

GENSTAND, FORMÅL OG KARAKTER AF BEHANDLING, KATEGORIER AF PERSONOPLYSNINGER OG KATEGORIER AF REGISTREREDE

1.1. Karakteren af, genstanden for og formålet med Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige, oplysninger om typer af personoplysninger som behandles og kategorier af registrerede fremgår af Bilag 1 til denne DBA.

VARIGHED AF BEHANDLINGEN

2.1 Bestemmelserne i denne DBA finder anvendelse i perioden mens Databehandleren behandler Personoplysninger på vegne af den Dataansvarlige.

2.2 På den Dataansvarliges anmodning samt ved denne DBAs ophør eller udløb skal Databehandleren standse sine behandlingsaktiviteter og, efter den Dataansvarliges valg, slette eller tilbagelevere alle personoplysninger til den Dataansvarlige samt slette eksisterende kopier heraf, medmindre gældende databeskyttelsesret kræver, at personoplysningerne opbevares.

BEHANDLING AF PERSONOPLYSNINGER – DATABEHANDLERENS FORPLIGTELSER

3.1 Databehandleren har gennemført passende tekniske og organisatoriske foranstaltninger på en sådan måde, at Databehandlerens behandling af personoplysninger i henhold til denne DBA opfylder kravene i gældende databeskyttelsesret, særligt Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 (“Persondataforordningen”), og sikrer beskyttelse af den registreredes rettigheder.

3.2 Uden for de tilfælde, hvor gældende databeskyttelsesret pålægger Databehandleren at behandle personoplysninger, forpligter Databehandleren sig til kun at behandle personoplysninger efter og i overensstemmelse med den Dataansvarliges løbende og skriftligt dokumenterede instrukser.

Hvor gældende databeskyttelsesret pålægger Databehandleren at behandle personoplysninger, skal Databehandleren, i det omfang loven tillader det, underrette den Dataansvarlige om dette retlige krav forinden den pågældende behandling finder sted.

Databehandleren skal øjeblikkeligt underrette den Dataansvarlige, såfremt Databehandleren ikke har modtaget instruks i hvorledes Databehandleren i en konkret situation skal behandle personoplysninger eller hvis afgivne instrukser krænker gældende databeskyttelsesret.

3.3 Databehandleren skal under hensyntagen til behandlingens karakter bistå den Dataansvarlige med at opfylde dennes forpligtelse til at besvare anmodninger vedrørende udøvelse af den registreredes rettigheder gennem så passende tekniske og organisatoriske foranstaltninger som muligt henset til behandlingens karakter.

Den registreredes rettigheder omfatter rettigheder til at anmode om oplysninger samt om berigtigelse, blokering eller sletning af personoplysninger.

3.4 Databehandleren skal bistå den Dataansvarlige med at opfylde specifikke forpligtelser i henhold til gældende databeskyttelsesret under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren.

Specifikke forpligtelser følger af Persondataforordningens artikel 32 vedrørende behandlingssikkerhed, artikel 33-34 vedrørende underretning om brud på persondatasikkerheden og artikel 35-36 om konsekvensanalyse vedrørende databeskyttelse og forudgående høringer.

3.5 Databehandleren forpligter sig til at stille alle oplysninger og al assistance, som er nødvendig for at dokumentere at forpligtelserne i denne DBA overholdes, til rådighed for den Dataansvarlige, samt til at give mulighed for og bidrage til revisioner, herunder inspektioner, der foretages på stedet af den Dataansvarlige eller af en revisor, som er bemyndiget af den Dataansvarlige.

UNDERKONTRAHERENDE DATABEHANDLERE

4.1 Den Dataansvarlige har tiltrådt, at Databehandleren kan antage de i Bilag 1 oplistede selskaber som underkontraherende databehandlere.

Databehandleren skal underrette den Dataansvarlige om enhver ændring, som Databehandleren påtænker at foretage vedrørende tilføjelse eller udskiftning af underkontraherende databehandlere, og den Dataansvarlige har ret til at gøre indsigelse mod sådanne ændringer.

4.2 Databehandleren skal sikre og på den Dataansvarliges anmodning dokumentere, at underkontraherende databehandlere er underlagt skriftlige aftaler som pålægger dem at overholde de samme databehandlingsforpligtelser, som dem der er fastsat i denne DBA. Databehandleren er over for den Dataansvarlige fuldt ansvarlig for opfyldelsen af den underkontraherende databehandlers forpligtelser.

4.3 Den Dataansvarlige er berettiget til at anmode Databehandleren om at foretage en revision af den underkontraherende databehandler eller om at dokumentere, at en sådan revision har fundet sted, eller om – hvor det er muligt – at indhente eller assistere den Dataansvarlige med at indhente en revisionsrapport fra en tredjepart vedrørende den underkontraherende databehandlers behandlingsaktiviteter for at sikre, at disse er i overensstemmelse med gældende databeskyttelsesret.

OVERFØRSEL TIL TREDJELANDE

5.1 Den aftalte forpligtelse til at behandle personoplysninger må udelukkende udføres i et land som er medlem af den Europiske Union (EU) eller i et land som er medlem af det Europæiske Økonomiske Samarbejdsområde (EØS).

Enhver overførsel af personoplysninger til et land som ikke er medlem af enten EU eller EØS kræver forudgående skriftligt samtykke fra den Dataansvarlige og må kun finde sted hvis de specifikke betingelser i gældende databeskyttelsesret, herunder Persondataforordningens artikel 44-50 er opfyldt.

5.2 Den Dataansvarlige kan til enhver tid tilbagekalde et samtykke til overførsel til tredjelande, som er givet efter punkt 5.1 i denne DBA.

I en sådan situation skal Databehandleren øjeblikkeligt standse overførslen og på den Dataansvarliges anmodning bekræfte dette skriftligt.

INFORMATIONSSIKKERHED OG FORTROLIGHED

6.1 Databehandleren skal opretholde et tilstrækkeligt sikkerhedsniveau for personoplysningerne, herunder beskytte personoplysningerne mod tilintetgørelse, ændring, ulovlig videregivelse eller ulovlig adgang.

Personoplysningerne skal også beskyttes mod alle andre former for retsstridig behandling.

6.2 Databehandleren skal for at overholde gældende databeskyttelsesret udarbejde en beskrivelse af Databehandlerens tekniske, organisatoriske og fysiske foranstaltninger og holde denne opdateret.

6.3 Databehandleren forpligter sig til ikke uden den Dataansvarliges forudgående skriftlige samtykke at videregive eller på anden vis stille personoplysninger som behandles i henhold til denne DBA til rådighed for tredjeparter, med undtagelse af underkontraherende databehandlere, som er antaget i overensstemmelse med denne DBA.

6.4 Databehandleren skal sikre, at alle personer som er involverede i behandlingen af personoplysninger har forpligtet sig til fortrolighed eller er underlagt lovbestemt tavshedspligt.

Bilag 1 til  Databehandleraftalen

Den Dataansvarlige

Grønfeldt Akupunktur

Fredericiagade 41

8700 Horsens

CVR 33407890

Behandlingens genstand og formål

Databehandlerens levering af følgende tjenester eller opgaver til den Dataansvarlige:

At den dataansvarlige kan anvende CBITs system, som ejes og administreres af databehandleren til at indsamle og behandle oplysninger om den dataansvarliges kunder.

Typer af personoplysninger som behandles

Følgende Personoplysninger

behandles:

Navn, e-mailadresse, telefonnummer, adresse, cpr-nummer, betalingsoplysninger, med-lemsnummer, type af medlemskab, type af behandling, købshistorik, kasseboner, fremmøde i fitnesscenteret og tilmelding til konkrete fitnesshold, Ægteskablig status, helbredsoplysninger, sygdomshistorik, religion, race.

Kategorier af registrerede omfatter: • Personer som modtager behandling eller har købt produkter hos den dataansvarlige.

Behandlingsaktiviteter. • At databehandleren stiller systemet CBIT til rådighed for den dataansvarlige og herigennem opbevarer personoplysninger om den dataansvarliges kunder på virksomhedens servere.

Liste over underkontraherende databehandlere

  • Databoks (backup af klientdata)
  • Microsoft (backup af klientdata)
  • Cool sms (Sender vores sms’er)
  • Net Tel (Router vores RS opkald)
  • Livechat (chatprogram)
  • Proløn (Lønsystem)
  • Economic (økonomisystem)
  • Zendesk (CRM system)

Jurisdiktion Danmark