Bliv klar til forordningen - Dansk Kiropraktor Forening

BLIV KLAR TIL FORORDNINGEN


Advokatfuldmægtig med speciale i persondatasikkerhed og kendskab til kiropraktorklinikker, svarer på spørgsmål, der rører sig blandt kiropraktorer, som skal forberede sig på de skærpede krav i EU’s persondataforordning. I KIROPRAKTOREN december 2017 kan du læse en kort version af hans svar. Her er den lange version.

Daniel Hartfield-Traun leverer ydelser og rådgivning om persondataforordningen i firmaet Nordia Law, hvor han er nyansat. Han kom fra en stilling i Finansministeriet og deltog i justitsministeriets udarbejdelse af betænkningen, der beskriver, hvordan EU´s persondataforordning skal implementeres i Danmark. Han har desuden hjulpet flere kiropraktorklinikker med at forberede sig på de nye krav i persondataforordningen og den forestående akkreditering. 

 

Hvilke dokumenter skal man som kiropraktor udarbejde ud over databehandleraftalerne?
"De nye regler indeholder en generel forpligtelse til at kunne påvise overholdelse af forordningen. Behandlingsfortegnelserne er i den sammenhæng nogle af de helt grundlæggende dokumenter. Det er oversigter over de behandlinger af personoplysninger, man foretager i sin klinik. En hel del af disse aktiviteter vil være lovpligtige for klinikkerne.
Start med journalføring, der per definition medfører behandling af personoplysninger. I behandlingsfortegnelserne skal man blandt andet beskrive, hvad formålet er, hvilke oplysninger der er tale om, og hvem de vedrører.

Et andet eksempel er aktiviteter i administrationen, hvor der er nogle selskabsretlige forpligtigelser, fx til at indkalde til generalforsamling. For at det kan lade sig gøre, skal man også behandle personoplysninger.
Det samme gælder bogføringspligten. Her ligger man inde med oplysninger om kreditorer og debitorer.

Markedsføring er måske ikke så stort et emne for kiropraktorer, men hvis man bringer udtalelser fra tilfredse patienter på hjemmesiden, så skal man også dér passe på, at man ikke viderebringer personlige oplysninger uden patientens samtykke.

Derudover er der oplysningspligten. Man er forpligtet til at sikre gennemsigtighed, og man skal derfor informere om de rettigheder til indsigt, berigtigelse og dataportabilitet, som de registrerede vil kunne påberåbe sig. Den klare anbefaling er, at dette sker skriftligt. 

Yderligere skal man kunne håndtere disse rettigheder indenfor 30 dage. Det kan derfor være hensigtsmæssigt at have nedskrevne processer for, hvordan man har tænkt sig at gøre det, selv i tilfælde hvor den registreredes anmodning afvises.

Det en rigtig god idé at dokumentere de små til- og fravalg, man foretager sig. På et senere tidspunkt kan det være svært at huske, hvorfor man for eksempel valgte at anmelde ét brud på sikkerheden til Datatilsynet men ikke et andet. Der skal også være en beskrivelse af, hvordan man agerer i området for intern databeskyttelse i krydsfeltet mellem de manuelle og de IT-tekniske processer.

Hvem har adgang til hvilke systemer? Hvor har de adgang fra? Er der en politik for, hvor langt et password skal være, og hvor tit det skal udskiftes? Hvordan er kontrollen og tilsynet med databehandlerne?

Det er vigtigt at huske, at den skriftlige øvelse kun er begyndelsen. Behandlingsfortegnelserne er et godt udgangspunkt, men næste trin er en ledelsesopgave, som handler om at få det hele til at ske i praksis. 
Klinikkerne er ofte bedre med på den praktiske del end den skriftlige."   


Er der dokumenter, som er mere personfølsomme end andre?

"Ja, for klinikkernes vedkommende er det almindeligvis patientjournaler og personalesager, som ligger i den følsomme ende. Begge dele indeholder det, der hedder ’særlige kategorier af oplysninger’, altså det man tidligere kaldte ’personfølsomme oplysninger’.

Patientjournalerne indeholder helbredsoplysninger, og det samme vil ofte gøre sig gældende for personalesagerne, fx oplysninger om barsel.
CPR-numrene i klinikken skal beskyttes omtrent lige så godt som helbredsoplysninger. Det skal de, selvom de rent juridisk ikke er omfattet af definitionen af særlige kategorier af oplysninger, og dermed ikke er ’personfølsomme’."  

Kiropraktorer, der samarbejder med forsikringsselskaber, bliver hos nogle selskaber bedt om at udfylde data på en internetbaseret portal. Typisk fremgår patientens cpr-nummer, og klinikken bliver bedt om komme med en kort status på forløbet. Hvem er ansvarlig for disse data? Er der noget kiropraktorklinikken skal sikre sig?
"
Indledningsvis vil jeg understrege, at man først og fremmest er ansvarlig for håndteringen af data, og ikke data i sig selv.

Det betyder, at klinikken er ansvarlig for den håndtering, som består i at videregive oplysningerne, og at forsikringsselskabet er ansvarlig for indsamlingen.

Kiropraktoren skal derfor sikre overholdelse af reglerne for sundhedspersoners videregivelse af helbredsoplysninger på deres side af skærmen. 

I dag er det persondata- og sundhedsloven, der sætter rammerne for videregivelsen.

I praksis skal man sørge for, at den person på klinikken, som skriver oplysningerne ind på et forsikringsselskabs portal, er berettiget til at foretage den øvelse. Det vil typisk være kiropraktoren selv eller en klinikassistent.

Hvis man er en større klinik, og der er fysioterapeuter eller massører tilknyttet, så må man ikke bede en af dem om at skrive oplysningerne ind, for de har ikke et arbejdsbetinget behov for at gøre det.
Det vil i øvrigt give rigtig god mening at medtage videregivelse af oplysninger i den generelle beskrivelse af, hvordan man håndterer personoplysninger.

På den anden side af skærmen er forsikringsselskaberne selv ansvarlige for alle dele af indsamlingen af data. De skal blandt andet have sat deres system op på en måde, så det kun er de kiropraktorer, de beder om at videregive oplysninger, der har adgang til systemet.

Både klinikken og forsikringsselskabet er kort sagt ansvarlige, men på hver deres grundlag."


Klinikkerne modtager ofte uopfordrede jobansøgninger. Hvor længe må disse ligge, og skal de opbevares et særligt sted, eller er indbakken i mailprogrammet ok?
"Der er ingen faste grænser for, hvor længe ansøgninger må opbevares, men man skal vurdere, hvor længe det er nødvendigt. Man skal også opretholde gennemsigtigheden i forbindelse med håndteringen.
I praksis betyder det, at ansøgeren blandt andet skal informeres om, hvor længe ansøgningerne opbevares. Uanset om man fastsætter perioden til tre, seks eller flere måneder, skal man kunne argumentere for, hvorfor det er rimeligt.

Både almindelige og uopfordrede jobansøgninger indeholder personlige oplysninger, tit og ofte også ’de særlige kategorier’.

Det ligger i sagens natur, at en jobansøger vil fortælle så meget, som det nu er passende, om sig selv. Typisk noget om, hvem de er gift med, hvad de laver i deres fritid, og om de har nogle arbejdsrelaterede handicap.

Det gode råd er at behandle alle ansøgninger ens, som om de indeholder særlige kategorier af oplysninger. Ellers bliver det et større analysearbejde hver gang, for en jobansøgning vil ofte bevæge sig på kanten af det personfølsomme.

Hvad angår selve opbevaringen er det helt centrale, at uvedkommende ikke må kunne få kendskab til ansøgningerne. Hvis en kiropraktor har valgt at være eneste person, der er inde over ansættelsesforløb i virksomheden, så må klinikassistenten fx ikke kunne tilgå ansøgningerne.
Det kan være noget af en udfordring i praksis, hvis man har indrettet sig på den måde, for de fleste klinikker bruger hovedpostkassen som kontaktpunkt. Og uanset om man har oprettet en særlig mailadresse til ansøgninger, så vil mange ansøgere alligevel skrive til hovedpostkassen. 
Når så ansøgningerne ligger på computeren, kan det være problematisk, hvis man går fra den uden at låse skærmen, særligt hvis den i øvrigt er et sted, hvor andre kan komme til den.

De fleste af udfordringerne kan dog klares relativt let og ganske billigt ved, at man eksempelvis anvender en særskilt mailadresse til ansøgninger, som man styrer adgangen til og husker at låse efter sig, når man går fra maskinen.

Hvis de ting er på plads og beskrevet, er man godt på vej."


Der opbevares røntgenbilleder og mr-skanninger i klinikken både på CD og som gamle film. Skal disse være låst inde?
"Det korte svar er ‘ja’.

Materialet skal være låst forsvarlig inde, for her har vi med helbredsoplysninger at gøre.

De fysiske nøgler til skabet skal håndteres med samme årvågenhed som logins til IT systemerne. Og princippet er det samme:
Man skal vide hvem, der har nøgler til hvad, hvor mange nøgler der er, og man skal have styr på, at man har fået dem retur.

Fysisk opbevaring i et aflåst skab har sine fordele og ulemper. Hvis man ikke har nogen kopi af materialet bliver man ekstra sårbar overfor tyveri eller brand. Det kan derfor være en god idé at digitalisere så meget som muligt, så man kan have en backup et andet sted.

Derudover skal man være opmærksom på, at det største sikkerhedsproblem ikke er, når materialet ligger låst inde i skabet eller systemet, men når det skal ud og anvendes. Det kan fx være fordi, der skal tages en kopi til patienten.

I samme øjeblik materialet er ude af skabet, ændrer risikobilledet sig. Det kan blive væk eller forbyttes. Derfor giver det rigtig god mening at beskytte materialet med kryptering, hvis man kan. På den måde kan patienten få materialet i hånden og koden til at låse det op ad en anden kanal, som fx mail.

Vi kommer igen tilbage til dokumentationen. For dette er også et område, som er rigtig godt at have beskrevet skriftligt, hvis man får besøg af tilsynet og akkrediteringsfolkene. ‘Det er sådan vi gør’."

Hvis du allerede har gjort en del for at implementere de eksisterende regler, så er du måske tættere på, end du tror

Hvor ser du den største udfordring for kiropraktorerne?
"Det er uden tvivl ressourcer. De færreste kiropraktorer har tid til at gennemføre denne ret langhårede øvelse egenhændigt.
Der er meget skriveri og mange vurderinger, man skal foretage, som man ikke nødvendigvis er rustet til.

Det kræver et overblik over de forskellige regelsæt, som endda ændrer sig løbende. Udover de nye databeskyttelsesregler er der en del særregler som for eksempel journalføringsbekendtgørelsen, og sundhedsloven. Der er også en del regler på ansættelsesområdet og nogle selskabsretlige regler, som griber ind i hinanden på måder, der ikke er én til én.

Alt dette er typisk ikke noget, der interesserer kiropraktorerne særlig meget. De vil som regel helst bare behandle deres patienter.

Specielt de små enkeltmandsklinikker, hvor udfordringen er lige så stor som på de større klinikker, kan komme til at stå i den situation, at de ikke har den nødvendige indsigt i sikkerhedsopsætning og regler, men heller ikke særlige poster i budgettet til opgaven. Og det er faktisk nødvendigt at forstå regelkomplekset, for man kan kun påvise overholdelse af reglerne i det øjeblik, man forstår dem.

De kiropraktorer, jeg har talt med har nogenlunde styr på praktikken, men mangler faste og veldokumenterede processer for det.

Når man drøfter sikkerheden med dem, viser det sig, at den er godt på vej, men der er en del uvished om baggrunden for de enkelte valg og fravalg af foranstaltninger. Til gengæld bliver kiropraktorerne positivt overraskede over, at de ofte er meget tættere på at være i mål med praktikken, end de selv regner med.

Nogle regler er nemmere at forstå end andre. Selvfølgelig skal man styre, hvem der har adgang til journalerne. Det kan alle, der beslutter sig for det, få styr på.

Andre regler er vanskeligere at forholde sig til. Eksempelvis når man skal vurdere, om der er brug for at have to-faktor-autentifikation og VPN, fordi man har fjernadgang til arbejdssystemerne, eller om der skal indgås specifikke tavshedspligterklæringer med de ansatte. Meget kan klares med lidt rådgivning.

Det vigtigste i første omgang er, at man får et overblik over de aktiviteter, som medfører behandling af personoplysninger. Når det er på plads, kan man begynde at se på, hvilke juridiske og sikkerhedsmæssige forpligtelser, man har. På den måde kan man prioritere indsatsen og nå i mål til tiden." 


Kan man lave en manual, som alle kiropraktorer kan følge for at gøre sig forordningsklar, eller er det en meget individuel øvelse?
"De kiropraktiske klinikker har en del fællestræk, både hvad angår organisering, aktiviteter og systemer. Især processerne omkring et behandlingsforløb er meget ens. Der bliver oprettet en patientjournal, som bliver vedligeholdt, mens patienten er i behandling. Når behandlingen er overstået, bliver journalen opbevaret, indtil den skal slettes, kort sagt.

Derfor kan man godt forsigtigt tale om at lave manualer for visse elementer. Det kan eksempelvis være fælles politikker for adgangskoder, opbevaring af ansøgninger og brug af hjemmearbejdspladser.
I forhold til systemerne, så er der kun en håndfuld på markedet. Det kan derfor give god mening, at blive enige om udformningen af sine databehandleraftaler på tværs af klinikkerne og i fællesskab forhandle dem på plads med leverandørerne.

Andre dele må klares individuelt.

I forhold til den fysiske sikkerhed er hver enkelt klinik unik og skal derfor tænke og agere selvstændigt.

Det er eksempelvis helt afgørende for både de juridiske og sikkerhedsmæssige behov, om man har serveren stående i kælderen, eller om man bruger klassisk hosting eller en cloud-udbyder.

Organisatorisk vil der også være forskelle. Hvis man er på en stor klinik, hvor der er mange i turnus og stor personaleudskiftning, vil der være behov for en skærpet brugerrettighedsstyring.

Men groft sagt er forholdene ens eller næsten ens omkring aktiviteterne, og unikke omkring den fysiske og mere tekniske sikkerhed."


Hvad er forskellen på det, klinikejere har ansvar for, og så det, man som praktiserende kiropraktor har ansvar for?
"
Når vi snakker dataansvar, så er det vigtigt at være klar over, at det er klinikken/virksomheden, der er den dataansvarlige. Uanset om der kun er en enkelt kiropraktor, der klarer det hele selv, eller om der er 3-4 kiropraktorer og et par klinikassistenter.

Enkeltpersoner er således ikke dataansvarlige. Det er den juridiske person ‘klinikken’.

Virksomheden kan imidlertid ikke selv foretage nogle aktive handlinger, så i praksis vil det være op til personalet at følge reglerne. Så man kan sige, at personalet er ansvarlig for at overholdelsen af forordningen bliver udlevet. Men ikke i rent juridisk forstand.

Hvis klinikejerne står som ansvarlige for virksomheden, er det dem, man går til som tilsyn - ligesom i al anden virksomhedsdrift.

Man interesserer sig ikke for de ansatte kiropraktorer og klinikassistenterne. Heller ikke selvom det er i den gruppe, der er blevet begået fejl."  


Hvor stor en opgave er det for den gennemsnitlige klinik at gøre sig forordningsklar?
"Jeg kan lige så godt sige det som det er. Det er en stor opgave. Det er ikke en afkrydsningsøvelse, hvor man kan sætte nogle hak i en tjekliste, og så kører det.

Det vil være en rigtig god idé at gå sammen med nogle andre kiropraktorer for at få styr på det her. Typisk vil man kunne hjælpe hinanden på tværs et langt stykke af vejen, fordi klinikkerne har så ens profiler.  Så tag en god kollega under armen, som da vi skulle til eksamen i skolen og mødtes med et par klassekammerater i tiden op til. 

Og husk: Hvis du allerede har gjort en del for at implementere de eksisterende regler, så er du måske tættere på, end du tror."

 

 > Gå til vores vejledning om persondata, it og sikkerhed

 

14. december 2017 

Gå til vores vejledning om persondata, it og sikkerhed

Akkreditering og forordningen

Nr. 6 af de 13 standarder i akkrediteringen handler om patientjournalen, datasikkerhed og fortrolighed.

Omkring maj 2018, hvor EU’s nye forordning træder i kraft, vil standarden referere til den ny lovgivning.

”Klinikker, der akkrediteres efter standarderne i deres nuværende form, vil være nødt til at forholde sig til flere emner efter den 25. maj næste år. Det drejer sig eksempelvis om databehandleraftalerne, der efter de kommende regler skal være meget mere detaljerede. Derudover er der selve sikkerhedsdelen, hvor nogle af reglerne strammes, mens andre løsnes. Der vil eksempelvis ikke være et udtalt krav om logning, som det er tilfældet med sikkerhedsbekendtgørelsen i dag. Man skal derfor passe på med ikke at ende med en skæv prioritering af arbejdet. Det vil være en ressourcekrævende affære efterfølgende at skulle genbesøge og ændre den måde, man har indrettet sig på,” siger Daniel Hartfield-Traun.

Find en kiropraktor