Behandling af personoplysninger i virksomheden “Punktzonen” cvr. 30155815

Tove Ottesen, Brunhøjvej 8, 1. th., 8680 Ry  

 

tlf. 26227061 

 

email: tove.ottesen@gmail.com       

 

© Olejann Malchau

Udarbejdet på baggrund af skriftligt materiale vedrørende Persondataforordningen, samt efter seminar forestået af Thorsten Kranz fra advokatfirmaet Bech-Bruun.

 

Stilles til rådighed for medlemmerne i RABforum og SundhedsRådet.

Uden ansvar.

2. Sådan gør vi – praksis hos Punktzonen

 

2.1 Behandlingen af personoplysninger

Den registrerede har altid ret til indsigt i egne data.

 

2.1.1 Typer af personoplysninger

I virksomheden Punktzonen indhentes de nødvendige personlige oplysninger til at kunne identificere personen og til at kunne stille en diagnose forud for iværksættelse af en behandling.

 

2.1.2 Samtykkeerklæring

Der indhentes altid en skriftlig samtykkeerklæring.

 

Behandlingen af ”Almindelige personoplysninger” kræver informeret samtykke (”mundtligt eller skriftligt indforstået”), mens behandlingen af ”Følsomme personoplysninger” kræver et udtrykkeligt samtykke (”frivilligt, specifikt og informeret viljestilkendegivelse”). ”Stiltiende” eller ”indirekte” samtykke er ikke gældende.

 

Personen har ret til at trække sit samtykke tilbage. I så fald slettes eller anonymiseres personens data.

 

2.2 Ansvar

 

2.2.1 Dataansvarlig

 

Den dataansvarlige er klinikkens indehaver.

 

2.2.2 Databehandler:

 

Tove Ottesen anvender en klientjournal, der gemmes lokalt på en passwordbeskyttet pc, hvorfra der tages backup dagligt. Denne backup arkiveres på et passwordbeskyttet usb-stick, der opbevares i et aflåst journalskab.

 

Supersaas online bookingsystem, der kun håndterer e-mailadresser, telefonnumre og navne på klienter. Bookingen af behandlingstider foregår via link på Punktzonens hjemmeside. Der kræves brugeroprettelse og password for at kunne foretage en booking.

Kommunikation med bookingkalenderen foregår via krypteret forbindelse.

Brugeren af kalenderen kan kun se egne aftaler i kalenderen og kan gives rettigheder til selv at slette aftaler.

For yderligere information om Supersaas’ persondatapolitik henvises til

 

https://www.supersaas.dk/info/gdpr  

 

samt til

 

https://www.supersaas.dk/info/online_kalender_bookingsystem_fortrolighed

 

 

Google Kalender synkoniserer de aftaler, der bookes i online-kalenderen Supersaas, med de aftaler den dataansvarlige selv indtaster. Her bruges der udelukkende navn, email og telefonnummer.

 

Efter aftale med klienten søges der gennem diverse sygeforsikringer refusion for de behandlinger, som klienten er berettiget til. Kommunikationen med disse foregår via krypterede hjemmesider.

 

 

2.3 Videregivelse af personlige oplysninger

Personlige oplysninger videregives aldrig til 3. part, uden kundens udtrykkelige skriftlige samtykke, medmindre særlovgivning siger noget andet.

 

Personen har ret til at få udleveret de oplysninger, som personen selv har tilvejebragt, eller at få dem videresendt til en anden dataansvarlig i et almindeligt anvendt og maskinlæsbart format.

 

2.4 Opbevaring af personlige oplysninger

Alle personlige oplysninger opbevares på en passwordbeskyttet pc, der opbevares forsvarligt aflåst af den dataansvarlige. Der tages dagligt backup af kundedatabasen indeholdende personfølsomme oplysninger i henhold til stk.  2.1.1, som gemmes på et passwordbeskyttet usb-stick, der opbevares i aflåst journalskab.

 

Klinikken benytter sig af et online bookingsystem, der udbydes af Supersaas.dk . Oplysninger, der anvendes i denne forbindelse vedrører navn, telefonnr. og e-mailadresse. Derudover synkroniseres aftalerne i bookingkalenderen med Google Kalender.

2.5 Dokumentation

2.5.1 Den dataansvarlige

Virksomheden er Punktzonen, CVR nr. 30155815

 

Den dataansvarlige er:

 

Tove Ottesen

Brunhøjvej 8. 1. th.

8680 Ry

26227061

tove.ottesen@gmail.com

 

2.5.2 Databehandlerne er:

 

Tove Ottesen

Brunhøjvej 8. 1. th.

8680 Ry

26227061

tove.ottesen@gmail.com

 

SuperSaaS B.V.
Keizersgracht 639
1017 DT Amsterdam
The Netherlands

Email: SuperSaaS support

 

2.5.3 Formålet med behandlingen af personlige oplysninger

Formålet er – ud fra kundens egne helbredsoplysninger og andre konkrete personoplysninger - at kunne identificere, diagnosticere og behandle kunden med akupunktur, zoneterapi, posturologi og myorefleksterapi mm. samt at kunne dokumentere den gennemførte behandling.

 

2.5.4 Beskrivelse af kategorier af anvendte personoplysninger

Følgende oplysninger efterspørges:

 

Almindelige oplysninger

Navn

Adresse

Telefonnummer

Fødselsdato

e-mailadresse

Familieforhold

Sociale problemer

Stilling

 

Følsomme oplysninger

Helbredsmæssige forhold

CPR nr. (DK)

 

 

2.5.5 Tidsfrister for sletning

Oplysninger, hvor sidste aktive dato er mere end 5 år gammel, destrueres på betryggende måde.

 

Er der forskningsmæssige hensyn, hvor oplysningerne indgår i anonymiseret form, eller er der verserende sager af juridisk karakter, kan oplysningerne opbevares i længere tid.

 

2.5.6 Tekniske og organisatoriske sikkerhedsforanstaltninger (risikovurdering)

Sikkerhedsforanstaltning

Risikovurdering*)

Adgangsforhold: passwordbeskyttet pc - lav risiko

Opbevaring: lav risiko

Sikret datalinje – passwordadgang - notater i database på pc – backup på usb - lav risiko

Svar på henvendelser pr. e-mail og aftaler om konsultation - lav risiko

Korrespondance på ”nettet” – der er password til pc’er - lav risiko

Kommunikation med databehandler (hvis aktuelt) - lav risiko

*) Risikovurderingen kan være Lav, Middel eller Høj

Ved brud på sikkerheden anmeldes dette til Datatilsynet senest 72 timer efter bruddet.

 

Her oplyses det, hvad konsekvenserne af sikkerhedsbruddet er samt oplyses, hvad der er gjort for at stoppe sikkerhedsbruddet, og – hvor det er muligt – underrettes de berørte personer.