Dokumentation for behandling af personoplysninger efter databeskyttelsesforordningens art. 30
Den dataansvarlige |
|
Navn |
Læge Ulla Lindberg |
CVR-nummer |
33632630 |
Adresse |
Skt. Anne Plads 4, 1. sal, 5000 Odense C |
Telefonnummer |
66128365 |
E-mail adresse |
|
Hjemmeside |
www.ullalindberg.dk |
Dato |
14.03.2024 |
1. PATIENTER
Behandlingen af personoplysninger |
|
Behandlingens betegnelse |
Indsamling, opbevaring, behandling og videregivelse af personoplysninger om patienter |
Formålene med behandlingen |
Hovedformålet med behandlingen af helbredsoplysninger er at muliggøre behandling af patienter. For at muliggøre patientbehandlingen, er det nødvendigt at der videregives helbredsoplysninger til forskellige aktører i sundhedssektoren, herunder til afregningsformål.
Patientoplysninger behandles også til f.eks. forskning og kvalitetsudvikling
|
Kategorier af registrerede personer og kategorierne af personoplysninger |
||
Kategori: Patienter |
Særlige kategorier af personoplysninger (sæt kryds i boksene) |
|
☒ Race eller etnisk oprindelse ☒ Politisk overbevisning ☒ Religiøs overbevisning ☐ Filosofisk overbevisning ☐ Fagforeningsmæssigt tilhørsforhold |
☒ Helbredsoplysninger Ved helbredsoplysninger forstås journaloplysninger vedr. diagnostik, undersøgelse og behandling af patienten, medicin, prøvesvar, tests, billeder, scanningssvar, attester, henvisninger, øvrige helbredsoplysninger indsamlet via korrespondance med dig i forbindelse med e- og videokonsultationer m.v. ☒ Seksuelle forhold eller orientering ☐ Genetiske elle biometriske data til brug for identifikation, f.eks. irisscanning og fingeraftryk som adgangskontrol ☐ Oplysninger om strafbare forhold |
|
☒ Almindelige kategorier af personoplysninger: Stamoplysninger, som f.eks. navn, adresse, evt. e-mailadresse, telefonnr., fødselsdato, og herudover CPR-nummer, køn, familie-relationer og sociale relationer, stilling, arbejdsrelationer og uddannelse. |
Modtagere af personoplysningerne Af nedenstående fremgår en samlet liste over modtagere (både selvstændigt dataansvarlige og databehandlere), som patienters personoplysninger overlades eller videregives til, systemer, typer af oplysninger og hjemmel |
||||
Formål |
Modtager |
System (angiv hvis behandling i tredjeland) |
Type oplysninger |
Rolle og evt. hjemmel til videregivelse: |
Patientbehandling |
Lægens leverandør af elektronisk journalsystem EG Clinea
|
Journalsystem |
Helbredsoplysninger, stamoplysninger og øvrige personoplysninger, der indgår i journalen
|
Databehandler
|
Region Syddanmark |
Den Nye Henvisningsformidling (DNHF) |
Henvisninger, herunder helbredsoplysninger om stamoplysninger på patienten |
Databehandler |
|
Trifork A/S |
Videokonsultationer og Min Læge App |
Henvisninger, herunder helbredsoplysninger om stamoplysninger på patienten |
Under-underdatabehandler (via systemhus) |
|
KiAP |
Sundhedsmappen (Digitale Forløbsplaner) |
Helbredsoplysninger, stamoplysninger |
Underdatabehandler (via systemhus) |
|
PLSP A/S |
Praksisleverandørernes serviceplatform Min Læge app'en, videokonsultationer |
Helbredsoplysninger, stamoplysninger |
Underdatabehandler (Via systemhus) |
|
SynLab |
WebReq & WebPatient |
Helbredsoplysninger og stamoplysninger ifm. bestilling af laboratorieprøver & opbevaring af borgerens spørgeskemasvar |
Databehandler
|
|
Andre sundhedsaktører (speciallæger, privathospitaler mv) |
Sundhedsdatanet og VANS (MedCom-beskeder) |
Helbredsoplysninger, stamoplysninger og øvrige personoplysninger, der indgår i journalen |
Selvstændig dataansvarlig (sundhedslovens § 41) |
|
Offentlige myndigheder (regioner, kommuner) |
Sundhedsdatanet og VANS (MedCom-beskeder) |
Helbredsoplysninger, stamoplysninger og øvrige personoplysninger, der indgår i journalen |
Selvstændig dataansvarlig (sundhedslovens § 43) |
|
Sundhedsdatastyrelsen |
Det Fælles Medicinkort og Det Danske Vaccinationsregister |
Medicinoplysninger og vaccinationer |
Selvstændig dataansvarlig (sundhedslovens § 157 og § 157 a) |
|
Medport |
Blodprøve svar |
- |
- |
|
Forskning og kvalitetsudvikling |
Kliniske kvalitetsdatabaser (RKKP) |
Databaser for Diabetes, KOL, Astma, Atrieflimren, Hjertesvigt, |
Helbredsoplysninger, evt. køn og alder |
Selvstændig dataansvarlig (sundhedslovens § 196) |
|
- |
- |
- |
|
Administration og indberetninger |
Sundhedsdatastyrelsen |
Statens elektroniske indberetningssystem (SEI2) |
Oplysninger om dødsfald, |
Selvstændig dataansvarlig (Bekendtgørelse nr. 1046 af 20. oktober 2006, jf. sundhedslovens § 190).
|
Sundhedsdatastyrelsen |
Dansk Patient-Sikkerheds-Database (DPSD2) |
Utilsigtede hændelser, herunder helbredsoplysninger |
Selvstændig dataansvarlig (Sundhedslovens §§ 198-199) |
|
Styrelsen for Patientsikkerhed (STPS) |
STPS indberetningsløsning |
Helbredsoplysninger, stamoplysninger og øvrige personoplysninger, der indgår i journalen (ifm. praksislukning) |
Selvstændig dataansvarlig (journalføringsbekendtgørelsens § 38) |
|
Styrelsen for Patientsikkerhed (STPS) |
STPS indberetningsløsning |
Helbredsoplysninger stamoplysninger og øvrige personoplysninger, der indgår i journalen (ved afværgelse af fare, f.eks. ifm. mulig inddragelse af kørekort) |
Selvstændig dataansvarlig (autorisationslovens § 44) |
|
Styrelsen for Patientsikkerhed/Patienterstatningen |
Patienterstatningens indberetningsløsning |
Helbredsoplysninger, stamoplysninger og øvrige personoplysninger, der indgår i journalen
|
Selvstændig dataansvarlig (sundhedslovens § 43, jf. lov om klage-og erstatningsadgang inden for sundhedsvæsenet) |
|
Regioner |
Sygesikrings-og afregningssystemet |
Ydelsesoplysninger |
Selvstændig dataansvarlig (sundhedslovens § 60 og Overenskomst om almen praksis) |
|
Forsikrings- og pensionsselskaber |
SynLab (It-leverandør) |
Helbredsoplysninger og attester |
Selvstændig dataansvarlig (sundhedslovens § 43) |
|
Politi og domstole |
N/A |
Helbredsoplysninger, stamoplysninger og øvrige personoplysninger, der indgår i journalen |
Selvstændig dataansvarlig (enten ved samtykke, sundhedslovens §§ 43, 179 eller retsplejeloven) |
|
Sociale myndigheder (fx kommune og Udbetaling Danmark) |
EG Kommuneinformation A/S |
Helbredsoplysninger og attester, stamoplysninger og øvrige personoplysninger, der indgår i journalen |
Selvstændig dataansvarlig (ved samtykke fra patienten eller efter retningslinjer i det socialt lægelige samarbejde) |
|
Arbejdsmarkedets Erhvervssikring
|
Virk.dk (e-blanket) |
Helbredsoplysninger, stamoplysninger og øvrige personoplysninger, der indgår i journalen |
Selvstændig dataansvarlig (arbejdsskadesikringsloven § 34) |
|
Lægemiddelstyrelsen
|
Lægemiddelstyrelsens e-blanket |
Bivirkninger ved medicin og vaccinationer |
Selvstændig dataansvarlig (bekendtgørelse vedr. indberetning af bivirkninger ved lægemidler §§ 4-5) |
|
|
- |
- |
- |
|
Netværkskommunikation |
MedCom |
Sundhedsdatanet |
Helbredsoplysninger |
Underdatabehandler (Via systemhus) |
VANS-leverandører |
VANS-net |
Helbredsoplysninger |
Underdatabehandler (Via systemhus) |
|
Viptel/IPNetcom
|
- |
Alle kategorier af personoplysninger |
Selvstændigt dataansvarlig |
Sletning af personoplysninger |
||
Forventede tidsfrister for sletning |
Personoplysninger indeholdt i patientjournaler, herunder stamoplysninger, CPR-nummer, helbredsoplysninger og øvrige personoplysninger, der måtte være indeholdt i journalen.
|
Oplysningerne slettes i overensstemmelse med lovgivningens krav, se journalføringsbekendtgørelsens kap. 4 (Bekendtgørelse nr. 1225/2021). Som reglerne er nu, skal helbredsoplysninger indeholdt i en patientjournal opbevares mindst 10 år, billeddiagnostik dog 5 år. Oplysninger kan i visse tilfælde opbevares i længere tid, f.eks. hvis der verserer en klage- eller erstatningssag. |
2. TIDLIGERE OG NUVÆRENDE MEDARBEJDERE SAMT JOBANSØGERE
Behandlingen af personoplysninger |
|
Behandlingens betegnelse |
Indsamling, behandling og videregivelse af personoplysninger om jobansøgere samt tidligere og nuværende medarbejdere
|
Overordnede formål med behandlingen |
Formålene med behandlingen er gennemførelse af rekrutteringsprocessen for så vidt angår jobansøgere, herunder vurdering af ansøgerens faglige og personlige kvalifikationer samt efterfølgende dokumentation.
For nuværende medarbejdere behandler vi personoplysninger i den løbende personaleadministration og til dokumentationsformål.
For tidligere medarbejdere behandler vi personoplysninger til dokumentationsformål, herunder i tilfælde af eventuelle retskrav eller tvister, der måtte opstå efter ansættelsesforholdet.
|
Kategorier af registrerede personer og kategorierne af personoplysninger |
||
Kategori: Jobansøgere |
Særlige kategorier af personoplysninger |
|
☐ Race eller etnisk oprindelse ☐ Politisk overbevisning ☐ Religiøs overbevisning ☐ Filosofisk overbevisning ☐ Fagforeningsmæssigt tilhørsforhold |
☐ Helbredsoplysninger ☐ Seksuelle forhold eller orientering ☐ Genetiske elle biometriske data til brug for identifikation, f.eks. irisscanning og fingeraftryk som adgangskontrol ☐ Oplysninger om strafbare forhold
|
|
☒ Almindelige kategorier af personoplysninger: Navn, adresse, evt. e-mailadresse, telefonnr., fødselsdato, CPR-nummer, køn, referencer fra tidligere arbejdsgivere, CV, familie-relationer og sociale relationer, stilling, arbejdsrelationer og uddannelse.
|
||
Kategori: Nuværende medarbejdere
Tidligere medarbejdere (dokumentationsformål) |
Særlige kategorier af personoplysninger |
|
☐ Race eller etnisk oprindelse ☐ Politisk overbevisning ☐ Religiøs overbevisning ☐ Filosofisk overbevisning ☐ Fagforeningsmæssigt tilhørsforhold |
☐ Helbredsoplysninger ☐ Seksuelle forhold eller orientering ☐ Genetiske elle biometriske data til brug for identifikation, f.eks. irisscanning og fingeraftryk som adgangskontrol ☐ Oplysninger om strafbare forhold
|
|
☒ Almindelige kategorier af personoplysninger: Navn, adresse, e-mailadresse, tlf. nr., CPR-nummer, jobansøgning, , personlighedstest, medarbejder-ID, ansættelseskontrakt, lønreguleringer, tillæg til kontrakter, bonusaftaler, løn- og skatteoplysninger, bankkontooplysninger, a-kasseforhold, tro- og love ved sygefravær, årlige evalueringer af medarbejdere, referat af årlige samtaler (MUS), kopi af pas ifm. med rejser inkl. pasnummer og CPR-nummer, gennemført uddannelse og kursusdeltagelse, logning af IT-, internet- og e-mailbrug og alarmsystemer, portrætfotos på hjemmesiden, civil status, oplysninger om pårørende og familieforhold, advarsler og opsigelser og baggrund herfor, oplysninger vedr. eventuelle tvister, arbejdstidsregistrering, oplysninger om brug af den elektroniske nøglebrik/adgangskort, herunder brugerens initialer, sted og tidspunkt (komme- og gåtider). Øvrige oplysninger fra ansøgningsproces.
|
Modtagere af personoplysningerne Af nedenstående fremgår en samlet liste over modtagere (både selvstændigt dataansvarlige og databehandlere), som personoplysningerne overlades eller videregives til, systemer, typer af oplysninger og hjemmel |
||||
Formål |
Modtager |
System (angiv hvis behandling i tredjeland) |
Type oplysninger |
Rolle og evt. hjemmel til videregivelse: |
Personaleadministration/klinikadministration (nuværende medarbejdere) |
Lægens leverandør af lønsystem Visma DataLøn
|
Lønsystem |
Oplysninger om løn |
Databehandler |
Lægens leverandør af system til klinikadministration E-conomics
|
Administrationssystem |
HR-oplysninger inkl. CPR-nummer |
Databehandler |
|
Offentlige myndigheder, f.eks. kommunen |
F.eks. MitVirk/NemRefusion |
Ansøgning om sygedagpenge, barsel mv. |
Selvstændig dataansvarlig (Sygedagpengeloven, overenskomster mv.) |
|
Skattestyrelsen |
MitVirk |
Skatteoplysninger, CPR-nummer, evt. øvrige oplysninger |
Selvstændig dataansvarlig (indkomstregisterloven) |
|
Pensions- og forsikringsselskaber |
N/A |
Stamoplysninger, indkomstforhold, skatteoplysninger |
Selvstændig dataansvarlig (opfyldelse af kontrakt eller skatteindberetningsloven) |
|
Regionen |
Praksis- og afregningsportalen (sundhed.dk) |
Praksisdeklarationer og tilmelding til yderregisteret |
Selvstændig dataansvarlig Persondataforordningens artikel 6, 1b og 1e om behandling mhp. opfyldelse af kontrakt og samfundsmæssig interesse |
|
Rejseselskaber mv. |
N/A |
Stamoplysninger, pasoplysninger mv. |
Selvstændig dataansvarlig (legitim interesse) |
|
Revisor, advokater og andre rådgivninger ifm. rådgivning og/eller tvister (evt. også for tidligere medarbejdere) |
N/A |
Oplysninger om HR, løn og skat mv. |
Selvstændig dataansvarlig (retskrav) |
|
NETS |
NETS NemID portal og/eller MitID (Medarbejdersignatur) |
CPR-nummer |
Selvstændig dataansvarlig (samtykke) |
|
|
- |
- |
- |
Sletning af personoplysninger |
|
Jobansøgninger |
6 måneder efter afslag eller besættelse af stillingen, medmindre ansøgeren giver samtykke til længere opbevaring |
Ansættelseskontrakter, efteruddannelse, lønadministration, skatteindberetninger |
5 år fra ophør af ansættelsesforhold eller længere tid, hvis det er konkret nødvendigt, f.eks. ifm. en tvist. |
Lønadministration, ferieoplysninger, CPR-nummer og skatteindberetninger |
5 fra ophør af det løbende regnskabsår, jf. opbevaringsperioderne i bogføringsloven |
Arbejdsskader |
Konkret vurdering af sletteregel efter fristerne i forældelseslovgivningen |
3. GENERELT
Generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger |
Klinikkens systemhus (og evt. andre databehandlere) har i en databehandleraftale forpligtet sig til at sikre, at der træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer uvedkommende til kendskab, misbruges eller i øvrigt behandles i strid med lovgivningen.
Kommunikation af personoplysninger skal ske over sikre forbindelser. Personoplysninger, der overføres eller opbevares uden for et lukket netværk kontrolleret af systemhuset, skal beskyttes med kryptering. Hvor det er passende og hensigtsmæssigt henset til oplysningernes karakter, skal oplysningerne desuden pseudonomiseres.
Adgangskontroller og –begrænsninger skal indføres i passende omfang. Fysisk materiale, der indeholder personoplysninger, opbevares aflåst.
Databehandlere skal sørge for løbende sikkerhedskopiering af personoplysningerne, hvis der er indgået aftale herom. Hvis systemhuset ikke foretager backup, skal der indgås aftale herom med en anden leverandør. Kopierne skal opbevares adskilt og forsvarligt og på en måde som sikrer mulighed for at oplysningerne kan genskabes.
Systemhuset har som led i databehandleraftalen forpligtet sig til én gang årligt at afgive en erklæring til klinikken (den dataansvarlige), der dokumenterer, at databehandleren handler i overensstemmelse med gældende persondataret. Erklæringen baseres på ISAE 3000, 3402 eller tilsvarende. Erklæringen skal være underskrevet af en kvalificeret, uvildig instans, f.eks. databehandlerens revisor. |