EUs persondataforordning

Af Dorte Hartvig Jensen, næstformand

Den 25. maj 2018 træder EU's persondataforordning i kraft (General Data Protection Regulation / i daglig tale GDPR)

For dig som psykomotorisk terapeut betyder det, at du ikke længere skal registreres hos Datatilsynet, selvom du indhenter persondata hos dine klienter. 

Til gengæld skal du selv sørge for at kunne dokumentere at du overholder den nye forordning – overfor myndigheder (Datatilsynet) og overfor dine kunder og klienter.

Her kan du hente en skabelon til persondatapolitik i pdf
Ønsker du skabelonen i Word-format, så skriv til Denne email adresse bliver beskyttet mod spambots. Du skal have JavaScript aktiveret for at vise den.  (kun for medlemmer)

Der er 2 ting som er vigtig at du forholder dig til nemlig: indsigt og overblik. Her er en checkliste med 6 vigtige punkter i din GDPR-forberedelse.

Kom i gang

Det første der skal ske, er at der skal vælges en dataansvarlig i virksomheden. Som psykomotorisk terapeut har du sikkert en enkeltmandsvirksomhed og derfor er det som hovedregel også dig som ejer der er dataansvarlig. Det vil sige, at du er ansvarlig for at passe på de data som virksomheden indhenter hos klienterne. Men du er også ansvarlig for at holde dig opdateret omkring viden på området. Der er flere steder at hente hjælp f.eks:

a. Datatilsynet er tilsynsmyndigheden på området har udgivet flere vejledninger om GDPR

b. Også hos Erhvervsstyrelsen kan du hente god viden 

Når du læser rundt på de forskellige sider, er det selvfølgelig en god idé at lave nogle noter om, hvordan processen vil påvirke din virksomhed. Det gør det meget lettere at komme videre med arbejdet omkring GDPR.

Overvej hvilke underleverandører du gør brug af i din virksomhed, som det er nødvendigt at have en databehandleraftale med. Som eksempel kan nævnes regnskabsprogrammer og firmaer som bruges til f.eks. nyhedsbreve. Du ved selv, hvad du bruger i dit firma.

Kortlægning: Find alle jeres persondata

Alt behandling af personlige oplysninger er reguleret af GDPR. Derfor er det vigtigt, at du overvejer og tager stilling til:

  • Hvilke persondata har du?
  • Hvad gør du med dem?
  • Hvilken lovlig ret har du til at indsamle og behandle disse data?
  • Hvad er formålet med databehandlingen?
  • Hvem har adgang til de persondata, du behandler?
  • Hvornår bliver disse persondata slettet igen?

Lav gerne et kort over de forskellige processer, du har i virksomheden. Det kan hjælpe dig til at få styr på, hvor og hvordan persondataene kommer ind i din virksomhed. Hvis du bruger ekstern hosting eller cloud-baserede tjenester og behandler/opbevarer persondata der, så er oplysningerne faktisk landet udenfor din virksomhed, og så deler du data med andre. Det er dit ansvar at tage højde for at den behandling foregår korrekt. 

Sørg for at have en nedskreven politik for rutiner omkring sletning af persondata.

Når du har lavet kortlægning af persondatabehandlingen i din virksomhed, kan den bruges som udgangspunkt for den dokumentation, som din virksomhed fra den 25. maj skal kunne forelægge overfor myndighederne.

Et godt tip: Du kan teste hvor langt du er i processen med Privacykompasset. 

Privatlivspolitik.

Din psykomotoriske virksomhed har brug for en privatlivspolitik, som henvender sig til dine kunder. Den skal oplyse dine kunder om, hvad du gør med de personoplysninger, du har indhentet, hvordan du beskytter dem, og hvem dine kunder kan henvende sig til, hvis de har spørgsmål (her vil det være dig som indehaver og dataansvarlig i virksomheden). Skriv gerne politikken i et sprog som dine kunder forstår. Og læg den gerne frit tilgængelig på din hjemmeside. Husk at notere datoen i teksten og husk at opdatere politikken senere, hvis der er nye informationer eller du er blevet klogere på processer omkring f.eks. underleverandører. 

Her kan du hente en skabelon til persondatapolitik i pdf
Ønsker du skabelonen i Word-format, så skriv til Denne email adresse bliver beskyttet mod spambots. Du skal have JavaScript aktiveret for at vise den.  (kun for medlemmer)

Her er lidt input til hvilke informationer du skal oplyse dine klienter/kunder omkring:

  • Hvem er du
  • Hvad er formålet med persondatabehandlingen? Altså, hvad skal du bruge oplysningerne til?
  • Hvilket retsligt grundlag har du for at behandle persondata i de forskellige sammenhænge?
  • Hvornår vil du slette persondataene igen?
  • Deler du persondata med andre og er det udenfor EU/EØS (det kan f.eks. være Microsoft eller Google)?
  • Hvilke rettigheder har dine klienter i forhold til persondataene du behandler?
  • Og Hvad du ellers selv finder relevant i forhold til din virksomhed

 

Der hvor du har mulighed for det, er det vigtigt at give disse informationer før, du begynder at indsamle persondata. Hvis det ikke er muligt, skal informationen gives hurtigst muligt efter dataindsamling.

I praksis betyder det, at har du en relativ enkelt forretning og en god privatlivspolitik, som er oplyst på din hjemmeside og evt. også tilgængelig i din klinik, så er du allerede godt på vej. 

Nyhedsbrev

Flere har spurgt specifikt til nyhedsbreve. En relativt nem måde at sikre, at du overholder reglerne på netop det område er: 

  • Opdater din privatpolitik – f.eks. ved hjælp af skabelonen, som vi linker til her på siden
  • Send en mail til alle nyhedsbrevsmodtagere, hvor du gør opmærksom på, at I har opdateret jeres persondatapolitik (og linker til den), I skal oplyse, hvilke oplysninger I har dem, der modtager nyhedsbrevet (givetvis navn og mail) og hvilket sigte de oplysninger har (at I kan sende nyhedsbrev). gør opmærksom på, at modtageren til enhver tid kan kræve oplysningerne slettet. Gør desuden opmærksom på, at man altid kan framelde sig nyhedsbrevet.
  • Hvis I bruger en tjeneste til at udsende nyhedsbrev, der opbevarer oplysningerne – f.eks. Mailchimp – så skal du have en databehandleraftale med den tjeneste. Kontakt din udbyder, hvis de ikke allerede har kontaktet dig.