Gode råd til nemt og overskueligt at få styr på GDPR

Har I styr på GDPR-lovgivningen på din tandklinik? Har I underskrifter på alle samtykkeerklæringer? Håndterer og opbevarer I alle personaleoplysninger og patientjournaler korrekt?

Vi har samlet information, gode råd, samt lavet en årlig GDPR-tjekliste – specifikt tilrettet dig, der er ejer af en tandklinik.

Gennem artiklen kan du blive klogere på: 

• Centrale begreber i persondataforordningen, herunder:
  • Persondata, Følsom Persondata, Dataansvarlig, samt Databehandler
• Hvad en samtykkeerklæring indebærer
• Hvad du skal sørge for ved ansættelse af en ny medarbejder
• Hvad du skal sørge for i forbindelse med en fratrædelse
• En årlig GDPR-tjekliste

GDPR kort opsummeret

Persondataforordningen (GDPR) er EU-lovgivningen med definitioner og regler omkring personoplysninger, samt håndtering og deling af persondata. Men hvad er forskellen mellem persondata og følsomme persondata og hvorfor er skelnen vigtig for en tandklinik? Og hvad er desuden en dataansvarlig, en databehandler, og hvordan er reglerne omkring samtykkeerklæringer?

Persondata indebærer al den information, der gør en konkret fysisk person identificerbar. Den personlige persondata gør altså, at man kan genkende eller finde den person, som dataen omhandler. Dette kan fx være navn, CPR-nummer, adresse, lokationsdata (GPS-koordinater), personfoto mv. Typisk vil persondata beskrive personens fysiske, genetiske, mentale, økonomiske, kulturelle eller sociale identitet. På en tandklinik lægger man inde med en masse persondata om personale og patienter, både i form af navne, CPR-numre og adresser.

Følsom Persondata er en bestemt slags persondata, der berører sensitive informationer. Denne data gør det ikke blot muligt at genkende eller finde en person, men fortæller ydermere om en persons racemæssige eller etniske baggrund, politiske eller religiøse overbevisning, fagforeningsmæssige tilhørsforhold eller genetisk og biometrisk data.

Følsomt persondata skal opbevares og håndteres endnu mere forsigtigt end persondata.

Udover den persondata I opbevarer og håndterer om personale og patienter på tandklinikken, findes der også følsomt persondata på klinikken. Dette er blandt andet dele af patienters journaler, samt dele af personaleoplysninger. Dele af patienternes journaler indebærer blandt andet biometrisk data – personoplysninger om fysiske karakteristika, der kan føre til genkendelse af en fysisk person – så som røntgenbilleder af patienters tandstilling.

Det er vigtigt at nævne, at det ikke er lovligt at opbevare flere personlige oplysninger (både persondata og følsomme persondata) end højest nødvendigt på tandklinikken.

En dataansvarlig er den person, der er ansvarlig for, at klinikken beskytter og anvender persondata forsvarligt. Denne person skal sikre sig, at persondataforordningen bliver overholdt. Det er ligeledes den dataansvarliges pligt at rapportere evt. sikkerhedsbrud til den rette tilsynsmyndighed – som i Danmark er Datatilsynet.

Dette gælder ved blandt andet systemnedbrud, tab af data eller hackerangreb. På tandklinikken vil det typisk være dig som klinikejer, der er dataansvarlig, da det er dig, der har det juridiske og økonomiske ansvar i forbindelse med din tandklinik. Du kan dog også give jobbet videre til en kompetent medarbejder, som du stoler på.

En databehandler er én, der behandler data på vegne af den dataansvarlige. Det kan fx være, hvis I på klinikken har et eksternt firma til at stå for jeres online markedsføring eller lønkørsel.

Samtykkeerklæring: Et samtykke er en accept af, at en part (på tandklinikken: en medarbejder) giver lov til at information må indhentes og/eller opbevares, behandles og deles. Et samtykke skal som udgangspunkt være skriftligt, heraf samtykkeerklæring, og være indgået frivilligt. Det er vigtigt at bemærke, at alle medarbejdere på ethvert tidspunkt og med øjeblikkelig virkning kan trække sit samtykke tilbage.

Vigtig tjekliste til din tandklinik

Har I på klinikken styr på persondata, følsomme persondata og hvem, der er dataansvarlig? Nedenfor er en tjekliste med det vigtigste, I skal have for øje på klinikken.

• Har I styr på hvem, der er dataansvarlig på tandklinikken? 
• Har I et samlet overblik over både persondata og følsomme persondata på tandklinikken?
• Motiverer I jeres medarbejderetil at tage persondata alvorligt? 
• Kender alle medarbejdere på klinikken til persondataforordningen?
• Opbevarer I flere personoplysninger på personale eller patienter end højest nødvendigt? 

Kan du svare JA til de første fire spørgsmål og NEJ til det sidste? Så er der stor sandsynlighed for, at I har godt styr på persondataforordningen på din tandklinik. 

Hvis du alligevel ikke synes, at du har helt styr på det, er du velkommen til at sende os en mail på info@kube.com – så kan vi tilsende dig vores skræddersyede kursus. 

Nedenfor kan du læse mere om hvad I skal sørge for, både hvis I ansætter en ny medarbejder eller har en medarbejder, der fratræder sin stilling. 

Ved nyansættelse på tandklinikken

Har I lige ansat en medarbejder eller skal I i gang med en rekrutteringsproces på klinikken? I så fald skal I sørge for at opfylde følgende: 

• Gensidigt underskrevet arbejdskontrakt. Arbejdskontrakten giver den nyansatte status som officielt ansat, hvilket giver klinikken lov til at have og opbevare persondata om vedkommende.
• Medarbejderen skal underskrive samtykkeerklæringen.
• Medarbejderen skal underskrive en specifik samtykkeerklæring ved opbevaring af ekstra persondata. Dette kan blandt andet være information vedrørende sygdom. 

Ved fratrædelse på tandklinikken

I forbindelse med en medarbejders fratrædelse, er der også en nogle ting,  som I skal sørge for på klinikken, herunder:  

• Makulering og destruering af unødvendige personoplysninger om den fratrådte medarbejder (fx bankkonti-oplysninger og lignende) 
• Minimum opbevaring af ansøgning, navn, adresse, CPR-nummer og lignende i 5 år efter fratrædelsesdata.

5 punkter, du kan bruge som en årlig GDPR-tjekliste

Selvom I har indhentet samtykkeerklæringer ved ansættelse af nye medarbejdere og fået dem til at skrive under på arbejdskontakten, er I stadig ikke helt i mål i forhold til persondataforordningen. Der er nemlig processer, der skal følges op på minimum én gang årligt, for at beskytte og håndtere klinikkens data bedst muligt.

• Slet gamle beskeder og mails i jeres mailindbakker, samt indbakker på diverse sociale medier – specielt hvis de indeholder (følsom) persondata. Husk her også at tømme jeres papirkurv for mails. 
• Tjek og opdatér jeres personalemapper. Måske har I en medarbejder, der er fratrådt? Eller måske ligger I inde med oplysninger på en medarbejder, der ikke har arbejdet på klinikken i over 5 år? Mangler I samtykkeerklæringer på nogle af medarbejderne? Eller mangler nogen kontrakter underskrifter?
• Gyldige databehandleraftaler med alle databehandlere. Måske har I skiftet databehandler i det forgangne år? Sørg for, at I har nye/reviderede, dækkende og gyldige aftaler.
• Journaler uden påtegnelser gennem de seneste 10 år skal destrueres. For de patienter, der har skiftet tandlæge, må I kun opbevare journalerne i 5 år.
• Introducér nye medarbejdere til klinikkens persondata-retningslinjer, hvis I ikke har fået det gjort ved ansættelse. Er der nogle medarbejdere, der har arbejdet på klinikken i mange år, kan det muligvis være en god idé med en genopfriskning.

Har I brug for hjælp?

Har du endnu ikke helt styr på persondataforordningen, eller er du i tvivl om, hvorvidt du lever op til lovgivningen på din tandklinik, står vi hos Kube&Co klar til at hjælpe dig. Mange tandklinikker har allerede gjort brug af vores GDPR-kursus, hvor I gennem 8 trin får al den information og guide, der er brug for. Kontakt os pr. telefon: +45 77 34 33 22.