GDPR

GDPR for tandklinikker

For tandklinikker skal man være særligt opmærksom på, at GDPR-lovgivningen på nogle måder kan anses som værende i konflikt med journalbekendtgørelsen. Journalbekendtgørelsen beskriver nemlig, at klinikken er forpligtet til at gemme oplysninger om behandlinger i en vis årrække, og dermed må data ikke slettes, før det er tilladt ifølge bekendtgørelsen.

Der er mange eksempler på, hvad der anses som personfølsomme oplysninger. Ifølge Datatilsynet er personoplysninger enhver form for information, der kan henføres til en bestemt person. Dette gælder også selvom personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger. Nogle eksempler på personfølsomme oplysninger er cpr-numre, helbredsoplysninger, politisk overbevisning mv.

Hvis en klinik skal være GDPR-compliant, kræver det, at klinikken blandt andet aktivt tager stilling til:

• Hvilke informationer indsamles der?
• Hvordan anvendes data?
• Hvordan beskyttes data, så det kun anvendes, når det er relevant?
• Hvilke personer skal have adgang til de personfølsomme oplysninger?
• Hvordan og hvornår skal data slettes igen?
• Der er mange andre punkter, der skal være på plads, men ovenstående er et godt sted at starte.

Områder med særligt fokus

På tandklinikkerne er der nogle områder, hvor vi særligt mener, men kan starte arbejdet med GDPR. Her er nogle eksempler:

Håndtering af mails

Når klinikken sender mails til patienterne eller besvarer mails fra patienterne, er der ofte personfølsomme oplysninger inkluderet. Derfor er det vigtigt, at disse mails krypteres og sendes sikkert.

De mails, der har relevans for behandlingen af patienten, bør gemmes i journalsystemet frem for i mailsystemet. Dermed sikres det, at informationer ikke gemmes for længe.

Journaler og røntgenfotos

Klinikkerne er pålagt at sikre, at journalerne på patienterne er retvisende. Samtidig skal data gemmes i en længere årrække, hvilket giver god mening. Det er dog samtidig vigtigt, at klinikkerne får slettet gamle journaler og røntgenfotos, når de ikke længere skal gemmes.

Oplysninger på medarbejdere samt ansøgere

Det er ikke kun på patienter, der findes personfølsomme oplysninger i klinikkerne. Det er også på de medarbejdere, der er eller har været ansat i klinikken. Her er det også relevant at kigge på, om det er de rette oplysninger, der gemmes, og om klinikken sikrer sig, at oplysninger slettes, når de ikke længere er relevante at gemme.

Det betyder dog ikke, at klinikkerne straks skal slette data på medarbejdere, der finder nye udfordringer, men der skal tages stilling til, hvilke oplysninger der er relevante at gemme – og hvor længe de skal gemmes.

Når det kommer til ansøgere til jobs i klinikken, kan det også være relevant at gemme jobansøgninger i en periode – af forskellige årsager. Det er nemlig set, at en ansættelsesproces kræver en efterfølgende dialog. Det kan være hvis sagen eksempelvis indbringes for Ligebehandlingsnævnet. Omvendt er det naturligvis ikke tilladt at gemme ansøgninger længere tid, end det vurderes relevant.