GDPR-tjekliste til psykologer

Det er desværre ikke sådan, at man blot kan gøre én ting én gang og så er man i mål med GDPR. GDPR er en løbende proces, som består af en række forskellige elementer.

For at komme i mål, skal man først sætte sit ”GDPR-program” op, og – hvis man har gjort det rigtigt – så kan man herefter nøjes med at lave små, enkle vedligeholdelsesopgaver et par gange om året.

Det er den bedste og letteste vej til at nå i mål for alle typer af virksomheder, og det er hele den tankegang Privanize er bygget på. Vi sørger med andre ord for at sætte det hele op, så kun de enkle vedligeholdelsesopgaver er tilbage til dig som psykolog.

Du kan derfor komme i mål på en meget nem måde ved blot at betale en fast månedlig ydelse, men hvis du hellere vil gøre arbejdet selv, kan du tage udgangspunkt i denne tjekliste, som oplister en række af de vigtigste elementer.

1. Du skal have en ”fortegnelse over behandlingsaktiviteter”

Et af de væsentligste krav i GDPR er, at du skal kortlægge de personoplysninger, der anvendes (behandles) i din klinik. Kortlægningen betegnes som din ”fortegnelse”.

Mere konkret skal du altså kortlægge dine forretningsmæssige aktiviteter hvori der indgår personoplysninger. Aktiviteterne kan fx være ”behandling af klienter”, ”personlighedstests”, ”udarbejdelse af attester til fx myndigheder mv.”, ”afsendelse af nyhedsbreve” osv.

For hver aktivitet skal du oplyse om:

1) Formålet med behandlingen af personoplysninger

2) Kategorierne af personer, der behandles oplysninger omkring

3) Kategorierne af personoplysninger

4) Kategorier af modtagere af personoplysninger

5) Tidsfrister for sletning (hvis muligt)

6) Sikkerhedsforanstaltninger til at beskytte oplysningerne (hvis muligt)

Hvis der i en aktivitet sker overførsler af data ud af EU/EØS, skal du desuden oplyse om hvilke ”passende garantier”, der er på plads for at beskytte oplysningerne.

Endeligt skal du også huske at oplyse om navn og kontaktoplysninger på den person i klinikken, som er ansvarlig for udarbejdelse samt vedligeholdelse af fortegnelsen.

Fortegnelsen fra Privanize indeholder samtlige af de elementer, der er krævet af GDPR og vil ikke bare være rettet mod psykologer generelt, men vil være specifikt designet til din klinik.

2. Privatlivspolitik på hjemmeside

Fortegnelsen er vigtig fordi 1) den er et lovkrav, og fordi 2) Datatilsynet kan finde på at bede om udlevering af den hvis der opstår en sag. Den bør derfor stå knivskarpt.

Privatlivspolitikken er også vigtig, men den er mere rettet mod dine klienter, hjemmesidebesøgende og fx jobansøgere – dvs. alle de ”eksterne” personer, du behandler oplysninger omkring.

Personerne skal kunne læse hvad din klinik gør med deres personoplysninger, så de kan forholde sig til om de ønsker at lægge oplysningerne over i jeres hænder.

Privatlivspolitikken skal indeholde de oplysninger, der fremgår af GDPR art. 13, hvilket i høj grad minder om de oplysninger, der skal fremgå af fortegnelsen. I privatlivspolitikken er det dog helt centralt at du oplyser om den lovhjemmel, der anvendes til at foretage hver behandlingsaktivitet (hvilket ikke er et krav i fortegnelsen).

3. Cookies

En cookie er en lille tekstfil, som en hjemmeside gemmer i de besøgendes browsere eller på deres PC’er når hjemmesiden besøges. Filen indeholder informationer om besøget, som kan bruges til at huske visse indstillinger og præferencer. Cookies kan også bruges til at generere statistikker om hjemmesidebesøgende samt spore brugeres browsingadfærd og interesser.

Cookies tracker altså visse oplysninger om personer og er derfor relevant i forhold til GDPR samt anden dansk og europæisk lovgivning.

Hvis din hjemmeside er sat op til kun at bruge ”nødvendige” cookies, dvs. cookies, der skal være til stede for at hjemmesiden fungerer, er det ikke nødvendigt at have et samtykkebanner, som brugere bliver mødt med når de kommer ind på din hjemmeside.

Men hvis du anvender cookies til fx statistik og markedsføring, så er det vigtigt at du har et samtykkebanner og at dette overholder forpligtelserne til et samtykke efter GDPR. Det betyder bl.a. at de enkelte samtykkefelter ikke må være afkrydset på forhånd, og at du først må indsamle cookies (udover de nødvendige) når der er givet reelt samtykke hertil.

Derudover er det vigtigt at besøgende informeres klart om anvendelsen af cookies på din hjemmeside gennem en tydelig og lettilgængelig privatlivspolitik. Et link til denne bør i øvrigt fremgå af privatlivspolitikken.

4. IT-sikkerhed (og fysisk sikkerhed)

Noget af det allervigtigste for psykologklinikker er, at IT-systemerne er tilstrækkeligt sikret. Samtidig er IT-sikkerhed et område, som er relativt komplekst, og derfor har vi lagt en særlig indsats i at designe en løsning, som gør netop dette område meget enkelt.

De områder inden for IT-sikkerhed, der er vigtigst for psykologer, er:

• E-mails skal være krypteret i transport (minimum TLS 1.2 kryptering).

• Der skal anvendes sikre IT-systemer frem for fx Dropbox og lignende.

• Der skal køres jævnlige backups så data ikke mistes.

• Der skal være opdateret antivirus, anti-malware og firewall-software.

• Der skal ske løbende opdateringer af systemer.

• Passwords skal være på minimum 12 karakterer m. tegn samt store og små bogstaver.

• På systemer med fx helbredsoplysninger skal der anvendes 2-faktor autentifikation.

Derudover er der krav til den fysiske sikkerhed, som du kan læse om HER.

5. Databehandlere

I dit daglige arbejde bruger du en række IT-systemer. Systemerne leveres af nogle forskellige selskaber som fx kan være Microsoft eller andre.

Leverandørerne af IT-systemerne betegnes ofte som ”databehandlere” fordi du lægger persondata over i de IT-systemer, de udbyder. Leverandørerne bruger ikke dine oplysninger aktivt til at skabe profit i deres eget selskab (det må de i hvert fald ikke) – de udbyder bare et system som kan holde på dataene og som har nogle bestemte funktionaliteter, og derfor er de ”databehandlere”.

Man skal have en aftale med hver af sine databehandlere, kaldet en ”databehandleraftale”. Aftalen skal sikre, at databehandleren behandler ens data på en forsvarlig måde og derfor er der også nogle formkrav til hvad aftalen skal indeholde. Disse står i GDPR art. 28.

Så du skal altså have et overblik over hvilke af dine leverandører, der er ”databehandlere” og så skal du indgå en aftale med hver af dem, som overholder en række lovkrav.

Men derudover skal du løbende føre tilsyn med at databehandleren fortsat er sikker at overføre data til. En databehandler kan nemlig pludselig vise sig ikke at være så sikker længere.

Det er der nogle forskellige måder, man kan gøre på, men ingen af dem er simple hvis man ikke kender metoderne. Derfor har vi hos Privanize udviklet en funktionalitet som gør dette helt automatisk, dvs. vi laver revisionen af leverandørerne for dig løbende og du modtager en notifikation når det er gjort samt hvis der er forhold, du skal være opmærksom på.

6. GDPR-rettigheder

GDPR giver individer en række rettigheder med hensyn til personoplysninger, som du bør være opmærksom på. Det er nemlig sådan, at så snart en person udnytter en af sine rettigheder, begynder et ur at tikke og du skal håndtere personens anmodning inden for en tidsgrænse der som udgangspunkt er på max. 30 dage.

De vigtigste rettigheder at kende til er ”retten til indsigt” og ”retten til sletning” da det er disse, der oftest anvendes i praksis. Det er vigtigt at du informerer personer om deres rettigheder i en klar og forståelig form i din privatlivspolitik, så de rækker ud via den e-mailadresse du har nævnt samme sted. På den måde sikrer du, at du er opmærksom hvis en anmodning kommer ind.

Når en anmodning kommer ind, skal du tage den seriøst og reagere hurtigt og effektivt da den pågældende kan klage til Datatilsynet v/ mangelfuld håndtering.

Du bør derfor have klare procedurer på plads som sikrer tilstrækkelig håndtering. Vores løsning indeholder procedurer, som gør det meget nemt for dig at håndtere alle typer af GDPR-rettigheder og hvis du vil have et indblik i hvordan en indsigtsanmodning håndteres, kan du læse mere om det HER.

7. Sletning

Sletning er et af de mest centrale områder for psykologers GDPR-compliance. Dette skyldes, at sletning er lovpligtigt og historisk har ført til nogle af de største bøder fra Datatilsynet, samt at risikoen for databrud selvfølgelig reduceres jo færre oplysninger, man er i besiddelse af.

De vigtigste data i forhold til sletning er helbredsoplysninger, CPR-numre og lignende. Det betyder, at det er centralt at slette journaler, notater mv. når det ikke længere er nødvendigt at have dem.

For psykologer gælder, at klientjournaler skal opbevares i en periode på 5 år efter seneste tilførsel til journalen. Undtagelsen er, at der er igangværende klage- eller erstatningssager, som gør at man kan opbevare dokumentationen indtil sagen er færdiggjort eller forældet.

Derudover er det vigtigt at være opmærksom på sletningsfrister i forhold til fakturaer og andre regnskabsoplysninger, hvor bogføringsloven kræver en opbevaringsperiode på mindst 5 år. Og samtidig bør der fastsættes sletningsfrister for jobansøger-data, medarbejderdata, cookies, information indsamlet i forbindelse med nyhedsbreve mv.

Det er i øvrigt centralt at fysiske dokumenter også slettes løbende. Det har vi skrevet nærmere om HER.

8. Databrud

Hvis du sender en e-mail med personoplysninger til en forkert modtager, eller på anden vis oplever at du har mistet persondata – fx hvis en PC er blevet stjålet eller at personer har stjålet dokumenter fra din praksis – så har du oplevet et ”brud på persondatasikkerheden” (databrud).

GDPR indeholder nogle krav til, hvordan sådanne situationer skal håndteres og det er afgørende at du har en procedure, som du kan følge, hvilket vores løsning naturligvis bidrager med.

Du skal først sørge for at registrere hændelsen internt, dvs. du skal registrere bruddet med en række oplysninger som fx hvornår bruddet er sket, hvordan det er sket, hvilke oplysninger, der er blevet lækket osv.

Derefter skal du vurdere om der er en ”sandsynlig risiko” forbundet med bruddet. Her tænkes på, om personerne som oplysningerne vedrører nu kan udsættes for noget negativt ved, at der er oplysninger er kommet i forkerte hænder. Hvis det er tilfældet, skal Datatilsynet underrettes hvilket gøres via deres hjemmeside.

Det kan også være nødvendigt at underrette de personer, oplysningerne vedrører. Dette skal dog kun gøres hvis der er en relativt høj risiko forbundet med selve bruddet. Her er der ligeledes en række krav til, hvad personerne skal oplyses omkring.

9. Risikovurdering

Du bør have en risikovurdering, som systematisk evaluerer hvilke potentielle risici i din klinik, der kan påvirke klienters, medarbejderes, jobansøgeres mv. personoplysninger.

Mange tror, at risikovurderingen skal fokusere på risikoen for klinikken, altså fx: ”Hvis X sker, så lider klinikken et omdømmetab”. Dette kan selvfølgelig give noget værdi i praksis, men Datatilsynet er næsten ligeglade med en vurdering. Datatilsynet er i stedet interesserede i at se, at man har kortlagt risiciene for de personer, man behandler oplysninger omkring.

Du bør derfor have en oversigt over de væsentligste risikoscenarier, der kan opstå og hvilke tiltag, du har gjort for at få disse risici ned på et acceptabelt niveau, så folk kan føle sig sikre i din klinik.

Med Privanize får du en komplet oversigt over de væsentligste risici. Overblikket er specifikt udarbejdet til psykologer, men vil blive skræddersyet så risiciene passer til din klinik.

10. Øvrige områder

Hvis du har implementeret de ovennævnte områder, er du godt med, men du er stadig ikke helt i mål. Det vil også være centralt for dig at sikre, at:

• Dine medarbejderes data behandles forsvarligt.

• Dine jobansøgeres data behandles forsvarligt.

• Du har interne politikker/procedurer, som dokumenterer at du gør det godt.

Områderne kan virke som en stor og kompleks mundfuld. Det er vi udmærket klar over, og det er derfor vi har lavet Privanize. Med vores løsning kommer du helt omkring det hele og det eneste du derfor skal koncentrere dig om, er blot at lave nogle simple vedligeholdelsesopgaver et par gange om året (som typisk ikke tager mere end et par timer), og så er du faktisk i mål.