GDPR (også kaldet Persondataforordningen) betyder strammere krav til beskyttelse af persondata i en lægepraksis og på klinikker.
En klinik eller praksis håndterer mange følsomme personoplysninger, og enhver mistanke om brister i persondatasikkerheden skal undersøges grundigt og som hovedregel indberettes til Datatilsynet.
Risikoen for at forbryde sig mod GDPR er indlysende høj i en klinik eller praksis. Når borgerens sundhed skal varetages fagligt forsvarligt, er det en nødvendighed at lagre mange følsomme personoplysninger.
Persondataforordningen (GDPR) stiller øgede krav til dokumentation af processer og procedurer
Oplysninger om en persons helbred hører til i gruppen af ”særlige kategorier af personoplysninger”, også kaldet ”følsomme personoplysninger”, og de skal håndteres langt mere forsigtigt og fortroligt end f.eks. adresser og telefonnumre.
Personoplysninger skal naturligvis opbevares sikkert, for hvis en hacker skaffer sig adgang til klinikkens server, giver en kryptering eller andre sikkerhedstiltag ikke længere nogen beskyttelse. Så der er god grund til, med jævne mellemrum, at kigge klinikkens datasikkerhed efter i sømmene.
Reagér hurtigt
Sjusk med sikkerheden kan nemlig være strafbart – uanset om manglerne har medført digitalt indbrud, tab af data eller lignende. Så det handler i høj grad om at handle – og handle hurtigt – hvis du bliver opmærksom på sikkerhedsbrister. Som dataansvarlig virksomhed har du en række forpligtelser, der er knyttet op på persondataforordningen, også kendt som GDPR.
Hvis man f.eks. opdager, at den server, der rummer patientjournalerne, ikke har de nødvendige adgangsbegrænsninger og at uvedkommende derfor har adgang hertil, skal man straks lukke hullerne. Dette gælder, uanset om ansvaret ligger hos klinikken eller IT-udbyderen.
De menneskelige fejl i hverdagen
Men IT-sikkerhed er ikke kun et spørgsmål om at forhindre hackeres adgang; sikkerhedsbrud kan også være menneskelige fejl i hverdagens håndtering af data.
Hvis en medarbejder f.eks. ved en fejl har sendt en mail med personoplysninger til den forkerte modtager, er dette også et sikkerhedsbrud, og man skal straks henvende sig til modtageren og sikre sig, at oplysningerne ikke er kommet til andres kendskab, og at mailen desuden slettes på behørig vis.
Et andet eksempel kunne være, hvis en opdatering af hjemmesiden ved en fejl har givet adgang til fortrolige oplysninger i et afgrænset tidsrum. Dette er også et sikkerhedsbrud, og man er derfor forpligtet til at undersøge, hvor mange der har besøgt hjemmesiden i det kritiske tidsrum, så der er overblik over skadens omfang.
Det er også vigtigt at være opmærksom på, at sikkerhedsbrud endvidere også kan ske i forhold til personoplysninger om klinikkens medarbejdere eller jobansøgere.
Det er f.eks. også et sikkerhedsbrud, hvis man mister en fysisk mappe eller pc med ukrypteret adgang til jobansøgninger, fx hvis man glemmer den i toget eller den bliver stjålet.
Indberetnings- og underretningspligt
Persondataforordningen indeholder et krav om, at klinikken skal indberette et sikkerhedsbrud til Datatilsynet. Det skal ske senest 72 timer efter at bruddet er blevet kendt.
Indberetningspligten bortfalder, hvis det er usandsynligt, at hændelsen indebærer en risiko for de registreredes rettigheder eller frihedsrettigheder. Det kræver dog, at man som dataansvarlig kan påvise det med stor sikkerhed, og da det sjældent er muligt, er indberetningen som oftest påkrævet.
Vurderingen skal tage udgangspunkt i risikoens sandsynlighed og alvor samt personoplysningernes karakter, følsomhed og omfang. Det er en svær vurdering, men når det gælder eventuel adgang til patienters journaler, vil det uden tvivl være udgangspunktet, at indberetningen til Datatilsynet er påkrævet.
Herudover vil klinikken i mange tilfælde også være forpligtet til at underrette de berørte patienter om sikkerhedsbruddet.
Intern fortegnelse
Uanset om hændelsen medfører indberetning til Datatilsynet eller ej, er klinikken forpligtet til at føre en intern fortegnelse over alle konstaterede sikkerhedsbrud. Fortegnelsen skal blandt andet indeholde en beskrivelse og dokumentation af forløbet samt en skriftlig vurdering af risikoen for de berørtes rettigheder og frihedsrettigheder.
FAKTA 1
Tre typer af sikkerhedsbrud
Et brud på persondatasikkerheden kan opdeles i tre forskellige kategorier:
1: Brud på fortrolighed
Uautoriseret eller utilsigtet videregivelse af personoplysninger. Hvis følsomme personoplysninger stjæles, mistes eller videregives.
2: Brud på tilgængelighed
Når tilgængeligheden bliver kompromitteret, indebærer det i stedet manglende adgang til eller tilintetgørelse af personoplysninger. Hvis en hacker f.eks. krypterer eller sletter personoplysninger i patientjournaler.
3: Brud på integritet
Sker der en hændelig eller ulovlig ændring af personoplysninger, klassificeres dette som brud på integriteten. Hvis en hacker f.eks. foretager ændringer i en patientjournal.
FAKTA 2
Sådan indberettes sikkerhedsbrud
Et sikkerhedsbrud skal anmeldes til Datatilsynet, og det er en god idé at læse vejledningen på Datatilsynet.dk, inden du går i gang med anmeldelsen, så du er klar med de oplysninger, der er påkrævet.
Du skal f.eks. oplyse, om der har været databehandlere involveret, beskrive hændelsesforløbet og vurderingen af risikoen for den/de involverede registrerede.
Herudover skal du også oplyse, om de mennesker, dataene vedrører, er underrettet eller ej.
Hos CLEMENS Advokatfirma har vi stor erfaring med at rådgive klinikker og lægepraksisser om persondata og om juraen i datasikkerhed. Har du eller din virksomhed brug for hjælp til at vurdere jeres nuværende datasikkerhedsniveau, eller har du behov for rådgivning om persondataforordningen, er du altid velkommen til at kontakte en af vores GDPR-specialister. Vi står altid til rådighed.
