Punktzonen
Helhedsorienteret behandling
Behandling af personoplysninger i virksomheden “Punktzonen” cvr. 30155815
Tove Ottesen, Brunhøjvej 8, 1. th., 8680 Ry
tlf. 26227061
email: tove.ottesen@gmail.com
© Olejann Malchau
Udarbejdet på baggrund af skriftligt materiale vedrørende Persondataforordningen, samt efter seminar forestået af Thorsten Kranz fra advokatfirmaet Bech-Bruun.
Stilles til rådighed for medlemmerne i RABforum og SundhedsRådet.
Uden ansvar.
2. Sådan gør vi – praksis hos Punktzonen
2.1 Behandlingen af personoplysninger
Den registrerede har altid ret til indsigt i egne data.
2.1.1 Typer af personoplysninger
I virksomheden Punktzonen indhentes de nødvendige personlige oplysninger til at kunne identificere personen og til at kunne stille en diagnose forud for iværksættelse af en behandling.
2.1.2 Samtykkeerklæring
Der indhentes altid en skriftlig samtykkeerklæring.
Behandlingen af ”Almindelige personoplysninger” kræver informeret samtykke (”mundtligt eller skriftligt indforstået”), mens behandlingen af ”Følsomme personoplysninger” kræver et udtrykkeligt samtykke (”frivilligt, specifikt og informeret viljestilkendegivelse”). ”Stiltiende” eller ”indirekte” samtykke er ikke gældende.
Personen har ret til at trække sit samtykke tilbage. I så fald slettes eller anonymiseres personens data.
2.2 Ansvar
2.2.1 Dataansvarlig
Den dataansvarlige er klinikkens indehaver.
2.2.2 Databehandler:
Tove Ottesen anvender en klientjournal, der gemmes lokalt på en passwordbeskyttet pc, hvorfra der tages backup dagligt. Denne backup arkiveres på et passwordbeskyttet usb-stick, der opbevares i et aflåst journalskab.
Supersaas online bookingsystem, der kun håndterer e-mailadresser, telefonnumre og navne på klienter. Bookingen af behandlingstider foregår via link på Punktzonens hjemmeside. Der kræves brugeroprettelse og password for at kunne foretage en booking.
Kommunikation med bookingkalenderen foregår via krypteret forbindelse.
Brugeren af kalenderen kan kun se egne aftaler i kalenderen og kan gives rettigheder til selv at slette aftaler.
For yderligere information om Supersaas’ persondatapolitik henvises til
https://www.supersaas.dk/info/gdpr
samt til
https://www.supersaas.dk/info/online_kalender_bookingsystem_fortrolighed
Google Kalender synkoniserer de aftaler, der bookes i online-kalenderen Supersaas, med de aftaler den dataansvarlige selv indtaster. Her bruges der udelukkende navn, email og telefonnummer.
Efter aftale med klienten søges der gennem diverse sygeforsikringer refusion for de behandlinger, som klienten er berettiget til. Kommunikationen med disse foregår via krypterede hjemmesider.
2.3 Videregivelse af personlige oplysninger
Personlige oplysninger videregives aldrig til 3. part, uden kundens udtrykkelige skriftlige samtykke, medmindre særlovgivning siger noget andet.
Personen har ret til at få udleveret de oplysninger, som personen selv har tilvejebragt, eller at få dem videresendt til en anden dataansvarlig i et almindeligt anvendt og maskinlæsbart format.
2.4 Opbevaring af personlige oplysninger
Alle personlige oplysninger opbevares på en passwordbeskyttet pc, der opbevares forsvarligt aflåst af den dataansvarlige. Der tages dagligt backup af kundedatabasen indeholdende personfølsomme oplysninger i henhold til stk. 2.1.1, som gemmes på et passwordbeskyttet usb-stick, der opbevares i aflåst journalskab.
Klinikken benytter sig af et online bookingsystem, der udbydes af Supersaas.dk . Oplysninger, der anvendes i denne forbindelse vedrører navn, telefonnr. og e-mailadresse. Derudover synkroniseres aftalerne i bookingkalenderen med Google Kalender.
2.5 Dokumentation
2.5.1 Den dataansvarlige
Virksomheden er Punktzonen, CVR nr. 30155815
Den dataansvarlige er:
Tove Ottesen
Brunhøjvej 8. 1. th.
8680 Ry
26227061
2.5.2 Databehandlerne er:
Tove Ottesen
Brunhøjvej 8. 1. th.
8680 Ry
26227061
SuperSaaS B.V.
Keizersgracht 639
1017 DT Amsterdam
The Netherlands
Email: SuperSaaS support
2.5.3 Formålet med behandlingen af personlige oplysninger
Formålet er – ud fra kundens egne helbredsoplysninger og andre konkrete personoplysninger - at kunne identificere, diagnosticere og behandle kunden med akupunktur, zoneterapi, posturologi og myorefleksterapi mm. samt at kunne dokumentere den gennemførte behandling.
2.5.4 Beskrivelse af kategorier af anvendte personoplysninger
Følgende oplysninger efterspørges:
Almindelige oplysninger
Navn
Adresse
Telefonnummer
Fødselsdato
e-mailadresse
Familieforhold
Sociale problemer
Stilling
Følsomme oplysninger
Helbredsmæssige forhold
CPR nr. (DK)
2.5.5 Tidsfrister for sletning
Oplysninger, hvor sidste aktive dato er mere end 5 år gammel, destrueres på betryggende måde.
Er der forskningsmæssige hensyn, hvor oplysningerne indgår i anonymiseret form, eller er der verserende sager af juridisk karakter, kan oplysningerne opbevares i længere tid.
2.5.6 Tekniske og organisatoriske sikkerhedsforanstaltninger (risikovurdering)
Sikkerhedsforanstaltning
Risikovurdering*)
Adgangsforhold: passwordbeskyttet pc - lav risiko
Opbevaring: lav risiko
Sikret datalinje – passwordadgang - notater i database på pc – backup på usb - lav risiko
Svar på henvendelser pr. e-mail og aftaler om konsultation - lav risiko
Korrespondance på ”nettet” – der er password til pc’er - lav risiko
Kommunikation med databehandler (hvis aktuelt) - lav risiko
*) Risikovurderingen kan være Lav, Middel eller Høj
Ved brud på sikkerheden anmeldes dette til Datatilsynet senest 72 timer efter bruddet.
Her oplyses det, hvad konsekvenserne af sikkerhedsbruddet er samt oplyses, hvad der er gjort for at stoppe sikkerhedsbruddet, og – hvor det er muligt – underrettes de berørte personer.