14. juni 2017

Nye regler for persondata: Hvad er god praksis i din lægeklinik?

Du kan se de nye krav i EU's persondataforordning (GDPR) som et tilbud til dig om at få bedre styr på dine patientdata og dine processer for håndtering af persondata i et patientforløb. Det nye regelsæt er nemlig langt fra bare et spørgsmål om at bygge nye it-systemer med bedre sikkerhed.

Vil du leve op til de nye og skrappere regler, skal du tage udgangspunkt i de processer, som involverer persondata.

Sådan lyder det fra Søren Wolder, der som advokat og partner i DAHL Advokatfirma er specialist i persondataret, i en artikel på transformationtools.dk.

"De nye regler gør, at virksomheder og myndigheder i endnu højere grad skal tænke på persondata, som noget de blot har til låns i en given periode, hvorefter vi må acceptere at skulle slette eller tilbagelevere oplysningerne igen. Og for at leve op til reglerne (compliance) kræver det, at man får overblik over de forretningsprocesser, hvor man anvender persondata," siger Søren Wolder og fortsætter:

"Man skal som virksomhed sikre sig, at man har hjemmel til den databehandling, man foretager, og at man overholder de principper, der er nedfældet i reglerne. Men det er jo ikke en it-afdeling, der bestemmer, hvordan data bliver brugt. Det sker tværtimod i forretningen, som jo gerne vil have automatiseret en forretningsproces. Den opgave har man så i mange tilfælde overladt til en it-afdeling. Men de styrer jo kun den tekniske og sikkerhedsmæssige side af sagen og ved jo ikke nødvendigvis, hvordan oplysninger bliver indsamlet og behandlet, eller hvem der skal have adgang til data. Det er forretningen, der gør det," siger advokaten.

De færreste organisationer har overblikket over, hvordan data bliver brugt, og hvem de eventuelt har som underleverandører. Han opstiller tre gode råd til, hvordan man skal gribe arbejdet an, hvis man vil leve op til de nye EU-regler.

  • Sørg for at forankre arbejdet i din organisation.
  • Udarbejd en oversigt over dine databehandlingsaktiviteter.
  • Lav en risikovurdering for hver enkelt proces, som involverer behandling af persondata.

"Risikovurderingen betyder, at man er meget bedre rustet, når man skal tage stilling til, hvilke sikkerhedsforanstaltninger man skal sætte i værk for at sikre sine data. Med en risikovurdering kan man også nemmere og mere kvalificeret beslutte sig for, hvilket ambitionsniveau man vil have," siger advokaten.

Du kan læse hele interviewet på transformationtools.dk