General Data Protection Regulation (GDPR) - oppfyller din praksis det?

Hos EasyPractice er vi forberedt på at den nye generelle databeskyttelsesforordningen trer i kraft. Vi får mange spørsmål om det, så vi har laget denne siden som inneholder informasjon om hvordan vi forholder oss til den.

Den generelle databeskyttelsesforordningen er et betydelig lovverk, så det er mye å tenke på når du driver klinikk eller praksis. Nedenfor gjennomgår vi de viktigste spørsmålene i den generelle databeskyttelsesforordningen, som vi naturlig behandler for deg i EasyPractice.
 

Er EasyPractice kompatibel?
Er jeg kompatibel?

Databehandlere og datakontrollere

Ingen tiltak for deg å ta, EasyPractice dekker det for deg.

Bør jeg - som prosessor - gjøre noe selv?

Nei. Dette er bare et spørsmål om definisjoner. Du har godtatt avtalen vår om databehandling når du har blitt satt opp med EasyPractice.

Når vi snakker om personopplysninger, jobber vi med begrepene «Databehandler» og «Datakontroller». I denne sammenheng er EasyPractice en databehandler, og brukerne våre er datakontrollere, siden vi behandler dine klientdata på dine vegne og i din interesse. Derfor har du også kontroll over hvordan vi behandler dataene dine, siden vi behandler dem bare som instruert av deg

Er EasyPractice kompatibel?
Er jeg kompatibel?

Plassering av data

Ingen tiltak for deg å ta, EasyPractice dekker det for deg.

Bør jeg - som prosessor - gjøre noe selv?

Nei. EasyPractice er allerede satt opp for å lagre alle dataene dine i Danmark.

Med den nye generelle databeskyttelsesforordningen er det lovlig å overføre personopplysninger til andre EU-land som overholder et tilstrekkelig sikkerhetsnivå. Hos EasyPractice lagrer vi data hos et dansk vertsfirma i Danmark, og derfor trenger du ikke være redd for at dine klienters data kan bli sendt ut av EU. Det vil derfor alltid være omfattet av beskyttelsen av den generelle databeskyttelsesforordningen.

Er EasyPractice kompatibel?
Er jeg kompatibel?

Krav om samtykke og krav til opplysning

Vi dekker det for deg, men det trengs handling fra deg.

Bør jeg - som prosessor - gjøre noe selv?

Ja. Du må be kundene dine gi samtykke til at du kan lagre og behandle dataene deres. Du kan gjøre dette i samarbeid med EasyPractice.

 

 

Det er viktig at du som datakontroller er tydelig og kortfattet i kommunikasjonen når du lagrer eller på annen måte behandler kundenes data. Behandling av data må enten være nødvendig for å tilfredsstille en kontrakt, eller det må være eksplisitt samtykke for det – og under alle omstendigheter må behandlingen være for et uttalt formål og din klient må informeres om:

  • hvilke personopplysninger du skal registrere,
  • hva personopplysningene skal behandles for,
  • hvor lenge personopplysningene vil være lagret,
  • at din klient har rett til å få informasjonen hans rettet, slettet eller overlevert,
  • at klienten når som helst kan trekke tilbake sitt samtykke og hvordan dette kan gjøres,
  • hvor forespørsler angående det ovenstående kan utbedres.

For eksempel, hvis du setter opp klienter i EasyPractice, skal klienten uttrykkelig samtykke til dette, og i den forbindelse motta informasjonen ovenfor. Hvis du har Online Booking i EasyPractice, kan du konfigurere den slik at spesifikke betingelser må godkjennes før en bestilling, for å sikre samtykke, og du bør alltid gjøre dette.

Er EasyPractice kompatibel?
Er jeg kompatibel?

Personvernansvarlig

Ingen tiltak for deg å ta, EasyPractice dekker det for deg.

Bør jeg - som prosessor - gjøre noe selv?

Nei. EasyPractice har allerede behandlet dette for deg ved å utnevne en DPO, som blant annet behandler henvendelser fra dine kunder om behandling av deres personopplysninger.

Som databehandler er vi nå pålagt å ha en databeskyttelsesansvarlig (DPO). En DPO må sørge for at et selskap oppfyller kravene i den nye generelle databeskyttelsesforordningen. Les mer om hva en DPO er.

 

Er EasyPractice kompatibel?
Er jeg kompatibel?

Dataportabilitet

Ingen tiltak for deg å ta, EasyPractice dekker det for deg.

Bør jeg - som prosessor - gjøre noe selv?

Nei. Du trenger ikke gjøre noe. Dette håndteres av EasyPractice.

Klientene du har registrert hos EasyPractice, har rett til å kunne få dataene sine overført til et annet system hvis de ber om det. Hos EasyPractice har vi muligheten til å eksportere klientinformasjon via “Innstillinger” → “Import / Eksport”, hvis du trenger et format som kan overleveres til en annen datakontroller.
Er EasyPractice kompatibel?
Er jeg kompatibel?

"Rett til å bli glemt"

Ingen tiltak for deg å ta, EasyPractice dekker det for deg.

Bør jeg - som prosessor - gjøre noe selv?

Nei. Du trenger ikke gjøre noe. Dette håndteres av EasyPractice. Du kan slette kundene dine fullstendig hvis de spør om det.

Kundene dine har rett til å bli «glemt». Dette betyr at kundene dine kan kreve at de blir slettet fra klientkatalogen. På EasyPractice kan du spesifisere en klient som «Inaktiv», eller slette klienten fullstendig fra katalogen din. For at «Rett til å bli glemt» blir oppfylt, er det viktig at du sletter klienten fullstendig fra katalogen din.

Er EasyPractice kompatibel?
Er jeg kompatibel?

Personvern ved design / Personvern som standard

Vi dekker det for deg, men det trengs handling fra deg.

Bør jeg - som prosessor - gjøre noe selv?

Ja. Du må undersøke om de andre programmene du bruker for å behandle personopplysninger oppfyller kravene i den generelle databeskyttelsesforordningen, og du må inngå databehandlingsavtaler med dine forskjellige databehandlere.

Denne delen av den generelle databeskyttelsesforordningen handler om å sikre at systemene du bruker oppfyller kravene til beskyttelse av personopplysninger. Hos EasyPractice overholder vi de forskjellige kravene som eksisterer, for eksempel kryptering av personopplysninger, men hvis du bruker andre systemer (f.eks. Regnskapsprogrammer), må du som datakontrollør sørge for at de også oppfyller kravene. For eksempel, hvis du har koblet EasyPractice til et regnskapssystem, sørger vi for at du overfører data over en kryptert tilkobling, men du som datakontroller er ansvarlig for det andre systemet du bruker i samsvar med kravene for lagring av personopplysninger.

Er EasyPractice kompatibel?
Er jeg kompatibel?

Konsekvensutredning

Vi dekker det for deg, men det trengs handling fra deg.

Bør jeg - som prosessor - gjøre noe selv?

Ja. Du må selv utarbeide konsekvensutredningen. Vi kan hjelpe deg med dette, via vår advokat, hvis du kontakter oss på [email protected]

Som databehandler har du en forpliktelse i henhold til den nye generelle databeskyttelsesforordningen til å produsere det som kalles en konsekvensutredning. En konsekvensutredning er en beskrivelse av teknologiene / produktene du bruker som håndterer personopplysninger og kan blant annet omfatte en vurdering av risikoen for dine klienter i forhold til å være en klient hos deg og hvilke forholdsregler og sikkerhetstiltak du tar i forhold til lagring av personopplysninger.

Er EasyPractice kompatibel?
Er jeg kompatibel?

Varslingsplikt angående brudd på data

Vi dekker det for deg, men det trengs handling fra deg.

Bør jeg - som prosessor - gjøre noe selv?

Ja. Du må gi beskjed til det danske databeskyttelsesbyrået hvis du mottar en melding fra oss om datainnbrudd, men selvfølgelig vil vi hjelpe deg i formuleringen av varselet, slik at du ikke trenger å bekymre deg for de tekniske aspektene.

Med den nye generelle databeskyttelsesforordningen er det også en plikt å informere det nasjonale personopplysningsbyrået (dvs. det danske personvernbyrået i Danmark) om brudd på data. Dette må gjøres innen 72 timer etter dataovertredelse. Som databehandlere er vi forpliktet til å informere både våre brukere og det danske databeskyttelsesbyrået om et brudd, og vi har sørget for at vi har en prosedyre for det i vårt selskap. Husk at du som dataansvarlig også er pålagt å opplyse om brudd på data.

Er EasyPractice kompatibel?
Er jeg kompatibel?

Dokumentasjon på at den generelle databeskyttelsesforordningen blir overholdt

Vi dekker det for deg, men det trengs handling fra deg.

Bør jeg - som prosessor - gjøre noe selv?

Ja. Du må levere dokumentasjon til det danske databeskyttelsesbyrået om at du overholder den generelle databeskyttelsesforordningen.

Som databehandler er det ditt ansvar at du har dokumentasjon som viser at du overholder den generelle databeskyttelsesforordningen. Dette betyr at du må ha riktig dokumentasjon for å vise at data blir behandlet riktig i systemet du bruker. Du finner dokumentasjon om personopplysninger i EasyPractice.

Er EasyPractice kompatibel?
Er jeg kompatibel?

SSL-sikkerhet / kryptert kommunikasjon

Ingen tiltak for deg å ta, EasyPractice dekker det for deg.

Bør jeg - som prosessor - gjøre noe selv?

Nei. EasyPractice kjører automatisk med SSL-sikkerhet.

Sikker kommunikasjon fra nettleser til system (for eksempel når du redigerer journalposter eller når en klient bestiller en avtale) er noe du som datakontroller bør være klar over. En stor andel av systemene for å føre journaler, online booking og fakturering bruker fortsatt ikke Secure Socket Layer (SSL) sikkerhet. SSL er den lille hengelåsen du kan se i nettleseren, for eksempel med nettbank eller easypractice.net. Hvis du bruker et system i dag som ikke har den lille hengelåsen, kan du vurdere å bytte eller alternativt kontakte leverandøren din og forsikre deg om at dette blir behandlet.

Er EasyPractice kompatibel?
Er jeg kompatibel?

Utveksling av data mellom plattformer (integrasjoner, apper)

Ingen tiltak for deg å ta, EasyPractice dekker det for deg.

Bør jeg - som prosessor - gjøre noe selv?

Nei. EasyPractice har satt opp sikker kommunikasjon (SSL) i alle integrasjoner.

Når du bruker et online system for å legge inn journaler eller fakturere, er det ofte mulig for systemet å utveksle data automatisk med andre plattformer. Det er viktig at du som datakontroller har oversikt over plattformene du bruker og hvordan de håndterer personopplysninger. Alle integrasjoner gjennom EasyPractice kjører med SSL-sikkerhet (kryptert, sikker kommunikasjon) og dermed sikrer vi at data ikke kan «lekkes» ved å integrere plattformer.