ARTIKEL 30


Dokumentation for behandling af personoplysninger efter persondataforordningens art. 30 

En virksomhed har pligt til at udarbejde og løbende opdatere dokumentation for alle virksomhedens databehandlingsaktiviteter. Dokumentationen skal foreligge skriftligt og elektronisk, så den på anmodning kan udleveres til Datatilsynet. Dokumentationen skal ikke indsendes til Datatilsynet, med mindre tilsynet i en konkret sag anmoder om det.
 

 

Den dataansvarlige
Navn Lægeklinikken Vandel
CVR-nummer 15257849
Adresse Gl. Stationsvej 15, 7184 Vandel
Telefonnummer 75885666
E-mail adresse doc@aerodoc.dk
Hjemmeside www.aerodoc.dk
   
Behandlingen af personoplysninger
Behandlingens betegnelse Indsamling og videregivelse af helbredsoplysninger om patienter
Formålene med behandlingen Hovedformålet med behandlingen af helbredsoplysninger er at muliggøre behandling af patienter. For at muliggøre patientbehandlingen, er det nødvendigt at der videregives helbredsoplysninger til forskellige aktører i sundhedssektoren, herunder til afregningsformål.

 

Kategorier af registrerede personer og kategorierne af personoplysninger

Kategori:
Patienter

Særlige kategorier af personoplysninger (sæt kryds i boksene)

☒  Race eller etnisk oprindelse
☐  Politisk overbevisning
☐  Religiøs overbevisning
☐  Filosofisk overbevisning
☐  Fagforeningsmæssigt tilhørsforhold

☒  Helbredsoplysninger
Ved helbredsoplysninger forstås:
Journaloplysninger vedr. diagnostik, undersøgelse og behandling af patienten, medicin, prøvesvar, tests, røntgenbilleder, scanningssvar, attester, henvisninger m.v.
☒  Seksuelle forhold eller orientering
☐  Genetiske elle biometriske data til brug for identifikation, f.eks. irisscanning og fingeraftryk som adgangskontrol
☐  Strafbare oplysninger

☒  Almindelige kategorier af personoplysninger: Stamdata, dvs. patientens navn, personnummer, e-mail og hjemmeadresse samt telefonnummer.

 

Modtagere af personoplysningerne 

Af nedenstående fremgår en samlet liste over modtagere (både selvstændigt dataansvarlige og databehandlere), som personoplysningerne overlades eller videregives til, systemer, typer af oplysninger og hjemmel

 
Formål Modtager  System Type oplysning(er) Hjemmel
Patientbehandling

Leverandør af elektronisk journalsystem
EG A/S

Journalsystem Clinera Helbredsoplysninger Databehandleraftale med systemhus

PLSP A/S

Praksisleverandørernes serviceplatform Helbredsoplysninger

Databehandleraftale
(Via systemhus)

MultiMED

Henvisningshotellet Henvisninger Databehandleraftale (Via systemhus)

Danish Medical Data Distribution (DMDD

WebReq & WebPatient Bestilling af laboratorieprøver & opbevaring af borgerens spørgeskemasvar Databehandleraftale
DAK-E Sundhedsmappen (Digitale Forløbsplaner) Helbredsoplysninger Databehandleraftale
Offentlige myndigheder (regioner, kommuner) Sundhedsdatanet og VANS (MedCom-beskeder) Helbredsoplysninger Sundhedslovens §43
Andre sundhedsaktører (speciallæger, privathospitaler mv) Sundhedsdatanet og VANS (MedCom-beskeder) Helbredsoplysninger Sundhedslovens §41
Sundhedsdatastyrelsen Det Fælles Medicinkort Medicinoplysninger Sundhedslovens §157
Sundhedsdatastyrelsen Det Danske Vaccinationsregister Vaccinationer Sundhedsloven §157
Patienten selv i forbindelse med aktindsigt i helbredsoplysninger Lægens journalsystem Helbredsoplysninger Sundhedslovens §37 og Persondataforordningens artikel 15 om indsigtsret
Marius Pedersen Bortskaffelse Personfølsomme dokumenter til makulering Databehandleraftale

Forskning

 

 

 

 

 

Administration og kvalitetsudvikling

Kliniske kvalitetsdatabaser (RKKP) Dansk Voksen Diabetes Database Helbredsoplysninger Sundhedslovens §196

Syddansk Universitet
(projekt: FAST)

- Helbredsoplysninger Ved samtykke fra patienten
Sundhedsdatastyrelsen Statens elektroniske indberetningssystem (SEI) Oplysninger om dødsfald Bekendtgørelse nr. 1046 af 20. oktober 2016, jf. sundhedslovens §190
Sundhedsdatastyrelsen DPSD2 Utilsigtede hændelser Sundhedslovens §§198-199

Styrelsen for Patientsikkerhed (STPS)

STPS sikker mail (digital signatur)

Helbredsoplysninger

(ifm. praksislukning)

Ved samtykke fra patienten

Styrelsen for Patientsikkerhed/Patienterstatningen
 

Patienterstatningens indberetningsløsning Helbredsoplysninger Sundhedslovens §43, jf. lov om klage-og erstatningsadgang inden for sundhedsvæsenet
Regioner Sygesikrings-og afregningssystemet Ydelsesoplysninger Sundhedslovens §69
 Forsikring og pension DMDD (It-leverandør) Helbredsoplysninger og attester Ved samtykke fra patienten
Politi og domstole N/A Helbredsoplysninger Enten ved samtykke, sundhedslovens §179 eller retsplejeloven
Sociale myndigheder (fx kommune og Udbetaling Danmark) EG Kommuneinformation A/S Helbredsoplysninger og attester Ved samtykke fra patienten eller efter retningslinjer i det socialt lægelige samarbejde

Trafik-, Bygge- og Boligstyrelsen

N/A Helbredsoplysninger og attester Ved samtykke fra patienten
Netværkskommunikation

MedCom

Sundhedsdatanet Helbredsoplysninger

Databehandleraftale
(Via systemhus)

VANS-leverandører

VANS-net Helbredsoplysninger

Databehandleraftale
(Via systemhus)

[Har du en anden leverandør af klinikkens netværksløsning end dit systemhus, fx TDC-erhverv? - Indsæt oplysninger her] - - -
Klinikadministration

Leverandør af lønsystem
Bluegarden A/S

Lønsystem Oplysninger om løn Databehandleraftale
Danske Regioner Praksis- og afregningsportalen (sundhed.dk) Praksisdeklarationer og tilmelding til yderregisteret Persondataforordningens artikel 6, 1b og 1e om behandling mhp. opfyldelse af kontrakt og samfundsmæssig interesse
SKAT MitVirk Skatteoplysninger Kildeskatteloven
Kommunen MitVirk/NemRefusion Ansøgning om sygedagpenge, barsel mv. Sygedagpengeloven

Revisor Leon Pinholt

N/A Oplysninger om HR, løn og skat Ift. regnskabsaflæggelse er revisor dataansvarlig efter årsregnskabsloven.

 

Sletning af personoplysninger
Forventede tidsfrister for sletning af forskellige kategorier af oplysninger Helbredsoplysninger indeholdt i patientjournaler Oplysningerne slettes i overensstemmelse med lovgivningens krav, se Journalførinsgsbekendtgørelsens §§15-16 (Bekendtgørelse nr. 990/2017). Som reglerne er nu, skal helbredsoplysninger indeholdt i en patientjournal opbevares mindst 10 år, billeddiagnostik dog 5 år. Hvis der verserer en klage- eller erstatningssag skal oplysningerne opbevares, indtil sagen er afsluttet.

 

Generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger​
Sikkerhed

Klinikkens systemhus (og evt. andre databehandlere) har i en databehandleraftale forpligtet sig til at sikre, at der træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer uvedkommende til kendskab, misbruges eller i øvrigt behandles i strid med lovgivningen.

 

Kommunikation af personoplysninger skal ske over sikre forbindelser. Personoplysninger, der overføres eller opbevares uden for et lukket netværk kontrolleret af Databehandleren, skal beskyttes med kryptering.  Hvor det er passende og hensigtsmæssigt henset til oplysningernes karakter, skal oplysningerne desuden pseudonomiseres.

 

Adgangskontroller og –begrænsninger skal indføres i passende omfang. Fysisk materiale, der indeholder personoplysninger, opbevares aflåst.

 

Databehandleren skal sørge for løbende sikkerhedskopiering af personoplysningerne. Kopierne skal opbevares adskilt og forsvarligt og på en måde som sikrer mulighed for at oplysningerne kan genskabes.

 

Databehandleren har som led i databehandleraftalen forpligtet sig til én gang årligt at afgive en erklæring til mig (den dataansvarlige), der dokumenterer, at databehandleren handler i overensstemmelse med gældende persondataret. Erklæringen baseres på ISAE 3402 eller tilsvarende. Erklæringen skal være underskrevet af en kvalificeret, uvildig instans, f.eks. databehandlerens revisor.

   
Administrationsprogram

Office 365

(cloud løsning)     

Klinikken anvender cloud løsning vedr. Office 365. Der lagres ikke personfølsomme data i clouden herunder.