Persondataforordningen

Hvad er databeskyttelse?

 

Enhver har ret til beskyttelse af sine personoplysninger, og enhver, der behandler personoplysninger om andre i ikke-privat sammenhæng, er forpligtet til at iagttage disse rettigheder og til at beskytte personoplysningerne. Disse rettigheder og forpligtelser går samlet under betegnelsen "databeskyttelse".

Enhver behandling af andres personoplysninger, der ikke sker i en rent privat sammenhæng, skal ske i overensstemmelse med reglerne på databeskyttelsesområdet.

Personoplysninger er alle oplysninger, der vedrører en identificeret eller identificerbar fysisk person. Du kan læse mere om definitionen og kategoriseringen af personoplysninger under punktet "Hvad er personoplysninger?" på datatilsynets hjemmeside

Den, der behandles personoplysninger om, kaldes som regel "den registrerede", mens den, der behandler personoplysninger om andre, er den "dataansvarlige" eller "databehandleren", alt efter hvilken rolle vedkommende har i behandlingen. Du kan læse mere om, hvornår man behandler personoplysninger, og hvornår man er dataansvarlig eller databehandler under punktet "Hvornår behandler du personoplysninger?".

Den registrerede har en række rettigheder over for den dataansvarlige. Rettighederne har til formål at gøre det gennemsigtigt for den registrerede, hvornår der behandles oplysninger om vedkommende, og hvilke oplysninger der behandles, samt at give den registrerede kontrol over sine egne personoplysninger. Du kan læse mere om den registreredes rettigheder under punktet "Hvad er dine rettigheder?".

Den dataansvarlige skal sikre sig, at behandlingen af personoplysninger er i overensstemmelse med en række grundprincipper, ligesom der skal være et lovligt grundlag til at behandle oplysningerne. Du kan læse mere om dette under punktet "Hvornår må du handle personoplysninger?". Du kan læse mere om den dataansvarliges øvrige forpligtelser under punktet "Hvad er dine forpligtelser?".

Reglerne på databeskyttelsesområdet indebærer også, at den dataansvarlige skal foretage en række mere generelle vurderinger og overvejelser i forhold til selve beskyttelsen af de oplysninger, der behandles. Under punktet "Hvordan beskytter du personoplysninger?" finder du en beskrivelse af nogle af de overvejelser, som den dataansvarlige kan eller skal gøre sig i den forbindelse.

Når du som registreret stiller spørgsmålstegn ved en behandling af oplysninger om dig, eller du påberåber dig dine rettigheder over for den dataansvarlige, skal den dataansvarlige reagere på henvendelsen. Gør den dataansvarlige ikke det - eller er du ikke tilfreds med den dataansvarliges svar, kan du rette henvendelse til Datatilsynet, der kan vejlede dig yderligere om dine rettigheder, herunder dine muligheder for at klage.

Du kan læse mere om dette under punktet "Klage til Datatilsynet".

 

FAQ om datasikkerhed

 

Hvad er en personoplysning?

En personoplysning er et overordnet begreb, der omfatter alle oplysninger, som kan henføres til en bestemt fysisk person, såsom navn og alder, men også personfølsomme oplysninger såsom helbredsoplysninger. Det gælder også oplysninger, som først i kombination med andre oplysninger kan henføres til en bestemt fysisk person. Enkeltmandsvirksomheder omfattes også af begrebet, idet de oplysninger kan henføres til en ejer.

Hvad er en personfølsom oplysning?

En personfølsom oplysning er en oplysning om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold. Med den nye forordning omfattes også genetiske og biometriske* data.
 

*biometriske data: personoplysninger om fysiske karakteristika, såsom ansigtsbillede eller fingeraftryksoplysninger.

Er et navn en personfølsom oplysning?

Nej, et navn er ikke i sig selv en personfølsom oplysning, men en personoplysning. Dog – såfremt navnet medfører en identificering af en person i en personfølsom sammenhæng (i kombination med andre oplysninger), f.eks. at man kan se, at en navngiven person skal deltage i en undersøgelse – så skal det behandles med tilstrækkelige sikkerhedsforanstaltninger.

Er det en personfølsom oplysning at gå til en behandler/vejleder?

Kost & Ernæringsforbundet er af den opfattelse, at det er en personfølsom oplysning at gå til en behandler/vejleder, hvilket baseres på, at en helbredsoplysning – som ifølge GDPR er en personfølsom oplysning – omfatter oplysninger om personers fysiske- og psykiske tilstand.

Skal man indhente samtykke i forbindelse med behandling?

Det afhænger af hvilken form for ydelse man giver.

 

Det er f.eks. ikke nødvendigt med samtykkeerklæring i forbindelse med registrering af behandling af klienter, idet det reguleres af særlovgivning om pligten til at føre journal, hvis man er autoriseret klinisk diætist.

 

Dog kan det være nødvendigt ved rådgivning uden autorisation. Du kan lade dig inspirere af Datatilsynets samtykke vejledning: https://www.datatilsynet.dk/media/6562/samtykke.pdf

 

Ellers kontakt forbundet for yderligere hjælp.

Hvad er en dataansvarlig?

En dataansvarlig er en fysisk eller juridisk person*, offentlig myndighed, institution eller andet organ, som alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af oplysninger. Den dataansvarlige er lovens primære pligtsubjekt, hvilket også medfører, at det er den dataansvarlige, som har det overordnede ansvar, også for behandling af data, som foretages af tredjemand på vegne af den dataansvarlige.
 

*Juridisk person: en virksomhed

Hvad er en databehandler?

 En databehandler er enhver, som behandler oplysninger på vegne af en dataansvarlig. Som eksempler kan nævnes virksomheder, som varetager drift af kunders it-systemer, eller hostingvirksomheder som f.eks. tilbyder serverkapacitet til indehavere af hjemmesider.

Skal man have databehandleraftale med teleselskaber?

Teleselskaber er ifølge oplysninger fra Datatilsynet fritaget fra databehandleraftaler.

Skal man have databehandleraftale med revisionsselskaber?

Ifølge Datatilsynet er revisionsselskaber selvstændigt dataansvarlig, og man skal som virksomhed således ikke have en databehandleraftale med sin revisor.

Skal man have databehandleraftale med f.eks. Sygeforsikringen Danmark?

Ifølge Datatilsynet skal der være lovhjemmel til ikke at indgå databehandleraftaler, alternativt en gyldig juridisk vurdering om det pågældende dataudvekslingsforhold.

Såfremt du står i en situation, hvor du mener at du egentlig skal have en databehandleraftale, men din modpart ikke ønske at indgå en sådan, skal du henvende dig til Datatilsynet for konkret rådgivning.

Skal en privatpraktiserende diætist eller PB’er i ernæring og sundhed tilmelde sig Datatilsynet i forbindelse med behandling af personfølsomme oplysninger?

  Nej, en privatpraktiserende behanlder er ikke forpligtet til at tilmelde sig Datatilsynet i forbindelse med behandling af personfølsomme oplysninger.

Er det sikkert at udføre internetbaseret behandling via Skype eller FaceTime?

Nej, det er vores opfattelse, at Skype og FaceTime, eller lignende internetbaserede telefonkonferenceprogrammer, ikke er sikre nok. Dette skyldes, at data ikke er tilstrækkeligt beskyttet, herunder er serverne placeret udenfor EU, hvorfor der ikke gælder samme lovgivning omkring datasikkerhed.

Der findes nogle internetbaserede løsninger, der garanterer sikre forbindelser, men hvis man benytter sig at disse, skal man selv sikre sig, at sikkerheden lever op til lovgivningen.

Ansvaret for at personfølsomme data ikke kommer i uvedkommendes kendskab ligger hos den dataansvarlige, dvs. i dette tilfælde den selvstændige behandler. Ansvaret kan – ligesom i forbindelse med at man som behandler mailer med en klient – ikke samtykkes væk af den, der er i behandling.

Er internetservere sikre?

Du kan have en egen server, som er sikret, ellers skal du have databehandleraftaler hele vejen ned til den sidste i databehandlerkæden, som kan dokumentere sikkerheden.

Hvilke krypteringskrav gælder for mail?

 Ligesom ved internetbaseret terapi ligger ansvaret for at personfølsomme data ikke kommer i uvedkommendes kendskab hos den dataansvarlige, dvs. i dette tilfælde behandleren. Ansvaret kan ikke samtykkes væk af den, der er i behandling. Det er dig som behandler, som har ansvaret for, at mail og indholdet er tilstrækkeligt sikret.

Hvordan kan man udføre sikker kommunikation med klienter og andre interessenter? Må man indkalde til undersøgelse via mail?

Indholdet i korrespondance med klienter vil oftest være at betegne som personfølsomme oplysninger og skal derfor sikres. Dette gælder både oplysninger omkring klienter samt indholdet fra behandling.

 

Såfremt opgaven udføres på vegne af en kommune (en offentlig myndighed), er du som behandler omfattet af sikkerhedsbekendtgørelsen, idet du i det tilfælde agerer som databehandler for kommunen. Dette medfører, at du skal sikre informationen med kryptering.

Såfremt du udfører opgaven privat, dvs. ikke på vegne af en offentlig myndighed, skal du stadig følge vilkårene i persondatalovens § 41. Der foreligger i den forbindelse ikke et udtalt krav, men en klar anbefaling fra Datatilsynet om, at personfølsomme oplysninger bør krypteres.

Hvornår skal jeg så sende krypterede mails?

Når en klient kontakter dig via mail, kan du ikke være sikker på, om forbindelsen er krypteret. Ved besvarelse skal du derfor skrive en ny krypteret mail fra din egen sikre e-mailadresse som svar. Derfor skal du altså ikke svare direkte på den oprindelige mail.

Det anbefales desuden, at du minder klienten om ikke at sende personfølsomme oplysninger til dig via en ikke-krypteret e-mail.

Må man modtage betaling via bankoverførsler eller MobilePay?

Ja, det er bankens ansvar at sikre, at bankoplysninger behandles fortroligt, og det er derfor ikke noget problem, at klienter betaler via bankoverførsel eller MobilePay.

Må man opbevare data på DropBox?

 Nej. Ved at opbevare data på en internetserver gives der adgang til data for tredjeparter. Hvis data ikke opbevares i et europæisk land, er virksomheden ikke omfattet af den europæiske lovgivning for sikkerhed (se også Datatilsynets hjemmeside her). Dette betyder, at gratistjenester som DropBox ikke kan benyttes.

Er oplysninger i min klientkalender personfølsomme oplysninger?

Ja, det er en personfølsom oplysning, at en klient går til en behandler. Det skal derfor sikres, at dette ikke kan læses ud af din kalender. Har du en elektronisk kalender på din smartphone, iPad eller lignende, skal du derfor sikre dig, at f.eks. synkronisering ikke sker til en usikret internetserver, men kun til en sikret internetserver eller sikret computer.

Hvordan sikrer jeg, at indholdet i min kalender overholder regler om beskyttelse af persondata?

 En måde at holde kalender på er ved at skrive initialer, listenummer eller lignende i din kalender, og så have en liste med faktiske navne liggende et sikkert sted, eksempelvis lokalt på en computer, som kun du har adgang til.

Må jeg bruge min smartphone/iPad/tablet til både arbejde og privat?

Nej. Problemet med smartphones er, at mange apps beder om at få adgang til data på telefonen, hvilket gør, at eksterne aktører kan få fat i det data, der måtte være på telefonen. Til privat brug vil du derfor typisk have flere apps, der kan få adgang til de følsomme oplysninger, som ligger fra dit arbejde.

Må jeg sikkerhedskopiere min smartphone/iPad/tablet?

Kun hvis du sikkerhedskopierer til en sikret computer eller server. Du må f.eks. altså ikke gemme på en ”cloud”.

Må jeg kommunikere med klienter via sociale medier, f.eks. Facebook?

 Nej. Du må ikke kommunikere med dine klienter over sociale medier som Facebook, da al data, som går igennem sådanne sider, tilhører ejerne af siderne. Dette betyder, at alt det, du skriver på Facebook, bliver gemt hos en tredjepart, der kan bruge det, som de har lyst. Dette gælder både private beskeder via sociale medier, samt kommentarer til andres opslag på sociale medier.