Privatlivspolitik

Persondataforordningen for patienter

i Lægehuset Fyrvej

Dokumentation for behandling af personoplysninger efter persondataforordningens art. 30
En virksomhed har pligt til at udarbejde og løbende opdatere dokumentation for alle virksomhedens databehandlingsaktiviteter. Dokumentationen skal foreligge skriftligt og elektronisk, så den på anmodning kan udleveres til Datatilsynet. Dokumentationen skal ikke indsendes til Datatilsynet, med mindre tilsynet i en konkret sag anmoder om det.Bruun & Hjejle Advokatpartnerselskab og PLO påtager sig intet ansvar for medlemmernes anvendelse af dette materiale og kan ikke gøres ansvarlige for senere regelændringer, der måtte få betydning for indholdet og behov for opdatering deraf. Medlemmernes tilegnelse og anvendelse af materialet sker på medlemmernes eget ansvar og Bruun & Hjejle Advokatpartnerselskab og PLO kan således ikke gøres ansvarlig for fejl og mangler i indholdet der måtte opstå som følge af medlemmernes anvendelse af materialet. Bruun & Hjejle rådgiver ikke om IT eller sikkerhed og medlemmerne opfordres derfor til at søge særskilt rådgivning herom.Nedenstående standarddokumentation vedrører primært patienternes helbredsoplysninger. Lægen er imidlertid også dataansvarlig i forhold til sine medarbejdere, hvorfor fortegnelsens sidste linjer opfylder fortegnelseskravene i relation til ansatte. Praktiserende Lægers Arbejdsgiverorganisation har i øvrigt udarbejdet vejledningsmateriale om lægens rolle som dataansvarlig arbejdsgiver.I dokumentet er der endvidere gjort plads til at klinikken selv kan udfylde flere linjer, hvis der deles data med andre modtagere end dem, der er nævnt i denne standarddokumentation
Den dataansvarlige
NavnLægehuset Fyrvej
CVR-nummer76672628
AdresseFyrvej 22, 6710 Esbjerg V
Telefonnummer75153088
E-mail adresselaegerne-fyrvej@esenet.dk
Hjemmesidewww.fyrvej22.dk
Behandlingen af personoplysninger
Behandlingens betegnelseIndsamling og videregivelse af helbredsoplysninger om patienter
Formålene med behandlingenHovedformålet med behandlingen af helbredsoplysninger er at muliggøre behandling af patienter. For at muliggøre patientbehandlingen, er det nødvendigt at der videregives helbredsoplysninger til forskellige aktører i sundhedssektoren, herunder til afregningsformål.
Kategorier af registrerede personer og kategorierne af personoplysninger
Kategori:PatienterSærlige kategorier af personoplysninger (sæt kryds i boksene)
☒ Race eller etnisk oprindelse☒ Religiøs overbevisning☒ Fagforeningsmæssigt tilhørsforhold☒ HelbredsoplysningerVed helbredsoplysninger forstås:Journaloplysninger vedr. diagnostik, undersøgelse og behandling af patienten, medicin, prøvesvar, tests, røntgenbilleder, scanningssvar, attester, henvisninger m.v.☒ Seksuelle forhold eller orientering☒ Strafbare oplysninger
☒ Almindelige kategorier af personoplysninger: Stamdata, dvs. patientens navn, personnummer, e-mail og hjemmeadresse samt telefonnummer.
Modtagere af personoplysningerneAf nedenstående fremgår en samlet liste over modtagere (både selvstændigt dataansvarlige og databehandlere), som personoplysningerne overlades eller videregives til, systemer, typer af oplysninger og hjemmel
FormålModtagerSystemType oplysningerHjemmel
PatientbehandlingCGM (leverandør af klinikkens systemhus)Journalsystem og klinikkens appHelbredsoplysningerDatabehandleraftale med systemhus
PLSP A/SPraksisleverandørernes serviceplatformHelbredsoplysningerDatabehandleraftale(Via systemhus)
MultiMEDHenvisningshotelletHenvisningerDatabehandleraftale(Via systemhus)
Danish Medical Data Distribution(DMDD)WebReq & WebPatientBestilling af laboratorieprøver & opbevaring af borgerens spørgeskemasvarDatabehandleraftale
DAK-ESundhedsmappen (Digitale Forløbsplaner)HelbredsoplysningerDatabehandleraftale
Offentlige myndigheder (regioner, kommuner)Sundhedsdatanet og VANS (MedCom-beskeder)HelbredsoplysningerSundhedslovens §43
Andre sundhedsaktører (speciallæger, privathospitaler mv)Sundhedsdatanet og VANS (MedCom-beskeder)HelbredsoplysningerSundhedslovens §41
SundhedsdatastyrelsenDet Fælles MedicinkortMedicinoplysningerSundhedslovens §157
SundhedsdatastyrelsenDet Danske VaccinationsregisterVaccinationerSundhedsloven §157
Patienten selv i forbindelse med aktindsigt i helbredsoplysningerLægens journalsystemHelbredsoplysningerSundhedslovens §37 og Persondataforordningens artikel 15 om indsigtsret
ForskningKliniske kvalitetsdatabaser (RKKP)Dansk Voksen Diabetes DatabaseHelbredsoplysningerSundhedslovens §196
Administration og kvalitetsudviklingSundhedsdatastyrelsenStatens elektroniske indberetningssystem (SEI)Oplysninger om dødsfaldBekendtgørelse nr. 1046 af 20. oktober 2016, jf. sundhedslovens §190
SundhedsdatastyrelsenDPSD2Utilsigtede hændelserSundhedslovens §§198-199
Styrelsen for Patientsikkerhed (STPS)STPS indberetningsløsningHelbredsoplysninger(ifm. praksislukning)Ved samtykke fra patienten
Styrelsen for Patientsikkerhed (STPS)STPS indberetningsløsningHelbredsoplysninger(ifm. mulig inddragelse af kørekort)Autorisationslovens §44
Styrelsen for Patientsikkerhed/PatienterstatningenPatienterstatningens indberetningsløsningHelbredsoplysningerSundhedslovens §43, jf. lov om klage-og erstatningsadgang inden for sundhedsvæsenet
RegionerSygesikrings-og afregningssystemetYdelsesoplysningerSundhedslovens §60
Forsikring og pensionDMDD (It-leverandør)Helbredsoplysninger og attesterJournalføringsbekendtgørelsen §20
Politi og domstoleN/AHelbredsoplysningerEnten ved samtykke, sundhedslovens §179 eller retsplejeloven
Sociale myndigheder (fx kommune og Udbetaling Danmark)EG Kommuneinformation A/SHelbredsoplysninger og attesterVed samtykke fra patienten eller efter retningslinjer i det socialt lægelige samarbejde
NetværkskommunikationMedComSundhedsdatanetHelbredsoplysningerDatabehandleraftale(Via systemhus)
VANS-leverandørerVANS-netHelbredsoplysningerDatabehandleraftale(Via systemhus)
TDC ErhvervTele- og IT systemAlle kategorier af personoplysningerDatabehandleraftale (evt. som led i kontrakten)
KlinikadministrationBluegardenLønsystemOplysninger om lønDatabehandleraftale
DATCOMAdministrationssystemHR-oplysninger inkl. CPR-nummerDatabehandleraftale
Danske RegionerPraksis- og afregningsportalen (sundhed.dk)Praksisdeklarationer og tilmelding til yderregisteretPersondataforordningens artikel 6, 1b og 1e om behandling mhp. opfyldelse af kontrakt og samfundsmæssig interesse
SKATMitVirkSkatteoplysningerKildeskatteloven
KommunenMitVirk/NemRefusionAnsøgning om sygedagpenge, barsel mv.Sygedagpengeloven
RevisorN/AOplysninger om HR, løn og skatHvis revisor anviser løn for klinikken indgås databehandleraftale.Ift. regnskabsaflæggelse er revisor dataansvarlig efter årsregnskabsloven.
Nordic BackupIT backupAlle kategorier af personoplysningerDatabehandleraftale
CENTEX ITAdministrationssystemHR-oplysninger inkl. CPR-nummerDatabehandleraftale

NOTE: Kolonnen ”System” dækker over forskellige elektroniske systemer. I visse tilfælde, fx i relation til arbejdsgivere og forsikringsselskaber, kan kommunikation dog også foregå ved almindelig postforsendelse.

Sletning af personoplysninger
Forventede tidsfrister for sletning af forskellige kategorier af oplysningerHelbredsoplysninger indeholdt i patientjournaler Oplysningerne slettes i overensstemmelse med lovgivningens krav, se journalførinsgsbekendtgørelsens §§15-16 (Bekendtgørelse nr. 990/2017). Som reglerne er nu, skal helbredsoplysninger indeholdt i en patientjournal opbevares mindst 10 år, billeddiagnostik dog 5 år. Hvis der verserer en klage- eller erstatningssag skal oplysningerne opbevares, indtil sagen er afsluttet.
Generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger
SikkerhedKlinikkens systemhus (og evt. andre databehandlere) har i en databehandleraftale forpligtet sig til at sikre, at der træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer uvedkommende til kendskab, misbruges eller i øvrigt behandles i strid med lovgivningen.Kommunikation af personoplysninger skal ske over sikre forbindelser. Personoplysninger, der overføres eller opbevares uden for et lukket netværk kontrolleret af Databehandleren, skal beskyttes med kryptering. Hvor det er passende og hensigtsmæssigt henset til oplysningernes karakter, skal oplysningerne desuden pseudonomiseres.Adgangskontroller og –begrænsninger skal indføres i passende omfang. Fysisk materiale, der indeholder personoplysninger, opbevares aflåst.Databehandleren skal sørge for løbende sikkerhedskopiering af personoplysningerne, hvis der er indgået aftale herom. Hvis systemhuset ikke foretager backup, skal der indgås aftale herom med en anden leverandør.   Kopierne skal opbevares adskilt og forsvarligt og på en måde som sikrer mulighed for at oplysningerne kan genskabes.Databehandleren har som led i databehandleraftalen forpligtet sig til én gang årligt at afgive en erklæring til os (den dataansvarlige), der dokumenterer, at databehandleren handler i overensstemmelse med gældende persondataret. Erklæringen baseres på ISAE 3402 eller tilsvarende. Erklæringen skal være underskrevet af en kvalificeret, uvildig instans, f.eks. databehandlerens revisor.