Persondata på klinikken

Dato: 30. maj 2023

Artiklen giver et overblik over, hvordan du som fysioterapeut kan komme i gang med og få styr på GDPR.

Hvilke personoplysninger behandler klinikken?

Da ”personoplysninger” juridisk fortolkes meget bredt, vil fysioterapiklinikker altid behandle personoplysninger. Der findes dog forskellige kategorier af personoplysninger, og første trin i GDPR er at få et overblik over disse kategorier.

Forsimplet kan man sige, at følgende oplysninger er ”følsomme oplysninger”:

• Helbredsoplysninger
• Politisk overbevisning
• Personnummer
• Oplysninger om strafbare forhold
• Seksuel orientering
• Race og etnisk oprindelse
• Religiøs eller filosofisk overbevisning
• Tilhørsforhold til fagforening
• Genetisk data
• Biometrisk data med henblik på entydig identifikation

Øvrige oplysninger er almindelige personoplysninger.

Grundlag for behandling af oplysningerne

En af grundstenene i GDPR er, at man kun må behandle personoplysninger, der er nødvendige. Klinikken skal derfor have et sagligt og legitimt formål med at behandle personoplysningerne, og må ikke have oplysninger liggende, fordi de er ”nice-to-have”. Klinikken skal også kunne begrunde det saglige og legitime formål.

Ved indsamling og behandling af følsomme oplysninger (oplistet ovenfor), kræves der et samtykke fra den registrerede, og klinikken skal efterfølgende kunne dokumenter/fremvise samtykket. Et samtykke kan gives indirekte ved, at patienten aktivt udleverer f.eks. helbredsoplysninger/giver adgang til helbredsoplysningerne til det konkrete formål. Her vurderes den aktive handling (udleveringen) at udgøre et samtykke. Det gælder også ved udlevering af straffeattester til arbejdsgivere.

Behandlingen af andre oplysninger kræver som udgangspunkt ikke samtykke, men kan behandles med henblik på f.eks. opfyldelse af en aftale eller efter en interesseafvejning. Der skal dog altid være et sagligt og legitimt formål med behandlingen.

Oplysningsforpligtigelse

Første gang man behandler en persons oplysninger, er klinikken forpligtiget til skriftligt at oplyse personen om formålet med behandlingen og personens rettigheder. Det sker typisk via de såkaldte ”persondatapolitikker”, som de fleste virksomheder efterhånden har gjort tilgængelige via deres hjemmesider.

En offentliggørelse på hjemmesiden er dog ikke nok, da personen skal have en konkret henvisning til oplysningerne. Klinikken kan håndtere dette ved f.eks. at indsætte et link til hjemmesiden i en bekræftelsesmail til patienten.

Opbevaring af og adgang til personoplysninger

Når du har fået overblik over, hvilke personoplysninger klinikken ligger inde med, skal du finde ud af, hvor de er gemt/placeret, og hvem der har adgang til dem. Er de f.eks. placeret på en intern eller ekstern server eller i mails, og har alle virksomhedens medarbejdere og/eller indlejere adgang, eller er det kun behandlere m.fl., som har adgang til helbredsoplysningerne.

Det er kun personer med en saglig og legitim interesse, der må have adgang til oplysningerne. Desto mere private/følsomme oplysningerne er, desto færre bør have adgang. De fleste IT-systemer indeholder derfor adgangsbegrænsninger i forhold til, hvem der har adgang til hvilke oplysninger.

Klinikken er forpligtet til at slette personoplysninger, når klinikken ikke længere skal bruge oplysningerne. Det kan eventuelt håndteres ved en automatisk sletteprocedure i IT-systemet.

Det er helt sædvanligt og ok, at fysioterapiklinikker har underleverandører, som har adgang til og behandler de personoplysninger, som klinikken modtager fra kunder og medarbejdere m.v. Det kan for eksempel være klinikkens hosting-udbyder. Underleverandørerne kaldes databehandlere, og klinikken (som er dataansvarlig), skal have en skriftlig aftale med underleverandøren. Det kaldes en databehandleraftale. Samtidig skal klinikken også over for patienten oplyse, hvem de deler deres informationer med. Det kan gøres i ovennævnte persondatapolitik.

Dokumentation

Datatilsynet ligger stor vægt på, at klinikken kan dokumentere, at den overholder reglerne. Det sker typisk i en såkaldt fortegnelse, hvor klinikken på skrift beskriver de tiltag m.v., som den har gennemført, jf. punkterne ovenfor.

Det kan være en god ide at udarbejde flere forskellige fortegnelser, alt efter hvilke oplysninger det drejer sig om. Eksempelvis én for personaleoplysninger og én for kunde- og leverandøroplysninger.

Fortegnelsen skal også indeholde beskrivelse af, hvad klinikken gør, hvis der opstår brud på datasikkerheden.

Vedligeholdelse

Klinikken skal også kunne dokumentere, at den efterlever reglerne, herunder de procedurer, som klinikken selv har angivet i fortegnelsen. Det kan f.eks. ske ved årlige opfølgninger og evalueringer.

Dokumenter

Typisk vil en klinik have behov for at udarbejde følgende dokumenter:

• Persondatapolitik (oplysninger til patienterne)
• Persondatapolitik (oplysning til medarbejdere og indlejere)
• Risikovurdering
• Fortegnelse (dokument, som beskriver, hvordan klinikken håndterer GDPR)
• Standard databehandleraftale (aftale med underleverandører)
• IT-politik (retningslinjer for medarbejderes håndtering af IT-sikkerhed)
• Bestemmelse i eller tillæg til ansættelses- og indlejeraftaler, hvis klinikken offentliggør billeder med medarbejdere