GDPR
Dokumentation for behandling af personoplysninger efter persondataforordningens art. 30
Den dataansvarlige
Navn: Lægehuset i Havdrup I/S
CVR-nummer: 51941918
Adresse: Skovvej 4, 4622 Havdrup
Telefonnummer: 46185011
E-mail: kontakt@laegehusetihavdrup.dk
Hjemmeside: www.laegehusetihavdrup.dk
Behandlingen af personoplysninger
Behandlingens betegnelse:
Indsamling og videregivelse af helbredsoplysninger om patienter
Formålene med behandlingen:
Hovedformålet med behandlingen af helbredsoplysninger er at muliggøre behandling af patienter. For at muliggøre patientbehandlingen, er det nødvendigt at der videregives helbredsoplysninger til forskellige aktører i sundhedssektoren, herunder til afregningsformål.
Kategorier af registrerede personer og kategorierne af personoplysninger
Særlige kategorier af personoplysninger (sæt kryds i boksene)
Kategori:
Patienter
☒ Race eller etnisk oprindelse
☐ Politisk overbevisning
☐ Religiøs overbevisning
☐ Filosofisk overbevisning
☐ Fagforeningsmæssigt tilhørsforhold
☒ Helbredsoplysninger
Ved helbredsoplysninger forstås:
Journaloplysninger vedr. diagnostik, undersøgelse og behandling af patienten, medicin, prøvesvar, tests, røntgenbilleder, scanningssvar, attester, henvisninger m.v.
☒ Seksuelle forhold eller orientering
☐ Genetiske elle biometriske data til brug for identifikation, f.eks. irisscanning og fingeraftryk som adgangskontrol
☐ Strafbare oplysninger
☒ Almindelige kategorier af personoplysninger: Stamdata, dvs. patientens navn, personnummer, e-mail og hjemmeadresse samt telefonnummer.
Modtagere af personoplysningerne
Af nedenstående fremgår en samlet liste over modtagere (både selvstændigt dataansvarlige og databehandlere), som personoplysningerne overlades eller videregives til, systemer, typer af oplysninger og hjemmel
Formål
Modtager
EG Clinea
PLSP A/S
MiltuMED
Danish Medical Data Distribution
(DMDD)
DAK-E
System
Journalsystem
Praksisleverandørernes serviceplatform
Henvisningshotellet
WebReq & WebPatient
Sundhedsmappen (Digitale Forløbsplaner)
Type oplysninger
Helbredsoplysninger
Helbredsoplysninger
Henvisninger
Bestilling af laboratorieprøver & opbevaring af borgerens spørgeskemasvar
Helbredsoplysninger
Hjemmel
Databehandleraftale med systemhus
Databehandleraftale (via systemhus)
Databehandleraftale (via systemhus)
Databehandleraftale
Databehandleraftale
Patientbehandling
Offentlige myndigheder (regioner, kommuner m.m.)
Andre sundhedsaktører (speciallæger, privathospitaler m.m.)
Sundhedsdatastyrelsen
Sundhedsdatastyrelsen
Patienten selv i forbindelse med aktindsigt i helbredsoplysninger
[Indsæt evt. andre modtagere af personfølsomme oplysninger til patientbehandling]
[Indsæt evt. andre modtagere af personfølsomme oplysninger til patientbehandling]
Kliniske kvalitetsdatabaser (RKKP)
[Indsæt evt. andre modtagere af personfølsomme oplysninger til patientbehandling]
Sundhedsdatanet og VANS (MedCom-beskeder)
Sundhedsdatanet og VANS (MedCom-beskeder)
Det Fælles Medicinkort
Lægens journalsystem
Det Danske
Vaccinationsregister
-
-
Dansk Voksen Diabetes Database
-
Helbredsoplysninger
Helbredsoplysninger
Medicinoplysninger
Vaccinationer
Helbredsoplysninger
-
-
Helbredsoplysninger
-
Sundhedslovens §43
Sundhedslovens §41
Sundhedslovens §157
Sundhedsloven §157a
Sundhedslovens §37 og Persondataforordningens artikel 15 om indsigtsret
-
-
Sundhedslovens §196
-
Forskning
[Indsæt evt. andre modtagere af personfølsomme oplysninger til patientbehandling]
Sundhedsdatastyrelsen
Sundhedsdatastyrelsen
Styrelsen for Patientsikkerhed (STPS)
Styrelsen for Patientsikkerhed (STPS)
Styrelsen for patientsikkerhed / Patienterstatningen
Regioner
Forsikring og persion
-
Statens elektroniske indberetningssystem
DPSD2
STPS Indberetningsløsning
STPS indberetningsløsning
Patienterstatningens indberetningsløsning
Sygesikrings- og afregningssystemet
DMDD (IT-leverandør)
-
Oplysninger om dødsfald
Utilsigtede hændelser
Helbredsoplysninger (ifm. praksislukning)
Helbredsoplysninger (ifm. mulig inddragelse af kørekort)
Helbredsoplysninger
Ydelsesoplysninger
Helbredsoplysninger og attester
-
Bekendtgørelse nr. 1046 af 20. oktober 2016, jf. sundhedslovens §190
Sundhedslovens §§198-199
Ved samtykke fra patienten
Autorisationslovens §44
Sundhedslovens §43, jf. lov om klage-og erstatningsadgang inden for sundhedsvæsenet
Sundhedslovens §60
Journalføringsbekendtgørelsen §20
Administration og kvalitetsudvikling
Politik og domstole
Sociale myndigheder (Fx. kommune og Udbetaling Danmark)
Arbejdstilsynet og Arbejdsskadestyrelsen
Lægemiddelstyrelsen
[Indsæt evt. andre modtagere af personfølsomme oplysninger til administration og kvalitetsudvikling]
[Indsæt evt. andre modtagere af personfølsomme oplysninger til administration og kvalitetsudvikling]
MedCom
N/A
EG Kommuneinformation A/S
Virk.dk (e-blanket)
Lægemiddelstyrelsens e-blanket
-
-
Sundhedsdatanet
Helbredsoplysninger
Helbredsoplysninger og attester
Helbredsoplysninger
Bivirkninger ved medicin og vaccinationer
-
-
Helbredsoplysninger
Enten ved samtykke, sundhedslovens §179 eller retsplejeloven
Ved samtykke fra patienten eller efter retningslinjer i det socialt lægelige samarbejde
Arbejdsskadesikringsloven §34
Lægemiddelloven, kap. 5.
-
-
Databehandleraftale (via systemhus)
Netværkskommunikation
VANS - leverandører
TDC Erhverv Fibernet
Lægens leverandør af lønsystem Danløn
Lægens leverandør af system til klinikadministration (Danløn)
Danske Regioner
SKAT
VANS - net
-
Lønsystem
Administrationssystem
Praksis- og afregningsportalen (sundhed.dk)
MitVirk
Helbredsoplysninger
Alle kategorier af personoplysninger
Oplysninger om løn
HR-oplysninger inkl. CPR-nummer
Praksisdeklarationer og tilmelding til yderregisteret
Skatteoplysninger
Databehandleraftale
(Via systemhus)
Aftalevilkår
Databehandleraftale
Databehandleraftale
Persondataforordningens artikel 6, 1b og 1e om behandling mhp. opfyldelse af kontrakt og
samfundsmæssig interesse
Kildeskatteloven
Klinikadministration
Kommunen
NETS
Revisor
Bogholder Lonni
Bogholder Lonni
MitVirk/NemRefusion
NETS NemID portal (Medarbejdersignatur)
N/A
Lønanvisning
Bogføring
Ansøgning om sygedagpenge, barsel m.m.
Personoplysning
Oplysninger om HR, løn og skat
Oplysninger om løn
Bilag med CPR-nr.
Sygedagpengeloven
Videregivelse mhp. opfyldelse af kontrakt/retlig forpligtigelse, jf. Forordningens artikel 6.1.b og c
Hvis revisor anviser løn for klinikken, indgås databehandleraftale. Ift. regnskabsaflæggelse er revisor dataansvarlig efter årsregnskabsloven.
Kontrakt
Kontrakt
NOTE1: Hvis du benytter systemer eller software-løsninger (fx cloud baseret office365), som overfører data til lande uden for EU, skal din dokumentation også indeholde oplysning herom. Tilføj i så fald en række nederst i ovenstående liste med oplysninger herom.
NOTE2: Kolonnen ”System” dækker over forskellige elektroniske systemer. I visse tilfælde, fx i relation til arbejdsgivere og forsikringsselskaber, kan kommunikation dog også foregå ved almindelig postforsendelse.
Sletning af personoplysninger
Forventede tidsfrister for sletning af forskellige kategorier af oplysninger
Helbredsoplysninger indeholdt i patientjournaler
Oplysningerne slettes i overensstemmelse med lovgivningens krav, se journalførinsgsbekendtgørelsens §§15-16 (Bekendtgørelse nr. 990/2017). Som reglerne er nu, skal helbredsoplysninger indeholdt i en patientjournal opbevares mindst 10 år, billeddiagnostik dog 5 år. Hvis der verserer en klage- eller erstatningssag skal oplysningerne opbevares, indtil sagen er afsluttet.
Generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger
Klinikkens systemhus (og evt. andre databehandlere) har i en databehandleraftale forpligtet sig til at sikre, at der træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer uvedkommende til kendskab, misbruges eller i øvrigt behandles i strid med lovgivningen.
Kommunikation af personoplysninger skal ske over sikre forbindelser. Personoplysninger, der overføres eller opbevares uden for et lukket netværk kontrolleret af Databehandleren, skal beskyttes med kryptering. Hvor det er passende og hensigtsmæssigt henset til oplysningernes karakter, skal oplysningerne desuden pseudonomiseres.
Adgangskontroller og –begrænsninger skal indføres i passende omfang. Fysisk materiale, der indeholder personoplysninger, opbevares aflåst.
Databehandleren skal sørge for løbende sikkerhedskopiering af personoplysningerne, hvis der er indgået aftale herom. Hvis systemhuset ikke foretager backup, skal der indgås aftale herom med en anden leverandør. Kopierne skal opbevares adskilt og forsvarligt og på en måde som sikrer mulighed for at oplysningerne kan genskabes.
Databehandleren har som led i databehandleraftalen forpligtet sig til én gang årligt at afgive en erklæring til mig (den dataansvarlige), der dokumenterer, at databehandleren handler i overensstemmelse med gældende persondataret. Erklæringen baseres på ISAE 3402 eller tilsvarende. Erklæringen skal være underskrevet af en kvalificeret, uvildig instans, f.eks. databehandlerens revisor.