Behandling af dine personoplysninger – samtykke
Jeg giver hermed mit samtykke til at Tairo Klinik må indsamle og behandle mine personoplysninger. Personoplysninger omfatter følgende typer:
Oplysningerne opbevares elektronisk hos Terapeut Booking (www.terapeutbooking.dk).
Du kan læse Tairo Kliniks Persondatabehandlingspolitik her.
Tilbagetrækning af dit samtykke til behandling af dine personoplysninger
Du kan altid trække dit samtykke tilbage. Dette kan du gøre ved at kontakte Tairo Klinik på e-mail: kasper@tairoklinik.dk.
i virksomheden “Tairo Klinik”, cvr: 34814880
© Olejann Malchau
Udarbejdet på baggrund af skriftligt materiale vedrørende Persondataforordningen, samt efter seminar forestået af Thorsten Kranz fra advokatfirmaet Bech-Bruun.
Stilles til rådighed for medlemmerne i RABforum og SundhedsRådet.
Uden ansvar.
1. Lovgivningens rammer – teori
1.1 Baggrund
1.1.1 Persondataforordning
1.1.2 Tilsluttende dansk lovgivning
1.2 Krav
1.3 Ansvar
1.3.1 Ansvar for data
1.3.2 Ansvar for databehandlingen
1.3.3 Samtykkeerklæring
1.4 Videregivelse
1.4.1 Aftale om databehandlingen
1.4.2 Lovreguleret videregivelse
1.4.3 Back-up og ”cloud”
1.5 Opbevaring af personlige oplysninger
1.6 Dokumentationskrav
1.6.1 Behandlingen af personoplysninger skal dokumenteres
1.6.2 Risikoanalyse
2. Sådan gør vi – praksis hos Tairo Klinik
2.1 Behandling af personoplysninger
2.1.1 Typer af personoplysninger
2.1.2 Samtykkeerklæring
2.2 Ansvaret for personoplysningerne
2.2.1 Dataansvarlig
2.2.2 Databehandler
2.3 Videregivelse af personoplysninger
2.4 Opbevaring af personoplysninger
2.5 Dokumentation
2.5.1 Den dataansvarlige
2.5.2 Databehandleren
2.5.3 Formålet med behandlingen af personoplysninger
2.5.4 Beskrivelse af kategorier af anvendte personoplysninger
2.5.5 Tidsfrister for sletning
2.5.6 Tekniske og organisatoriske sikkerhedsforanstaltninger
Bilga 1: Samtykkeerklæring
Bilag 2: Databehandleraftale
De officielle GDPR definitioner:
Dataansvarlig: ”En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastsat i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret.”
Databehandler: ”En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne.”
§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§
Hold fast i begreberne (se de officielle definitioner nedenfor):
Den dataansvarlige
– er den, der modtager de personlige oplysninger fra en kunde/klient og som har den personlige kontakt.
Databehandleren
– er den, der behandler/opbevarer/har adgang til de personlige oplysninger.
Det er altid den dataansvarlige, der har det juridiske ansvar overfor den person, hvis data man modtager.
§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§
Fortalen til Jyske Lov fra år 1241, som kong Valdemar gav, og Danerne vedtog, lyder således: ”Med lov skal land bygges”.
Og denne sætning gælder fortsat, således at vi som borgere i Danmark, har pligt til at følge landets lovgivning. Derfor skal personlige oplysninger behandles og anvendes på en lovlig, rimelig og gennemsigtig måde.
Baggrunden for dette resume af lovgivningens rammer for behandling af personoplysninger tager udgangspunkt i
Formålet med lovgivningen er at sikre samtlige borgere i såvel EU som i Danmark en privatlivsbeskyttelse, således at der sikres arbejdsgange, der beskytter oplysningerne om den enkelte person.
Forudsætningen for indhentning og opbevaring af personoplysninger er, at
Enhver håndtering af personlige oplysninger er behandling.
Der er to typer af personoplysninger, som angivet i eksemplerne nedenfor:
Almindelige oplysningerFølsomme oplysningerNavn
Adresse
Telefonnummer
Fødselsdato
e-mailadresse
Familieforhold
Sociale problemer
Stilling
Helbredsmæssige eller seksuelle forhold
Fagforeningsoplysninger
CPR nr. (DK)
Politisk/religiøs overbevisning
Genetiske eller biometriske data
For at sikre, at en person ved, at behandleren opbevarer personlige data om den pågældende, skal der foreligge en samtykkeerklæring vedrørende den konkrete behandling. Denne kan ifølge dansk lovgivning være enten mundtlig eller skriftlig.
Afgivelse af en samtykkeerklæring skal være frivillig (uden pres eller tvang), specifik (knyttet til en konkret anvendelse) og informeret (hvad samtykket gives til) og i særlige tilfælde utvetydigt.
Formålet er at sikre, at de oplysninger, den dataansvarlige ønsker at få oplyst, kun er de nødvendige, at den dataansvarlige ved, at der er forskel på anvendelsen af oplysningerne og at den dataansvarlige ved, at ”ejeren” til konkrete personoplysninger alene er den person, som oplysningerne vedrører.
Der skelnes i Persondataforordningen imellem i hvert fald disse følgende hovedtyper af interessenter
Alle udover den dataansvarlige og databehandleren er tredjemand.
Databehandleren er en fysisk eller juridisk person, der behandler personoplysninger på den dataansvarliges vegne. Der må udelukkende anvendes databehandlere, som kan stille garantier i form af ekspertise, pålidelighed og ressourcer.
Man kan outsource opgaven, men ikke ansvaret. Derfor skal der være en skriftlig databehandleraftale imellem den dataansvarlige og databehandleren.
Formålet er at fastlægge ansvaret for håndteringen af personlige oplysninger, således at den dataansvarlige er den, der indsamler og bruger de personlige data og databehandleren, der både kan være den dataansvarlige selv, eller f.eks. en ekstern udbyder af bookingsystemer, systemer til journalføring eller udbydere af hjemmesider o.l.
Videregivelsen skal principielt
For lovgivningsmæssige krav om videregivelse af personlige oplysninger, kan der foreligge andre krav.
Her skal udbyderen dokumentere en sikker adgang og opbevaring.
Formålet er at sikre, at personlige data ikke ”slippes fri” eller ”lækkes” overfor tredjemand.
Der stilles krav til opbevaring af personlige oplysninger, såvel vedrørende
Formålet er, som nævnt under 1.1 at sikre en privatlivsbeskyttelse. Opbevaringen skal beskrives, jf. punkt 1.6.
Den dataansvarlige er ansvarlig for og skal kunne påvise, at principperne for behandlingen af personoplysninger overholdes. Der er bl.a. følgende krav til dokumentationen, der skal foreligge skriftligt
Formålet er at kunne bevise at virksomheden har forstået og lever op til de retslige forpligtigelser, der er gældende i forbindelse med behandlingen af personoplysninger og at dette kan dokumenteres overfor myndighederne.
—ooOoo—
Den registrerede har altid ret til indsigt i egne data.
I virksomheden Tairo Klinik indhentes de nødvendige personlige oplysninger til at kunne identificere personen og til at kunne stille en diagnose forud for iværksættelse af en behandling.
Der indhentes altid en skriftlig samtykkeerklæring. Samtykkeerklæringen findes som bilag 1.
Behandlingen af ”Almindelige personoplysninger” kræver informeret samtykke (”mundtligt eller skriftligt indforstået”), mens behandlingen af ”Følsomme personoplysninger” kræver et udtrykkeligt samtykke (”frivilligt, specifikt og informeret viljestilkendegivelse”). ”Stiltiende” eller ”indirekte” samtykke er ikke gældende.
Personen har ret til at trække sit samtykke tilbage. I så fald slettes eller anonymiseres personens data. Dette gøres ved at kontakte Tairo Klinik på info@tairoklinik.dk.
Den dataansvarlige er klinikkens indehaver.
Tairo Klinik er en enkeltmandsvirksomhed, der anvender virksomheden Terapeut Booking som udbyder et bookingsystem til behandling og arkivering af personoplysninger og til booking af tider i klinikken med tilhørende autogenereret bekræftelse til kunden. Databehandleren er derfor udbyderen, Terapeut Booking.
Der foreligger en skriftlig databehandleraftale imellem den dataansvarlige og udbydervirksomheden. Aftalen med udbydervirksomheden findes som bilag 2.
Personlige oplysninger videregives aldrig til 3. part, uden kundens udtrykkelige skriftlige samtykke, medmindre særlovgivning siger noget andet.
Personen har ret til at få udleveret de oplysninger, som personen selv har tilvejebragt, eller at få dem videresendt til en anden dataansvarlig i et almindeligt anvendt og maskinlæsbart format.
Klinikken er en enkeltmandsvirksomhed, der anvender virksomheden Terapeut Booking som udbyder et bookingsystem til behandling og arkivering af personoplysninger og booking.
Der foreligger en skriftlig aftale imellem den dataansvarlige og udbydervirksomheden, hvoraf opbevaringsfrister mm. fremgår. Aftalen med udbydervirksomheden findes som bilag 2.
Virksomheden er ”Tairo Klinik”, CVR nr. 34814880.
Den dataansvarlige er:
Kasper S. Andersen
Banegårdspladsen 10, 2. sal
8000 Aarhus C
Tel: 22941950
Email: kasper@tairoklinik.dk
Databehandleren er:
Terapeut Booking ApS
c/o HTML24 ApS
Strandlodsvej 44, 3.
2300 København S
Tel: 42498300
Email: kontakt@terapeutbooking.dk
Formålet er – ud fra kundens egne helbredsoplysninger og andre konkrete personoplysninger – at kunne identificere, diagnosticere og behandle kunden med Rolfing, akupunktur, Buteyko, mm. samt at kunne dokumentere den gennemførte behandling.
Følgende personlige oplysninger efterspørges:
Almindelige oplysningerFølsomme oplysningerNavn
Stilling/arbejdsvilkår
Fødselsdato
Telefonnummer
e-mailadresse
Årsag til henvendelse
Medlemskab af sygeforsikringen
CPR nr.
Generel sundhed: Medicin, operationer, motion, etc.
Oplysninger, hvor sidste aktive dato er mere end 5 år gammel, destrueres på betryggende måde.
Er der forskningsmæssige hensyn, hvor oplysningerne indgår i anonymiseret form, eller er der verserende sager af juridisk karakter, kan oplysningerne opbevares i længere tid.
SikkerhedsforanstaltningRisikovurdering*)Adgangsforhold: Terapeut Booking, password
Opbevaring: Terapeut Booking, GSuite
Sikret datalinje: SSL
Svar på henvendelser pr. e-mail og aftaler om konsultation
Korrespondance på ”nettet” – der er password til pc’er og GSuite
Kommunikation med databehandler (Terapeut Booking)
Lav
Lav
Lav
Lav
Lav
Lav
*) Risikovurderingen kan være Lav, Middel eller Høj
Ved brud på sikkerheden anmeldes dette til Datatilsynet senest 72 timer efter bruddet.
Her oplyses det, hvad konsekvenserne af sikkerhedsbruddet er samt oplyses, hvad der er gjort for at stoppe sikkerhedsbruddet, og – hvor det er muligt – underrettes de berørte personer.
—ooOoo—
Samtykkeerklæring
Undertegnede
Navn _______________________________________________________
Adresse _______________________________________________________
Postnr. ______________ By ____________________________________
Telefon ______________
Email _______________________________________________________
giver hermed mit udtrykkelige samtykke til, at
Tairo Klinik, ved
Kasper Søgaard Andersen
Banegårdspladsen 10, 2. sal
8000 Aarhus C
opbevarer nødvendige personlige oplysninger om mig, for at jeg kan modtage den behandling, som diagnosticeres til at være nødvendig i forbindelse med min henvendelse.
Jeg bekræfter samtidig, at jeg er blevet informeret om, at
– samtykkeerklæringen kun er gyldig, fordi jeg har afgivet den frivilligt
– oplysningerne udelukkende anvendes i forbindelse med det, min henvendelse vedrører
– oplysningerne udelukkende anvendes i forbindelse med den behandling, der iværksættes
– jeg til enhver tid har ret til indsigt i de opbevarede oplysninger
– mine personlige oplysninger slettes senest 5 år efter sidste anvendelse
– jeg kan tilbagekalde samtykkeerklæringen og at mine personlige oplysninger derefter slettes eller anonymiseres.
Aarhus den ______________ ____________________________________
Underskrift
Tairo Klinik bruger Terapeut Booking til databehandling. Nedenfor er et link til databehandleraftalen mellem Tairo Klinik og Terapeut Booking.
https://docs.google.com/document/d/1nJMMWrrM-rkFApwRPrva6HKSI-3pmLE9w7RKYSl7g1U/edit
Typen af personoplysninger der behandles (forslag til indhold):
Behandlingerne indeholder personoplysninger i de nedenfor nævnte kategorier.
Almindelige personoplysninger (jf. Databeskyttelsesforordningens artikel 6)
Følsomme personoplysninger (jf. Databeskyttelsesforordningens artikel 9):
Oplysninger om enkeltpersoners rent private forhold (jf. Databeskyttelsesforordningens artikel 6 og 9):
Oplysninger om cpr-nummer (jf. Databeskyttelsesforordningens artikel 87)