Databeskyttelsespolitik

Politik for behandling og beskyttelse af personoplysninger

Databeskyttelsespolitikken gælder for Maria Lægerne (klinikken).

Politikken skal hjælpe til at sikre og dokumentere, at klinikken beskytter sine personoplysninger i overensstemmelse med reglerne for behandling af personoplysninger. Politikken bidrager desuden til, at klinikken oplyser om behandlingen og brugen af de registrerede personoplysninger.

Politikken gennemgås hvert år.

 

Fortegnelse over behandlingen af personoplysninger

Klinikken behandler personoplysninger om:

  • Medarbejdere
  • Patienter
  • Leverandører
  • Ansøgere

Klinikken har udarbejdet en fortegnelse over behandlingen af personoplysninger. Fortegnelsen giver overblik over de behandlinger, som klinikken er ansvarlig for.

Personoplysningerne er en forudsætning for, at Klinikken kan indgå ansættelses- og leverandørkontrakter samt behandle og administrere patienter.

 

Behandlingens formål og lovlighed

Personoplysningerne behandles og arkiveres i forbindelse med:

  • Personaleadministration, herunder rekruttering, ansættelse, fratrædelse og udbetaling af løn
  • Stamdata for patienter i henhold til reglerne for journalføring
  • Behandling af patienter
  • Stamdata for leverandører samt rekvisitioner og køb

Behandlingen er lovlig i medfør af hjemmel som angivet i vedhæftede fortegnelse.

Klinikken benytter ikke personoplysningerne til andre formål end de listede. Klinikken indsamler ikke flere personoplysninger end nødvendigt i forhold til opfyldelse af formålet.

 

Opbevaring og sletning

Klinikken har indført følgende overordnede retningslinjer for opbevaring og sletning af personoplysninger:

  • Personoplysninger opbevares i fysiske mapper.
  • Personoplysninger opbevares i it-systemer og på serverdrev.
  • Personoplysninger opbevares ikke længere, end hvad der er nødvendigt for formålet med behandlingen.
  • Patientjournaler skal i henhold til journalføringsbekendtgørelsen opbevares i minimum 10 år.
  • Personoplysninger for medarbejdere slettes fem år efter endt ansættelse, og personoplysninger om ansøgere slettes efter seks måneder.

 

Datasikkerhed

Klinikken har ud fra vedhæftede risikovurdering bl.a. gennemført følgende sikkerhedsforanstaltninger for beskyttelse af personoplysninger:

  • Kun medarbejdere, der har et arbejdsbetinget behov for adgang til de registrerede personoplysninger, har adgang hertil enten fysisk eller gennem it-systemer med rettighedsstyring.
  • Alle computere har adgangskode, og medarbejderne må ikke overlade deres adgangskoder til andre.
  • Computere skal have installeret firewall og antivirusprogram, der løbende opdateres.
  • Personoplysninger slettes på forsvarlig vis ved udfasning og reparation af it-udstyr.
  • USB-nøgler, eksterne harddiske mv. med personoplysninger skal opbevares i aflåst skuffe eller skab.
  • Fysiske mapper er placeret på aflåst kontor eller i aflåste skabe.
  • Personoplysninger i fysiske mapper slettes ved makulering.
  • Alle medarbejdere skal modtage instruktion i, hvad de må gøre med personoplysninger samt, hvordan personoplysninger skal beskyttes.

 

Videregivelse

Personoplysninger om medarbejdere vil blive videregivet til offentlige myndigheder, fx SKAT og pensionsselskaber og i forbindelse med ansøgning om tilskud for patientbehandling.

 

Databehandlere

Klinikken benytter udelukkende databehandlere, såfremt databehandlerne stiller de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske sikkerhedsforanstaltninger til opfyldelse af persondatarettens krav. Alle databehandlere underskriver en databehandleraftale, forinden behandlingen iværksættes.

 

Rettigheder                                

Klinikken varetager den registreredes rettigheder, herunder, men ikke begrænset til, retten til indsigt, aktindsigt, tilbagetrækning af samtykke, berigtigelse og orienterer de registrerede om klinikkens behandlinger af personoplysninger. Registrerede har ligeledes ret til at klage til Datatilsynet.

 

Brud på persondatasikkerheden

I tilfælde af brud på persondatasikkerheden anmelder klinikken hurtigst muligt og inden 72 timer bruddet til Datatilsynet. I anmeldelsen beskrives bruddet, hvilke grupper af personer det vedrører, og hvilke konsekvenser bruddet kan få for disse personer, samt hvordan Klinikken har afhjulpet eller vil afhjælpe bruddet. I tilfælde, hvor bruddet indebærer en høj risiko for de personer, om hvem Klinikken behandler personoplysninger, vil Klinikken endvidere underrette disse. Klinikken dokumenterer alle brud på persondatasikkerheden.