Dokumentation for behandling af personoplysninger efter databeskyt-telsesforordningens art. 30 Version: 13/11-2024 Den dataansvarlige Navn Øre-, næse- og halsklinikken v/speciallæge Karin Lambertsen CVR-nummer 25719514 Adresse Vestergade 34, 4930 Maribo Telefonnummer +45 54780720 E-mailadresse Klinikken.maribo@gmail.com Hjemmeside https://oerelaegen-maribo.dk
1. PATIENTER Behandlingen af personoplysninger Behandlingens betegnelse Indsamling, opbevaring, behandling og videregivelse af personoplysninger om patienter Formålene med behandlingen Hovedformålet med behandlingen af helbredsoplysninger mv. er at muliggøre behandling af patienter. For at muliggøre patientbehandlingen, er det nødven-digt, at der videregives helbredsoplysninger til forskellige aktører i sundhedssek-toren, herunder til afregningsformål. Patientoplysninger behandles også til f.eks. forskning og kvalitetsudvikling Kategorier af registrerede personer og kategorierne af personoplysninger Kategori: Patienter Særlige kategorier af personoplysninger (sæt kryds i boksene) ☒ Race eller etnisk oprindelse ☐ Politisk overbevisning ☒ Religiøs overbevisning ☐ Filosofisk overbevisning ☐ Fagforeningsmæssigt tilhørsfor-hold ☒ Helbredsoplysninger Ved helbredsoplysninger forstås journaloplysninger vedr. diagnostik, undersøgelse og behandling af patienten, medi-cin, prøvesvar, tests, billeder, scanningssvar, attester, hen-visninger, øvrige helbredsoplysninger indsamlet via korre-spondance med dig i forbindelse med e- og videokonsultati-oner m.v. ☒ Seksuelle forhold eller orientering ☐ Genetiske elle biometriske data til brug for identifikation, f.eks. irisscanning og fingeraftryk som adgangskontrol ☐ Oplysninger om strafbare forhold ☒ Almindelige kategorier af personoplysninger: Stamoplysninger, som f.eks. navn, adresse, evt. e-mailadresse, telefonnummer, fødselsdato, og herudover CPR-nummer, køn, familierelationer og socia-le relationer, stilling, arbejdsrelationer og uddannelse, videooptagelser ifm. tv-overvågning i klinik-ken, Modtagere af personoplysningerne Af nedenstående fremgår en samlet liste over modtagere (både selvstændigt dataansvarlige og databehandlere), som patienters personoplysninger overlades eller videregives til, systemer, typer af oplysninger og hjemmel Formål Modtager System ( Type oplysninger Rolle Patientbe-handling Lægens leverandør af elektronisk journalsy-stem EG Clinea Journalsystem Helbredsoplysninger, stamoplysninger og øvri-ge personoplysninger, der indgår i journalen Databehandler Region Syddanmark Den Nye Henvisnings-formidling (DNHF) Henvisninger, herunder helbredsoplysninger og stamoplysninger på pati-enten Databehandler Trifork A/S Videokonsultationer og Min Læge App Helbredsoplysninger og stamoplysninger på pati-enten Under-underdatabehandler (via systemhus) PLSP A/S Praksisleverandører-nes serviceplatform Min Læge app'en, videokonsultationer Helbredsoplysninger, stamoplysninger Underdatabehandler (Via systemhus) SynLab WebReq & WebPatient Helbredsoplysninger og stamoplysninger ifm. bestilling af laboratorie-prøver & opbevaring af borgerens spørgeskema-svar Databehandler Andre sundhedsperso-ner /sundhedsaktører (f.eks. alment praktise-rende læge, speciallæ-ger, sygehuse, privat-hospitaler mv.) Sundhedsdatanet og VANS (MedCom-beskeder) Helbredsoplysninger, stamoplysninger og øvri-ge personoplysninger, der indgår i journalen Selvstændig dataansvar-lig Offentlige myndigheder (regioner, kommuner) Sundhedsdatanet og VANS (MedCom-beskeder) Helbredsoplysninger, stamoplysninger og øvri-ge personoplysninger, der indgår i journalen Selvstændig dataansvar-lig Sundhedsdatastyrelsen Det Fælles Medicin-kort og Det Danske Vaccinationsregister Medicinoplysninger og vaccinationer Selvstændig dataansvar-lig - - - Forskning og kvalitetsudvik-ling Kliniske kvalitetsdataba-ser (RKKP) Kliniske kvalitetsdata-baser. Helbredsoplysninger, evt. køn og alder Selvstændig dataansvar-lig - - - Administration og indberet-ninger Sundhedsdatastyrelsen Statens elektroniske indberetningssystem (SEI2) Oplysninger om dødsfald Selvstændig dataansvar-lig Sundhedsdatastyrelsen Sentinel Cpr.-nr., diagnosekoder, dato for henvisning og epikriser Selvstændig dataansvar-lig Sundhedsdatastyrelsen Dansk Patient-Sikkerheds-Database (DPSD) Utilsigtede hændelser, herunder helbredsoplys-ninger Selvstændig dataansvar-lig Sundhed.dk (Sundheds-journalen) Sentinel Helbredsoplysninger, cpr-nr. og navn Databehandler Region Nordjylland (Sundhedsjournalen) Sentinel Helbredsoplysninger, cpr-nr. og navn Underdatabehandler via Sundhed.dk KIH-databasen SynLab PRO-data (patientrappor-terede oplysninger) ind-samlet via spørgeskemaer Underdatabehandler til SynLab Styrelsen for Patientsik-kerhed (STPS) STPS indberetnings-løsning Helbredsoplysninger, stamoplysninger og øvri-ge personoplysninger, der indgår i journalen (ifm. praksislukning) Selvstændig dataansvar-lig Andre sundhedsperso-ner Via journalsystem Helbredsoplysninger, stamoplysninger og øvri-ge personoplysninger, der indgår i journalen (ifm. praksislukning eller patientens skifte) Selvstændig dataansvar-lig Styrelsen for Patientsik-kerhed (STPS) STPS indberetnings-løsning Helbredsoplysninger stamoplysninger og øvri-ge personoplysninger, der indgår i journalen (ved afværgelse af fare, f.eks. ifm. mulig inddragel-se af kørekort) Selvstændig dataansvar-lig Styrelsen for Patientsik-ker-hed/Patienterstatningen Patienterstatningens indberetningsløsning Helbredsoplysninger, stamoplysninger og øvri-ge personoplysninger, der indgår i journalen Selvstændig dataansvar-lig Regioner Sygesikrings-og af-regningssystemet Ydelsesoplysninger Selvstændig dataansvar-lig Forsikrings- og pensi-onsselskaber SynLab (It-leverandør) Helbredsoplysninger og attester Selvstændig dataansvar-lig Politi og domstole N/A Helbredsoplysninger, stamoplysninger og øvri-ge personoplysninger, der indgår i journalen Selvstændig dataansvar-lig Sociale myndigheder (fx kommune og Udbetaling Danmark) EG Kommuneinforma-tion A/S Helbredsoplysninger og attester, stamoplysninger og øvrige personoplys-ninger, der indgår i jour-nalen Selvstændig dataansvar-lig Arbejdsmarkedets Er-hvervssikring Virk.dk (e-blanket) Helbredsoplysninger, stamoplysninger og øvri-ge personoplysninger, der indgår i journalen Selvstændig dataansvar-lig Lægemiddelstyrelsen Lægemiddelstyrelsens e-blanket Bivirkninger ved medicin og vaccinationer Selvstændig dataansvarlig Revisor, advokater og andre rådgivninger ifm. rådgivning og/eller tvister (f.eks. en klagesag) - Oplysninger til brug for en klagesag eller retssag, herunder helbredsoplys-ninger, stamoplysninger og øvrige personoplys-ninger, der indgår i jour-nalen Selvstændig dataansvar-lig Netværks-kommunikati-on MedCom Sundhedsdatanet Helbredsoplysninger Underdatabehandler (Via systemhus) VANS-leverandører VANS-net Helbredsoplysninger Underdatabehandler (Via systemhus) Viptel telefoni - Alle kategorier af person-oplysninger Selvstændigt dataansvar-lig Sletning af personoplysninger Forventede tidsfrister for sletning Personoplysninger indeholdt i patient-journaler, herunder stamoplysninger, CPR-nummer, helbredsoplysninger og øvrige personoplysninger, der måtte være inde-holdt i journalen. Oplysningerne slettes i overensstemmelse med lovgivningens krav, se journalføringsbekendtgø-relsens kap. 4. Som reglerne er nu, skal helbreds-oplysninger indeholdt i en patientjournal opbeva-res mindst 10 år, billeddiagnostik dog 5 år. Op-lysninger kan i visse tilfælde opbevares i længere tid, f.eks. hvis der verserer en klage- eller erstat-ningssag.
2. TIDLIGERE OG NUVÆRENDE MEDARBEJDERE SAMT JOBANSØGERE Behandlingen af personoplysninger Behandlingens betegnelse Indsamling, behandling og videregivelse af personoplysninger om jobansøgere samt tidligere og nuværende medarbejdere Overordnede formål med behandlingen Formålene med behandlingen er gennemførelse af rekrutteringsprocessen for så vidt angår jobansøgere, herunder vurdering af ansøgerens faglige og personlige kvalifikationer samt efterfølgende dokumentation. For nuværende medarbejdere behandler vi personoplysninger i den løbende per-sonaleadministration og til dokumentationsformål. For tidligere medarbejdere behandler vi personoplysninger til dokumentationsfor-mål, herunder i tilfælde af eventuelle retskrav eller tvister, der måtte opstå efter an-sættelsesforholdet. Kategorier af registrerede personer og kategorierne af personoplysninger Kategori: Jobansøgere Særlige kategorier af personoplysninger ( ☐ Race eller etnisk oprindelse ☐ Politisk overbevisning ☐ Religiøs overbevisning ☐ Filosofisk overbevisning ☐ Fagforeningsmæssigt tilhørsforhold ☐ Helbredsoplysninger ☐ Seksuelle forhold eller orientering ☐ Genetiske elle biometriske data til brug for identifikation, f.eks. irisscanning og fingeraftryk som adgangskontrol ☐ Oplysninger om strafbare forhold ☒ Almindelige kategorier af personoplysninger: Navn, adresse, evt. e-mailadresse, telefonnummer., fødselsdato, evt. CPR-nummer, køn, referencer fra tidligere arbejdsgivere, CV, familierelationer og sociale relationer, stilling, arbejdsrelationer og uddannelse [i Kategori: Nuværende medar-bejdere Tidligere medarbej-dere (dokumentati-onsformål) Særlige kategorier af personoplysninger ☐ Race eller etnisk oprindelse ☐ Politisk overbevisning ☐ Religiøs overbevisning ☐ Filosofisk overbevisning ☐ Fagforeningsmæssigt tilhørsfor-hold ☐ Helbredsoplysninger ☐ Seksuelle forhold eller orientering ☐ Genetiske elle biometriske data til brug for identifikation, f.eks. irisscanning og fingeraftryk som adgangskontrol ☐ Oplysninger om strafbare forhold ☒ Almindelige kategorier af personoplysninger: Navn, adresse, e-mailadresse, telefonnummer, CPR-nummer, jobansøgning, evt. personlighedstest, medarbejder-ID, ansættelseskontrakt, lønregulerin-ger, tillæg til kontrakter, bonusaftaler, løn- og skatteoplysninger, bankkontooplysninger, a-kasseforhold, tro- og loveerklæringer ved sygefravær, årlige evalueringer af medarbejdere, referat af årlige samtaler (MUS), kopi af pas ifm. med rejser inkl. pasnummer og CPR-nummer, gennemført ud-dannelse og kursusdeltagelse, logning af IT-, internet- og e-mailbrug og alarmsystemer, portrætfotos på hjemmesiden, civilstatus, oplysninger om pårørende og familieforhold, advarsler og opsigelser og baggrund herfor, oplysninger vedr. eventuelle tvister, arbejdstidsregistrering, oplysninger om brug af den elektroniske nøglebrik/adgangskort, herunder brugerens initialer, sted og tidspunkt (komme- og gåtider), videooptagelser ifm. tv-overvågning i klinikken, optagelser fra telefonsamtaler (f.eks. med patienter) Øvrige oplysninger fra ansøgningsproces. Modtagere af personoplysningerne Af nedenstående fremgår en samlet liste over modtagere (både selvstændigt dataansvarlige og databehandlere), som personoplysningerne overlades eller videregives til, systemer, typer af oplysninger og hjemmel Formål Modtager System (angiv også her, hvis personop-lysninger overføres til et tredjeland, herunder hvilket land) Type oplysninger Rolle og evt. hjemmel til videregivelse: Rekruttering Ikke aktuelt [ Jobansøgning mv. Databehandler Personale-administrati-on/klinikadministration (nu-værende medarbejde-re) Lægens leverandør af lønsystem Wisma, løn Lønsystem Oplysninger om løn Databehandler Lægens leverandør af system til klinikadmini-stration Wisma, løn EG Clinea HR-oplysninger inkl. CPR-nummer Databehandler Offentlige myndigheder, f.eks. kommunen F.eks. Mit-Virk/NemRefusion Ansøgning om sygedag-penge, barsel mv. Selvstændig dataansvar-lig Skattestyrelsen MitVirk Skatteoplysninger, CPR-nummer, evt. øvrige op-lysninger Selvstændig dataansvar-lig Pensions- og forsik-ringsselskaber N/A Stamoplysninger, ind-komstforhold, skatteop-lysninger Selvstændig dataansvar-lig Regionen Praksis- og afregning-sportalen (sund-hed.dk) Praksisdeklarationer og tilmelding til yderregisteret Selvstændig dataansvar-lig Rejseselskaber mv. N/A Stamoplysninger, pasop-lysninger mv. Selvstændig dataansvar-lig Revisor, advokater og andre rådgivninger ifm. rådgivning og/eller tvister (evt. også for tidligere medarbejdere) N/A Oplysninger om HR, løn og skat mv. Selvstændig dataansvar-lig NETS NETS NemID portal og/eller MitID (Medarbejdersignatur) CPR-nummer Selvstændig dataansvar-lig Sletning af personoplysninger Jobansøgninger 6 måneder efter afslag eller besættelse af stillingen, medmindre ansøgeren giver samtykke til længere opbevaring Ansættelseskontrakter, efteruddannelse, lønadministration, skatteindberetninger 5 år fra ophør af ansættelsesforhold eller længere tid, hvis det er konkret nødvendigt, f.eks. ifm. en tvist. Lønadministration, ferieoplysninger, CPR-nummer og skatteindberetninger 5 fra ophør af det løbende regnskabsår, jf. opbevaringsperioderne i bogfø-ringsloven Arbejdsskader Konkret vurdering af sletteregel efter fristerne i forældelseslovgivningen TV-overvågning Optagelser fra tv-overvågning til kriminalitetsforebyggende formål slettes senest 30 dage efter, at de er optaget, jf. tv-overvågningslovens § 4 c, stk. 4, medmindre optagelsen skal anvendes i en konkret tvist, hvorefter den kan opbevares i længere tid, jf. § 4 c, stk. 5. 3. GENERELT Generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger Klinikkens systemhus (og evt. andre databehandlere) har i en databehandleraftale forpligtet sig til at sikre, at der træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer uvedkommende til kendskab, misbruges eller i øvrigt behandles i strid med lovgivningen. Kommunikation af personoplysninger skal ske over sikre forbindelser. Personoplysninger, der overføres eller opbevares uden for et lukket netværk kontrolleret af systemhuset, skal beskyttes med kryptering. Hvor det er passende og hensigtsmæssigt henset til oplysningernes karakter, skal oplysningerne desuden pseudonomiseres. Adgangskontroller og –begrænsninger skal indføres i passende omfang. Fysisk materiale, der indeholder personoplysninger, opbevares aflåst. Databehandlere skal sørge for løbende sikkerhedskopiering af personoplysningerne, hvis der er indgået aftale herom. Hvis systemhuset ikke foretager backup, skal der indgås aftale herom med en anden leverandør. Kopierne skal opbevares adskilt og forsvarligt og på en måde som sikrer mulighed for at oplysningerne kan genskabes. Systemhuset har som led i databehandleraftalen forpligtet sig til én gang årligt at afgive en erklæring til klinikken (den dataan-svarlige), der dokumenterer, at databehandleren handler i overensstemmelse med gældende persondataret. Erklæringen base-res på ISAE 3000, 3402 eller tilsvarende.