[IT
OG SIKKERHED 4:4
]
BLIV KLAR TIL FORORDNINGEN
KIROPRAKTOREN retter fokus mod data, sikkerhed og it med artikler om hacking, tyveri og cookies – i sidste og dette nummer om den ny EU-forordning.
Advokatfuldmægtig med speciale i persondatasikkerhed og kendskab til kiropraktorklinikker, svarer på spørgsmål, der rører sig blandt kiropraktorer, som skal forberede sig på de skærpede krav i EU’s persondataforordning. På DKF’s hjemmeside kan du læse mere om hvert svar - og finde mere vejledning. data på en internetbaseret portal. Typisk fremgår patientens cpr-nummer, og klinikken bliver bedt om at komme med en kort status på forløbet. Hvem er ansvarlig for disse data?
Af Thomas Davidsen, journalist
Hvilke dokumenter skal man udarbejde ud over d atabehandleraftaler? ”De nye regler indeholder en generel forpligtelse til at kunne påvise overholdelse af forordningen. Behandlingsfortegnelserne er i den sammenhæng nogle af de helt grundlæggende dokumenter. Start med journalføringen, der per definition medfører behandling af personfølsomme oplysninger. Derudover skal man udarbejde dokumenter over aktiviteter i administrationen, bogføring og markedsføring, hvor der dog sjældent behandles personfølsomme oplysninger. ”
Er der dokumenter, som er mere ’personfølsomme’ end andre? ”Ja, for klinikkernes vedkommende er det almindeligvis patientjournaler og personalesager, som ligger i den følsomme ende. Begge dele indeholder det, der hedder ’særlige kategorier af oplysninger’, altså det man tidligere kaldte ’personfølsomme oplysninger’. ”
Kiropraktorer, der samarbejder med forsikringsselskaber, bliver hos nogle selskaber bedt om at udfylde
42
K I R O P R A K T O R E N
/DECEMBER
”Man er først og fremmest ansvarlig for håndteringen af data, og ikke data i sig selv. Det betyder, at klinikken er ansvarlig for den håndtering, som består i at videregive oplysningerne, og at forsikringsselskabet er ansvarlig for indsamlingen. Kiropraktoren skal derfor sikre overholdelse af reglerne for sundhedspersoners videregivelse af helbredsoplysninger på deres side af skærmen. I praksis skal man sørge for, at den person på klinikken, som skriver oplysningerne ind på et forsikringsselskabs portal, er berettiget til at foretage den øvelse. På den anden side af skærmen er forsikringsselskaberne selv ansvarlige for alle dele af indsamlingen af data.”
Hvor længe må man have uopfordrede ansøgninger liggende og skal de opbevares et særligt sted? ”Der er ingen faste grænser for, hvor længe ansøgninger må opbevares, men man skal vurdere, hvor længe det er nødvendigt. Hvad angår selve opbevaringen, er det helt centrale, at uvedkommende ikke må kunne få
2 0 17
kendskab til ansøgningerne. Det gode råd er at behandle alle ansøgninger ens, som om de indeholder særlige kategorier af oplysninger.”
Der opbevares røntgenbilleder og mr-skanninger i klinikken både på CD og som gamle film. Skal disse være låst inde? ”Det korte svar er ‘ja’. Materialet skal være låst forsvarligt inde, for her har vi med helbredsoplysninger at gøre. De fysiske nøgler til skabet skal håndteres med samme årvågenhed som logins til IT-systemer. Derudover skal man være opmærksom på, at det største sikkerhedsproblem ikke er, når materialet ligger låst inde i skabet eller systemet, men når det skal ud og anvendes.”
Hvor ser du den største udfordring? ”Det er uden tvivl ressourcer. De færreste kiropraktorer har tid til at gennemføre de ret langhårede øvelser egenhændigt. Der er meget skriveri og mange vurderinger, man skal foretage, som man ikke nødvendigvis er rustet til. Det kræver overblik over de forskellige regelsæt, som endda ændrer sig løbende.”
Kan man lave en manual, eller er det en meget individuel øvelse? ”Kiropraktorklinikker har en del fællestræk,