Behandling af personoplysninger

 

i virksomheden “Klinik for Afspænding v/Karin Wissing Becker” CVR-nr. 30978595

 

Indholdsfortegnelse

 1. Lovgivningens rammer – teori

1.1 Baggrund……………………………………………… …………………………………………     side 5
1.1.1 Persondataforordning…………………………………………………………        side 5
1.1.2 Tilsluttende dansk lovgivning…………………………………………………..       side 5

1.2 Krav…………………………………………………………………………………       side 5

1.3 Ansvar……………………………………………………………………….……..       side 5
1.3.1 Ansvar for data………………………………………………………….……….       side 5
1.3.2 Ansvar for databehandlingen……………………………….………………….        side 5
1.3.3 Samtykkeerklæring………….……………………………….…………..………       side 5

1.4 Videregivelse………………………………………………..…………….………        side 6
1.4.1 Aftale om databehandlingen…………….…………………………..………….        side 6
1.4.2 Lovreguleret videregivelse……………………………………………..……….       side 6
1.4.3 Back-up og ”cloud”……………………………………….…………….……….        side 6

1.5 Opbevaring af personlige oplysninger………………………..….……         side 6

1.6 Dokumentationskrav……………………………………………………….        side 6
1.6.1 Behandlingen af personoplysninger skal dokumenteres.……………….        side 6
1.6.2 Risikoanalyse………………………………………………………………..       side 6

  1. Sådan gør jeg i praksis i Klinik for Afspænding

2.1 Behandling af personoplysninger………………………………………         side 7
2.1.1 Typer af personoplysninger……………………………………………….         side 7
2.1.2 Samtykkeerklæring…………………………………………………………..     side 7

2.2 Ansvaret for personoplysningerne………………………………………        side 7

2.2.1 Dataansvarlig………………………………………………………………         side 8

2.2.2 Databehandler……………………………………………………………..         side 7

2.3 Videregivelse af personoplysninger…………………………………….         side 7

2.4 Opbevaring af personoplysninger……………………………………….         side 7

2.5 Dokumentation……………………………………………………………….       side 8
2.5.1 Den dataansvarlige…………………………………………………………        side 8
2.5.2 Databehandleren……………………………………………………………        side 8
2.5.3 Formålet med behandlingen af personoplysninger……………………..         side 8
2.5.4 Beskrivelse af kategorier af anvendte personoplysninger……………..         side 8
2.5.5 Tidsfrister for sletning………………………………………………………        side 8
2.5.6 Tekniske og organisatoriske sikkerhedsforanstaltninger………………..         side 8

Samtykkeerklæring……………………………………………………………         side 9

Krav til Databehandleraftale…………………………………………………..      side 10

 Lovgivningens rammer – teorien

Fortalen til Jyske Lov fra år 1241, som kong Valdemar gav, og Danerne vedtog, lyder således: ”Med lov skal land bygges”.

Og denne sætning gælder fortsat, således at vi som borgere i Danmark, har pligt til at følge landets lovgivning. Derfor skal personlige oplysninger behandles og anvendes på en lovlig, rimelig og gennemsigtig måde.

1.1 Baggrund

Baggrunden for dette resume af lovgivningens rammer for behandling af personoplysninger tager udgangspunkt i

  • EU’s Persondataforordning (GDPR)
  • Tilsluttende dansk lovgivning.

Formålet med lovgivningen er at sikre samtlige borgere i såvel EU som i Danmark en privatlivsbeskyttelse, således at der sikres arbejdsgange, der beskytter oplysningerne om den enkelte person.

1.2 Krav til behandling af personoplysninger

Forudsætningen for indhentning og opbevaring af personoplysninger er, at

  • de er nødvendige
  • de er rigtige og ajourførte
  • de er tilgængelige for den person, de vedrører
  • de kan slettes
  • der foreligger en samtykkeerklæring, kontrakt eller juridisk forpligtigelse.

Enhver håndtering af personlige oplysninger er behandling.

Der er to typer af personoplysninger, som angivet i eksemplerne nedenfor:

Almindelige oplysninger Følsomme oplysninger
Navn
Adresse
Telefonnummer
Fødselsdato
e-mailadresse
Familieforhold
Sociale problemer
Stilling
Helbredsmæssige eller seksuelle    forhold
Fagforeningsoplysninger
CPR nr. (DK)
Politisk/religiøs overbevisning
Genestiske eller biomestriske data

 

For at sikre, at en person ved, at behandleren opbevarer personlige data om den pågældende, skal der foreligge en samtykkeerklæring vedrørende den konkrete behandling. Denne kan ifølge dansk lovgivning være enten mundtlig eller skriftlig.

Afgivelse af en samtykkeerklæring skal være frivillig (uden pres eller tvang), specifik (knyttet til en konkret anvendelse) og informeret (hvad samtykket gives til) og i særlige tilfælde utvetydigt.

Formålet er at sikre, at de oplysninger, den dataansvarlige ønsker at få oplyst, kun er de nødvendige, at den dataansvarlige ved, at der er forskel på anvendelsen af oplysningerne og at den dataansvarlige ved, at ”ejeren” til konkrete personoplysninger alene er den person, som oplysningerne vedrører.

1.3 Ansvar

Der skelnes i Persondataforordningen imellem i hvert fald disse følgende hovedtyper af interessenter

  • den dataansvarlige
  • databehandleren, og
  • tredjemand

Alle udover den dataansvarlige og databehandleren er tredjemand.

Databehandleren er en fysisk eller juridisk person, der behandler personoplysninger på den dataansvarliges vegne. Der må udelukkende anvendes databehandlere, som kan stille garantier i form af ekspertise, pålidelighed og ressourcer.

Man kan outsource opgaven, men ikke ansvaret. Derfor skal der være en skriftlig databehandleraftale imellem den dataansvarlige og databehandleren.

Formålet er at fastlægge ansvaret for håndteringen af personlige oplysninger, således at den dataansvarlige er den, der indsamler og bruger de personlige data og databehandleren, der både kan være den dataansvarlige selv, eller f.eks. en ekstern udbyder af bookingsystemer, systemer til journalføring eller udbydere af hjemmesider o.l.

1.4 Videregivelse af data

1.4.1 aftale om databehandling

Videregivelsen skal principielt

  • være i en legitim (”berettiget”) interesse
  • være baseret på en skriftlig aftale om ansvarsfordeling mm.
  • udvise varsomhed i forbindelse med sociale medier
  • være godkendt i en samtykkeerklæring

1.4.2 lovreguleret videregivelse

For lovgivningsmæssige krav om videregivelse af personlige oplysninger, kan der foreligge andre krav.

1.4.3 Back-up og ”cloud”

Her skal udbyderen dokumentere en sikker adgang og opbevaring.

Formålet er at sikre, at personlige data ikke ”slippes fri” eller ”lækkes” overfor tredjemand.

1.5 Opbevaring af personlige oplysninger

Der stilles krav til opbevaring af personlige oplysninger, såvel vedrørende

  • en fysisk opbevaring, som
  • en elektronisk opbevaring

Formålet er, som nævnt under 1.1 at sikre en privatlivsbeskyttelse. Opbevaringen skal beskrives, jf. punkt 1.6.

1.6 Dokumentationskrav

Den dataansvarlige er ansvarlig for og skal kunne påvise, at principperne for behandlingen af personoplysninger overholdes. Der er bl.a. følgende krav til dokumentationen, der skal foreligge skriftligt

  • Navn og kontaktinformation på den dataansvarlige
  • Formål med anvendelsen af personlige oplysninger
  • Beskrivelse af kategorier af personoplysninger
  • en generel angivelse af tidsfrister for sletning
  • En beskrivelse af tekniske og organisatoriske sikkerhedsforanstaltninger (risikovurdering)

Formålet er, at kunne bevise at virksomheden har forstået og lever op til de retslige forpligtigelse, der er gældende i forbindelse med behandlingen af personoplysninger og at dette kan dokumenteres overfor myndighederne.

 

  1. Sådan gør jeg i praksis i Klinik for Afspænding
    v/ Karin Wissing Becker

2.1 Behandlingen af personoplysninger

Den registrerede har altid ret til indsigt i egne data.

2.1.1 Typer af personoplysninger

I virksomheden Klinik for Afspænding v/Karin Wissing Becker indhentes de nødvendige personlige oplysninger til at kunne identificere personen og til at kunne stille en diagnose forud for iværksættelse af en behandling.

 2.1.2 Samtykkeerklæring

Der indhentes altid en skriftlig samtykkeerklæring. Samtykkeerklæringen findes som bilag 1.

Ved booking bekræfter klienten at have læst og accepteret Klinik for Afspændings information om behandling af personoplysninger.

Behandlingen af ”Almindelige personoplysninger” kræver informeret samtykke (”mundtligt eller skriftligt indforstået”), mens behandlingen af ”Følsomme personoplysninger” kræver et udtrykkeligt samtykke (”frivilligt, specifikt og informeret viljestilkendegivelse”). ”Stiltiende” eller ”indirekte” samtykke er ikke gældende.

Personen har ret til at trække sit samtykke tilbage.

Klienten kan trække sit samtykke tilbage, hvis det ikke længere ønskes at Klinik for Afspænding v/Karin Wissing Becker benytter klientens samtykke som grundlag for at behandle ovenstående oplysninger. Tilbagekaldelsen sker alene med virkning for fremtiden, og får ikke virkning for de oplysninger, som tidligere er behandlet baseret på klientens samtykke.

 2.2 Ansvar

2.2.1 Dataansvarlig

Den dataansvarlige er klinikkens indehaver Karin Wissing Becker

2.2.2 Databehandler

EasyMe: Booking og journalsystem

Dinero: Bogføringssystem

Stripe: Onlinebetalingssystem

Skysolution: Ansvarlig for drift af hjemmesiden “Klinikforafspænding.dk”

Klinikken er en enkeltmandsvirksomhed, der anvender virksomheden EasyMe som udbyder online bookingsystem til booking af tider i klinikken med dertilhørende autogenereret bekræftelse til kunden. EasyMe behandler og arkiverer journaler herunder personoplysninger

Der foreligger en skriftlig databehandleraftale imellem den dataansvarlige Karin Wissing Becker og udbydervirksomheden EasyMe. Aftalen med EasyMe findes som bilag 2.

Klinik for afspænding benytter bogføringssystemet Dinero, der opbevarer kundens navn, adresse, telefonnummer og e-mailadresse. Disse oplysninger benyttes til fakturering af ydelser booket af klienten. 

Der foreligger en skriftlig databehandleraftale imellem den dataansvarlige Karin Wissing Becker og udbydervirksomheden Dinero. Aftalen med Dinero findes som bilag 3.

Klinik for Afspænding benytter onlinebetalingssystemet Stripe, der fungerer som betalingsplatform på min hjemmeside. Stripe opbevarer personlige data, der  er nødvendige for at styre den elektroniske handelsplatform og for at behandle betalingstransaktioner som: kortholders navn email adresse unik kundeidentifikation Ordre ID bankkontooplysninger betalingskort detaljer kortets udløbsdato CVC kode dato/tid / beløb for transaktionen handelsnavn/id Beliggenhed.

Der foreligger en skriftlig databehandleraftale imellem den dataansvarlige Karin Wissing Becker og udbydervirksomheden StripeAftalen med Stripe findes som bilag 4.

Driften af hjemmesiden: www.klinikforafspænding.dk overvåges af SkySolution

Der foreligger en skriftlig databehandleraftale imellem den dataansvarlige Karin Wissing Becker og udbydervirksomheden Skysolution. Aftalen med Skysolution findes som bilag 5.

2.3 Videregivelse af personlige oplysninger

Personlige oplysninger videregives aldrig til 3. part, uden klientens udtrykkelige skriftlige samtykke, medmindre særlovgivning siger noget andet.

Klienten har ret til at få udleveret de oplysninger, som personen selv har tilvejebragt, eller at få dem videresendt til en anden dataansvarlig i et almindeligt anvendt og maskinlæsbart format.

2.4 Opbevaring af personlige oplysninger

Der findes ingen personoplysninger udskrevet på papir

Klinikken er en enkeltmandsvirksomhed, der anvender virksomheden EasyMe som udbyder online system til behandling og arkivering af personoplysninger samt bookingsystem.

Der foreligger en skriftlig aftale imellem den dataansvarlige og udbydervirksomheden, hvoraf opbevaringsfrister mm. fremgår. Aftalen med udbydervirksomheden findes som bilag 2.

Klinikken er en enkeltmandsvirksomhed, der anvender virksomheden Dinero som udbyder online bogføringssystem til behandling og arkivering af personoplysninger samt faktureringssystem.

Der foreligger en skriftlig aftale imellem den dataansvarlige og udbydervirksomheden, hvoraf opbevaringsfrister mm. fremgår. Aftalen med udbydervirksomheden findes som bilag 3.

Klinik for Afspænding benytter bærbar pc. Jeg tilgår booking- og journalsystem samt faktureringssystem med adgangskode, som ingen andre er bekendt med. Pc’en er låst med BitLock.
Alle oplysninger vedr. klienter er arkiveret hos ovenstående databehandlere, med hvilke jeg har databehandleraftaler.

2.5 Dokumentation

2.5.1 Den dataansvarlige

Virksomheden er ”Klinik for Afspænding v/Karin Wissing Becker”, CVR nr. 30978595.

Den dataansvarlige er:

Karin Wissing Becker
Frederiksgade 7, 1. sal
3400 Hillerød
Tlf.: -45 61419593
kontakt@klinikforafspaending.dk

2.5.2 Databehandleren

Databehandlerne er:

EasyMe ApS
Rolfsvej 37
DK-2000 Frederiksberg
support@easyme.biz

og

Dinero
Dinero Regnskab ApS
Vesterbrogade 1 L, 6. sal, 1620 København V
CVR-nr: 34731543
Kontakt: info@dinero.dk

og

Stripe

og

SkySolution ApS
Rørsangervej 1
8382 Hinnerup
CVR-nr. 35238379
Kontakt: info@skysolution.dk

2.5.3 Formålet med behandlingen af personlige oplysninger

Formålet er – ud fra klientens egne helbredsoplysninger og andre konkrete personoplysninger – at kunne identificere, diagnosticere og behandle klientens med Kranio sakral terapi, Psykomotorisk terapi, fysiske øvelser mm. samt at kunne dokumentere den gennemførte behandling.

2.5.4 Beskrivelse af kategorier af anvendte personoplysninger

Følgende personlige oplysninger efterspørges:

 

Almindelige oplysninger Følsomme oplysninger
Navn
Evt. Stilling/arbejdsvilkår
Adresse
Telefonnummer
e-mailadresse
Årsag og baggrund for henvendelse
Herunder sygeshistorie

 

2.5.5 Tidsfrister for sletning

Oplysninger, hvor sidste aktive dato er mere end 5 år gammel, destrueres på betryggende måde.

Er der forskningsmæssige hensyn, hvor oplysningerne indgår i anonymiseret form, eller er der verserende sager af juridisk karakter, kan oplysningerne opbevares i længere tid.

2.5.6 Tekniske og organisatoriske sikkerhedsforanstaltninger (risikovurdering)

Sikkerhedsforanstaltning Risikovurdering*)
Adgangsforhold: Alarm på adgangsveje til klinikken

Opbevaring: al data opbevares via EasyMe og Dinero, der hver især er ansvarlige for sikkerheden. Adgang kun via klinikkens pc med adgangskode

Sikret datalinje ud af huset https

Svar på henvendelser pr. e-mail og aftaler om konsultation

Korrespondance på ”nettet” – der er password til pc’er samt BitLock

Kommunikation med databehandler

lav

lav

lav

lav

lav

lav

*) Risikovurderingen kan være Lav, Middel eller Høj

Ved brud på sikkerheden anmeldes dette til Datatilsynet senest 72 timer efter bruddet.

Her oplyses det, hvad konsekvenserne af sikkerhedsbruddet er samt oplyses, hvad der er gjort for at stoppe sikkerhedsbruddet, og – hvor det er muligt – underrettes de berørte personer.

Cookies

Cookies bliver gemt på din browser, når du går ind på en hjemmeside, og har til formål at lette din søgning på nettet.
Klinik for Afspænding kan anvende cookies for at opnå en bedre oplevelse for brugeren så som tilgang til ønskede informationer. Klinik for Afspænding kan benytte funktionen til målretning af markedsføring og kundeservice.
Du kan selv slette de data (text string), der gemmes omkring Klinik for Afspænding.

Artmagicbymagl.dk kan anvender cookies til at forbedre brugeroplevelser og tilgang til rette informationer. Det betyder også at artmagicbymagl.dk kan arbejde på at opnå en mere målrettet markedsføring, der vil højne kundeservice på hjemmesiden.
Du kan læse om cookies og håndteringen af dem her

Analytics

Klinik for Afspænding anvender sporingskode fra Google Analytics. Den bruges til at indsamleaf generelle data omkring trafik og brugeradfærd på hjemmesiden.. Disse data anvendes til at gøre Klinik for Afspænding mere informationsvenlig og mere målrettet til at modtage interesserede læsere og klienter. Du kan undgå at bidrage til denne servicefunktion ved at installere en browsertilføjelse til fravalg af GoogleAnalytics.

Facebook-pixel

Klinik for Afspænding anvender facebook-pixel. Den bruges til at målrette information og markedsføring til relevante målgrupper.

 

Klienten giver sit samtykke på oplyst grundlag

I henhold til persondatalovgivningen giver jeg, som abonnent på Klinik for Afspændings nyhedsbrev, hermed mit samtykke til, at Klinik for Afspænding v/ Karin Wissing Becker må opbevare mit navn og min e-mailadresse.

Jeg er gjort opmærksom på, at Klinik for Afspænding ikke videregiver mine oplysninger til tredje part, og at jeg til enhver tid kan afmelde nyhedsbrevet igen. 

I henhold til persondatalovgivningen giver jeg, som klient, hermed samtykke til, at Klinik for Afspænding opbevarer de oplysninger, jeg giver til vedkommende – herunder relevante helbredsoplysninger – i forbindelse med behandling med kranio sakral terapi, psykomotorisk terapi og fysiske øvelser.

Jeg er gjort opmærksom på, at formålet med behandlingen af mine oplysninger primært er opfyldelse af journalpligt samt den fordel der er ved, at Klinik for Afspænding har oplysningerne tilgængeligt.

Jeg er informeret om, at hvis jeg ikke længere ønsker, at Klinik for Afspænding benytter mit samtykke som grundlag for at behandle ovenstående oplysninger, kan jeg tilbagekalde mit samtykke. Tilbagekaldelsen sker alene med virkning for fremtiden, og får ikke virkning for de oplysninger, som tidligere er behandlet baseret på mit samtykke.

Ved booking/køb/kursustilmelding/nyhedsbrevstilmelding afgiver jeg mit samtykke til, at mine oplysninger opbevares af Klinik for Afspænding v/Karin Wissing Becker på de betingelser, som jeg her er blevet oplyst om.

Skriftlig samtykkeerklæring skal KUN gives, når elektronisk samtykke ikke er muligt.

Bilag 1, samtykkeerklæring

.

Samtykkeerklæring

Undertegnede

Navn          _______________________________________________________

Adresse      _______________________________________________________

Postnr.       ______________   By   ____________________________________

Telefon      ______________

giver hermed mit udtrykkelige samtykke til, at

Klinik for Afspænding v/Karin Wissing Becker

Karin Wissing Becker
Frederiksgade 7, 1. sal
3400 Hillerød

opbevarer nødvendige personlige oplysninger om mig, for at jeg kan modtage den behandling, som diagnosticeres til at være nødvendig i forbindelse med min henvendelse.

Jeg bekræfter samtidig, at jeg er blevet informeret om, at

–      samtykkeerklæringen kun er gyldig, fordi jeg har afgivet den frivilligt
–      oplysningerne udelukkende anvendes i forbindelse med det, min henvendelse vedrører
–      oplysningerne udelukkende anvendes i forbindelse med den behandling, der iværksættes
–      jeg til enhver tid har ret til indsigt i de opbevarede oplysninger
–      mine personlige oplysninger slettes senest 5 år efter sidste anvendelse
–      jeg kan tilbagekalde samtykkeerklæringen og at mine personlige oplysninger derefter slettes eller anonymiseres.

 Hillerød den ______________      ____________________________________

Underskrift

 

  

Indhold i databehandleraftalen, Bilag 2, 3, 4 og 5

Følgende specifikke krav gælder til en databehandler aftale:

  • databehandleren må kun behandle personoplysninger, efter en dokumenteret instruks fra den dataansvarlige
  • den dataansvarlige skal sikre, at databehandlerens medarbejdere er underlagt fortrolighed/tavshedspligt
  • databehandleren skal have passende tekniske og organisatoriske sikkerhedsforanstaltninger
  • databehandleren skal indhente godkendelse fra den dataansvarlige ved brug af underdatabehandlere
  • databehandleren skal bistå den dataansvarlige i forhold til bl.a. at
  1. sikre de registreredes rettigheder
  2. sikre overholdelse af kravene til dataenes behandlingssikkerhed, notifikation og konsekvensanalyse
  • databehandleren skal slette eller tilbagelevere personoplysninger ved aftalens ophør
  • databehandleren stiller oplysninger/dokumentation til rådighed for den dataansvarlige og bidrager til revision og inspektioner

Det er den dataansvarlige, der skriftligt skal definere, hvilke personlige oplysninger, der overlades til databehandleren.

De øvrige punkter er de krav, som den dataansvarlige stiller til, at databehandleren beskriver og leverer skriftligt.

Typen af personoplysninger der behandles (forslag til indhold):

Behandlingerne indeholder personoplysninger i de nedenfor afkrydsede kategorier. Leverandørens og eventuelle underdatabehandleres niveau for behandlingssikkerhed bør afspejle oplysningernes følsomhed.

 

Almindelige personoplysninger (jf. Databeskyttelsesforordningens artikel 6)

 Almindelige personoplysninger

 Følsomme personoplysninger (jf. Databeskyttelsesforordningens artikel 9):

Racemæssig eller etnisk baggrund
Politisk overbevisning
Religiøs overbevisning
Filosofisk overbevisning
Fagforeningsmæssige tilhørsforhold
Helbredsforhold, herunder misbrug af medicin, narkotika, alkohol m.v.
Seksuelle forhold

 Oplysninger om enkeltpersoners rent private forhold (jf. Databeskyttelsesforordningens artikel 6 og 9):

 Strafbare forhold
 Væsentlige sociale problemer
 Andre rent private forhold, som ikke er nævnt ovenfor:

Oplysninger om cpr-nummer (jf. Databeskyttelsesforordningens artikel 87)

CPR-numre

 

Databehandleraftaler

 

Bilag 2: DPA EasyMe

Bilag 3: DPA Dinero

Bilag 4: DPA SkySolution
Indtil jeg får teknikken til at linke direkte over til aftalen, kan du kopiere nedenstående og sætte det ind i din browser. file:///C:/Users/Bruger/Downloads/databehandleraftale%20Klinik%20for%20Afsp%C3%A6nding%20(3).pdf

Bilag 5: DPA Stripe