26. februar 2018

Din lægepraksis behandler mere end sundhedsdata

Sundhedsdata er nogle af de mest følsomme data, der findes, og der hersker næppe tvivl om, at lægeklinikker skal passe overordentligt godt på, at disse data ikke falder i de forkerte hænder. Men når EU's persondataforordning (GDPR) træder i kraft, skal du som lægepraksis også have styrket fokus på de måske lidt oversete, øvrige persondata, du behandler i klinikken – herunder eksempelvis data om dine medarbejdere.

Som lægepraksis har du den største samling af private data om individet uden for hjemmet. Såvel i lægesystemer som fra Sundhedsdatastyrelsens side er der derfor en lang tradition for at leve op til gældende lovgivning og have styr på datasikkerheden i forhold til borgernes sundhedsdata. Inden GDPR træder i kraft den 25. maj 2018, skal du dog også rette fokus på, hvilke data du i øvrigt behandler.

Kortlæg din databehandling

Sammenlignet med den gældende persondatalov skal du især være opmærksom på GDPR's ansvarlighedsprincip. Kort fortalt er det fremover ikke længere nok at behandle data ansvarligt – du skal blandt andre ting også kortlægge din databehandling og påvise din ansvarlighed ved fx at beskrive procedurer, løbende forholde dig til risici ved databehandlingen og undervise dine medarbejdere.

GDPR skelner tydeligt mellem den dataansvarlige og databehandleren, og med ansvarlighedsprincippet understreger de nye regler, at du som klinik skal være bevidst om dit dataansvar.

"Mange har måske den opfattelse, at GDPR er en it-opgave, men det er i høj grad en forretningsmæssig opgave: Som dataansvarlig skal man kende sine databehandlingsaktiviteter og vide, hvordan man it-understøtter dem. En del af overholdelsen af GDPR understøttes af it og it-sikkerheden, men it-systemet og it-leverandøren kan ikke vide, om oplysningerne er lovligt indsamlet og opbevaret, om de slettes på de rigtige tidspunkter, om de bliver brugt til de formål, de må, osv.," siger Søren Wolder, advokat og partner hos DAHL Advokatfirma.

Væk med ringbindene

En systematisk kortlægning af data vil vise, hvilke persondata en lægepraksis behandler – og i den forbindelse vil der dukke data op, der ikke behandles i klinikkens lægesystem. Michael Frank Christensen fra EG Healthcare anbefaler, at det især er her, man sætter ind, da ikke alle klinikker nødvendigvis tidligere har beskæftiget sig med andre data end patientdata. Og mange klinikker har endog følsomme data om deres medarbejdere, som skal beskyttes forsvarligt, eller som måske slet ikke må opbevares:

"Nogle klinikker har MUS-skemaer og ansættelseskontrakter liggende tilgængeligt. Her kræver reglerne, at der findes procedurer for, hvor disse data er placeret, hvem der har adgang, og hvornår data slettes igen. Det er slut med, at medarbejderinformationer står tilgængeligt i ringbind. Find et sikkert sted, læg medarbejderdata på en sikker server et sted i skyen, eller anskaf et værktøj til dokumenthåndtering," siger Michael Frank Christensen, som er manager hos EG Healthcare.

Fokus på persondata i dagligdagen

De nye regler skal harmonisere reglerne på tværs af EU. Når GDPR træder i kraft, vil det også betyde, at borgernes data bliver bedre beskyttet, da den dataansvarlige kontinuerligt skal forholde sig til sin databehandling – herunder risici, sikkerhed og løbende uddannelse af personale. Den enkelte klinik skal altså ud over kortlægningen også indarbejde procedurer i hverdagen, der fastholder fokus på ansvarlig databehandling:

"GDPR er ikke en engangsaffære, og jeg kunne forestille mig, at man som lægeklinik gjorde det til et fast punkt på ugemøder, at risikobilledet for databehandlingen tages op. Derudover kan man vælge at lade GDPR-spørgsmålet blive en del af klinikkens årshjul, så der er fokus, og så man sikrer, at alle medarbejdere løbende bliver undervist i ansvarlighed," siger Michael Frank Christensen fra EG Healthcare.

Her kan du læse mere – og teste dig selv

Se mere i denne video om GDPR i lægepraksis, hvor advokat Søren Wolder fra DAHL Advokatfirma og manager Michael Frank Christensen fra EG Healthcare medvirker.

Du kan allerede nu hente Datatilsynets vejledning til den obligatoriske fortegnelse over dine databehandlingsaktiviteter og gå i gang med kortlægningen.

Før du går i gang, kan du tage Erhvervsstyrelsens onlinetest, PrivacyKompasset, der ud fra 23 spørgsmål kan give dig et overblik over, hvad du skal gøre for at efterleve databeskyttelsesreglerne. Du finder også svar på grundlæggende spørgsmål om ansvarlig datahåndtering.