Persondata

IT og DATA Sikkerhedspolitik i forbindelse med persondata

Sikkerhedspolitik i forbindelse med Personaleadministration, Kunder, Patienter, Leverandører

Når vi i Rademachers´Orthodontiske Laboratorium (herefter benævnt Rademachers´)behandler oplysninger om vores Medarbejdere / Patienter / Kunder / Leverandører sker dette under overholdelse af databeskyttelsesreglerne, herunder kravene om datasikkerhed.

  • Data anvendes kun til det formål som de er indsamlet til
  • Data kontrolleres med stor IT-sikkerhed for at forhindre utilsigtet adgang og spredning
  • Data er korrekte og informationer retvisende
  • Data slettes efter faste retningslinjer for hvornår disse kan / skal slettes
  • Data skal kunne genskabes uden unødig forsinkelse
  • Data kan udleveres til person som de vedrører, hvis dette ønskes af person
  • Samtykke indhentes i forbindelse med indsamling / offentliggørelse af billeder / info på virksomhedens hjemmeside / sociale medier eller anden offentlig kommunikation som ikke kommer fra/ offentliggøres af den (de) berørte person (-er) selv.
  • Alle i virksomheden er ansvarlig for at sikre en høj datasikkerhed og følge virksomhedens IT-sikkerheds politik
  • Alle i virksomheden er ansvarlige for at følge beskrevne procedure og retningslinjer i virksomheden
  • Informer STRAKS den dataansvarlige hvis der er konstateret eller mistanke om brud på datasikkerhed
  • Virksomheden indberetter alle brud på datasikkerhed, hvis der sker et sikkerhedsbrud, som kræver anmeldelse
  • Virksomheden sikre en løbende opfølgning og kontrol med procedure og retningslinjer i forhold til datasikkerhed og efterlevelse af persondataforordningen
  • Virksomheden arbejder løbende på at forbedre og vedligeholde datasikkerhed så der anvendes tidssvarende systemer og metoder, og lovgivnings krav overholdes
  • Ved anvendelse af IT systemer, programmer, App´s og andre platforme, sikres det gennem standard indstillinger, at kun personoplysninger, er er nødvendige til et specifikt formål behandles, således at mindst mulig deling af personoplysninger sikres.
  • Mulighed for at ”anonymisere / pseudonymisering” af personoplysninger på en sådan måde, at disse ikke kan henføres til en bestemt registreret person, vil blive anvendt i den udstrækning det er muligt og relevant i forhold til datas karakter.

 

Helt overordnet betyder det, at Rademachers´drager omsorg for, at alle personoplysninger i er beskyttet, så ingen oplysninger tilintetgøres, fortabes eller forringes. Samtidig drager virksomheden omsorg for, at ingen oplysninger kommer til uvedkommendes kendskab, misbruges eller behandles i strid med reglerne, samt at det tilstræbes at inden informationer er ukorrekte eller misvisende.

Alle medarbejdere, der håndterer oplysninger om Kolleger / Patienter / Kunder/ Leverandører, har pligt til at overholde følgende regler:

  • Adgangen til oplysninger begrænses til så få personer som muligt. Det er således kun personer, der har et sagligt behov for det, der har adgang til oplysningerne.
    I forhold til personale oplysninger er adgang begrænset til ledergruppen.
  • De medarbejdere, der håndterer kollegers personoplysninger, modtager instruktion og oplæring i, hvordan de skal håndtere og beskytte oplysningerne, og hvad oplysningerne må bruges til. Medarbejder har pligt til at følge disse instrukser og deltage i oplæringen
  • Personoplysninger (alle), der findes i papirform, fx i kartoteker og ringbind, skal opbevares aflåst, når de ikke er i brug. Når oplysningerne skal smides ud, skal de makuleres.
  • Hvis du håndterer elektroniske personaleoplysninger / Patient data / Kunde data / Leverandør data, får du udleveret en kode, der giver adgang til de oplysninger som er relevante for opgaver som du er tilknyttet. Koden er personlig og må under ingen omstændigheder efterlades eller gives videre til andre. Rademachers´kontrollerer og opdaterer koderne mindst 2 gange om året.
  • ALLE personoplysninger behandles fortroligt og under tavshedspligt.
    Personoplysninger som du har adgang til i forbindelse med dit arbejde, skal håndteres således at denne fortrolighed og tavshed ikke brydes. Dette gælder i særligt grad personfølsomme informationer, men er ikke begrænset til dette.
  • Rademachers´registrerer, hvis nogen forgæves har forsøgt at få adgang til virksomhedens IT-systemer med følsomme personoplysninger. Hvis der registreres tre på hinanden følgende forsøg på adgang, blokerer vi for yderligere forsøg.
  • Personoplysninger på bærbare datamedier:
    Personaleoplysninger / Patient oplysninger / Kunde oplysninger / Leverandør oplysninger, der er lagret på en USB-nøgle/ ekstern bærbar harddisk, skal beskyttes på en hensigtsmæssig måde. Du skal derfor anvende USB-nøgler/ ekstern bærbar harddisk med adgangskode / kryptering eller opbevare USB-nøgler/ harddisk i aflåst skuffe eller skab.
    Tilsvarende gælder andre bærbare datamedier, der indeholder personoplysninger.
  • Du skal låse computeren, når du forlader den.
  • Du skal slukke din computer, når du går hjem.
  • Inden du går hjem, skal du sikre dig, at vinduer er lukkede, døre er låst, og at alarmen er slået til. (hvis man ikke har en alarm så slet det)
  • Der skal være lås på alle mobiltelefoner og bærbare enheder, der synkroniserer mail og kalender.
  • Når dataudstyr, der indeholder personoplysninger, sendes til reparation eller service, og når datamedier kasseres, skal der træffes fornødne foranstaltninger, så personoplysningerne ikke kommer til uvedkommendes kendskab. Det indebærer blandt andet, at datamediet i videst muligt omfang renses for oplysninger, og at der i fornødent omfang tages sikkerhedskopi. Tilsvarende gælder, hvis dataudstyr stilles til rådighed for en anden medarbejder.
    Hvis data ikke kan fjernes ved en reparation (uhensigtsmæssigt), underskrives en tavsheds erklæring med service firma, hvis IT udstyr overlades til ekstern, som får adgang til PC / IT systemets data.
  • Når vi bruger en ekstern databehandler til at håndtere persondata, indgår Rademachers´ en skriftlig databehandleraftale med den eksterne databehandler, der sikrer, at gældende regler bliver overholdt. Det gælder for eksempel, hvis vi anvender et eksternt dokumentarkiv, eksternt lønbureau eller rekrutteringssystem på internettet.
  • Hvis der sker et sikkerhedsbrud, som kræver anmeldelse til Datatilsynet, skal denne anmeldelse ske senest 72 timer, efter at sikkerhedsbruddet er kendt. Der skal ikke ske anmeldelse, hvis sikkerhedsbruddet, hvis det er usandsynligt, at sikkerhedsbruddet har indebåret en risiko for en medarbejders rettigheder. Rademachers´orienterer som udgangspunkt også en medarbejder, hvis et sikkerhedsbrud indebærer høj risiko for medarbejderens rettigheder. Rademachers´sikrer fornøden dokumentation for alle brud på datasikkerheden.

         Sker der et sikkerhedsbrud, skal du derfor straks kontakte Hanne Sommer så Rademachers´kan foretage en vurdering af sikkerhedsbruddets karakter og iagttage eventuelle forpligtelser efter databeskyttelsesreglerne.

  • Rademachers´ har i fornødent omfang implementeret relevante IT-back-up systemer, således at man rettidigt kan genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af fysisk eller teknisk hændelse. Dette har man gjort på følgende måde: De ansvarlige for vores regnskabsprogram foretager en backup dagligt. Desuden foretager vi selv en manuel backup en gang om ugen.
  • Rademachers´har i fornødent omfang implementeret en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. Dette har man gjort på følgende måde: Se P 4.19 Persondataforordningen afsnit 4.1.17 Dokumentation – efterprøvning, samt dokument SM 4.19-02 Tjekliste for kontrol af persondatafording.
    Her fremgår det blandt andet, at der min. 1 gang hvert halve år, vil være en efterprøvning og kontrol af de sikkerhedsforanstaltninger som er gældende i virksomheden.
  • Computere skal have en opdateret firewall og viruskontrol installeret, som lever op til passende sikkerhedsmæssige standarder. Dette har man gjort på følgende måde: : Firewallen og antivirus programmer(McAfee) bliver opdateret en gang om ugen, hvor der ligeledes køres virusscan.
  • Andet elektronisk udstyr - tablets/ iPads/ mobil telefoner skal, hvis der ligger mail eller person data på telefon, sikres med opdateret firewall og viruskontrol.
  • Du må IKKE indlæse NY software / programmer på computer, uden at dette er aftalt med den IT ansvarlige
  • Data gemmes og arkiveres (elektronisk og fysisk) i henhold til retningslinjer som er opstillet af virksomheden.
  • Ved brug af virksomheds e-mail, sikres det at der anvendes ”sikker mail”, og at person data som sendes via mail / IT ikke ”falder i de forkerte hænder”
    Hvis der benyttes hjemmesideformularer, hvor følsomme personoplysninger og personnummer kan indtastes og fremsendes, skal der anvendes kryptering.

 

Regler for e-mail:

Virksomheds mail konto:
Medarbejder som får oprettet en VIRKSOMHEDS mailkonto – skal kun anvende denne til virksomheds relaterede arbejdsopgaver, og må være bekendt med at virksomheden har ret til at gennemgå og læse alle mails som ligger i denne mailboks. Både mens medarbejder er ansat i virksomheden, og efter ansættelses forhold er ophørt

a) Regler for Private mails:
Virksomheden tillader ikke at mailsystem anvendes til private mails.

Alle mails som sendes og modtages via virksomhedens mailsystem betragtes som virksomheds mail.

b) Privat mail konto:
Medarbejder som får oprettet en PRIVAT mailkonto, - skal være opmærksom på at denne IKKE må anvendes til virksomheds relaterede opgaver.

c) Private mails – medarbejder har ikke privat mail konto.
Hvis medarbejdere ikke har en mailkonto som er specifikt kun til private mails, SKAL medarbejder oprette en særlig folder til ”Private mails”. Mails som ligger i medarbejders ”Private folder”, må IKKE have virksomheds relateret indhold, og må KUN anvendes til rent private anliggender.

Mails må IKKE anvendes til Uetisk, kriminelle eller virksomheds skadelig aktivitet.

Hvis virksomhed har begrundet mistanke om at der er foregået kriminel eller virksomheds skadelig aktivitet via den private mail konto, kan der i særlig tilfælde gives adgang til medarbejders private mail konto.

Hvis det opdages at medarbejder anvender PRIVAT mail konto til virksomheds relaterede opgaver, gives i første omgang en skriftlig advarsel. Konstateres brud på den tiltænkte anvendelse af PRIVAT mail konto gentagende gange, vil dette medføre at PRIVAT mailkonto lukkes for medarbejder.

LINKS i e-mail.
ALLE medarbejdere som har adgang til en virksomheds oprettet mailkonto, det gælder både en Virksomheds mail og privat mail konto, skal være opmærksomme på ikke at klikke på links i mails som der kan være tvivl om er sikre. Mails som modtages fra ”ikke kendt” personer, skal vurderes som KRITISKE og links skal bekræftes af afsender inden der klikkes på disse.

SIKKER MAIL.
I forbindelse med øget sikkerhed, har virksomheden besluttet at der kun må modtages mails – hvor der er person data, som sikker mail, - se I 4.19-04 Brug af sikker mail.

Det er derfor vigtigt at alle relevante medarbejder oprettes med en medarbejder profil, som gør at man kan sikre at mails som sendes / modtages i størst muligt omfang kun modtages fra andre som også anvender sikker mail.

Ved kommunikation med det offentlige anvendes virksomheds ID – Skat og løn.
Medarbejder signatur fra Nets.

Virksomhedens e-boks, anvendes til kommunikation med det offentlige.

Fratrådt medarbejder – e-mail konto.

Når medarbejder forlader arbejdspladsen og ikke længere kan få adgang til mailkonto på arbejdspladsen, vil den aktuelle mailkonto blive forsynet med et ”autosvar”, med besked om at medarbejder ikke er ansat længere, samt eventuel anden relevant information.

Eventuelle personlige e-mail adresser fjernes hurtigst muligt fra hjemmeside og andre offentligt tilgængelige informations steder.

Medarbejders Private mail konti / private foldere gemmes i op til 12 mdr. efter medarbejder er fratrådt i virksomheden.

Virksomheds mail konti, - fortsætter uden ændringer, og data opbevares i periode som det giver mening af virksomheds hensyn.

Regler for brug af mobil telefon:

Virksomheds brug:

 

 

 

 

Privat brug:

 

 

 

 

Generelt:

 

 

Regler for hvordan man begrænser utilsigtet adgang til data:

Standard regler for arbejde med personfølsomme data:
- Ingen papirer må ligge frit fremme på dit skrivebord, uanset hvad
- Alle papirer på dit skrivebord skal låses væk inden du går hjem
- Papirer til udsmidning skal makuleres og smides i en dertil indrettet boks
- Når du ikke er ved din arbejdsplads, så skal computeren låses

- Når arbejder på PC hvor skærm vender ud mod personer som ikke er godkendt til at have
   adgang til informationer (eks. Skærm i reception, eller kunde område), vær da opmærksom på
   ikke at have informationer på skærmen, som kan indeholde personfølsomme oplysninger, så
   disse vises for uvedkommende. Vend skærmen, eller luk ned for det du er i gang med, indtil der
   er ikke er uvedkommende i nærheden som kan læse med på skærmen.

- Mails med personfølsomme oplysninger – slettes hurtigst muligt og senest efter 30 dage. Er der
   behov for at gemme information (mail / vedhæftede dokumenter), gemmes disse i mapper som
   de forskellige dokumenter / informationer hører til.

 Regler om TV overvågning:
Hvis virksomheden ikke anvender TV overvågning – noteres det her, ellers noteres det hvilken form for TV overvågning der anvendes, samt hvordan dette påvirker medarbejder og dennes synlighed i forbindelse med overvågning.

Brug af internet:
Medarbejder som har adgang til internet i forbindelse med arbejde i virksomheden, skal undlade at surfe på internet sider som kan have pornografisk indhold, spil udbyder sider, og lignende.

Enhver brug af internet søgning, udført på virksomheds IT udstyr, betragtes som virksomheds relateret, da det pågældende IT udstyrs IP adresse er unik. Dette betyder at virksomhed, hvis dette af virksomheden vurderes relevant, - kan vælge at gennemgå internet- browser og besøgte hjemmeside adresser. Medarbejder vil, hvis virksomheden gennemgår internet- browser, blive informeret herom. 

Regler om brug af sociale medier i arbejdstiden:

Følgende regler gælder for anvendelse af sociale medier i arbejdstiden til privat formål:

  • Medarbejder kan i forbindelse med pauser (kaffe pause, frokost pause og lignende aftalte pauser) anvende sociale medier til private formål
  • Medarbejder kan ikke anvende sociale medier i den pågældendes aftalte arbejdstid udenfor pauser

 

Regler for hjemmearbejdspladser / it som medarbejder har med hjem.

Følgende regler gælder for IT udstyr, som medarbejder har adgang til hjemme.

  • Må familien bruge hjemme-pc en ?
  • Må der installeres andre programmer end arbejdsrelaterede ?
  • Hvordan skal pc opbevares i hjemmet (adgang og beskyttelse)
  • Fortrolighed – i forhold til arbejdsrelaterede oplysninger, sikret så ikke andre kan få adgang ?
  • Password og log in / log ud
  • Brug af opkobling til fælles netværk (VPN eller lignende)
  • Kontrol med at virus program og firewall er opdateret og at der køres fuld virus scan
  • Trådløs internet – skal altid være forsynet med password og hvis der sendes / modtages personfølsomme oplysninger skal netværket ligeledes anvende kryptering.

 

(Se informationer og vejledning fra http://di.dk/SiteCollectionDocuments/Shop/Itsikkerhedpaapchjemmearbejdspladservejledning.pdf)

Overtrædelser:
Overtrædelse af virksomhedens IT sikkerhedspolitik og øvrige regler i dette dokument, vil medføre en skriftlig advarsel. I tilfælde af misbrug som er vurderet at være særligt skadeligt for virksomheden, kan der blive tale om bortvisning og opsigelse, eller ændring af arbejdsopgaver og beføjelser.

Advarsler som gives skriftligt, gemmes i virksomheden i op til 3 år.

Navn: _____Hanne Sommer_________________           Dato: ______24/5- 2018__

Underskrift af virksomheds ejer / direktør/ DATAANSVARLIG:

Ændringslog:              

 

Dato

Vedrørende

Initialer

21.04.2018

Version 1.1

DDL

 

 

 

 

 

 

 

 

I 4.19-02b Persondata politik –PATIENT / SUNDHEDSPERSON / LEVERANDØR

Rademachers´Ortodontiske Laboratorium (herefter benævnt Rademachers`) håndterer løbende en række forskellige personoplysninger om PATIENTER / SUNDHEDSPERSONER / LEVERANDØRER

Følgende info ligges på virksomhedens hjemmeside:

( hvis ikke virksomheden har en hjemmeside, kan information fremsendes til TANDLÆGE / SUNDHEDSPERSON som virksomheden samarbejde med, som herefter kan give den til PATIENT, hvis de ønsker det.)

PATIENTER:
I forbindelse med at Rademachers´fremstiller dentale produkter til en bestemt person, kan følgende informationer om dig (PATIENT) blive registreret i virksomheden:

  • Identifikationsoplysninger, herunder Navn, privatadresse, fødselsdag,
  • Informationer om tandsæt, beskrivelse og aftryk / model / digitalt skan
  • Evt. Sundhedsinformationer som personale skal tage forbehold for (eks. smitsomme sygdomme)
  • Informationer om allergi hvis kendt
  • Informationer som kan være relevant i forbindelse med eventuelt tilskud fra det offentlige
  • Information om særlige forhold som er relevant i forhold til dentalt produkt som fremstilles
  • I situationer hvor der tages foto, som anvendes til at opnå så naturtro og æstetisk produkt som muligt, kan disse foto blive opbevaret i virksomheden.
  • Røntgenbilleder som modtages fra Sundhedsperson

 

Krav til opbevarings tid.
I henhold til lov om MEDICINSK UDSTYR er virksomheden forpligtet til at dokumentere grundlag for fremstilling af dentale produkter efter mål, i op til 10 år for ikke implantat baseret produkter, og i op til 15 år for implantat baserede produkter.

Videregivelse af oplysninger.
I forbindelse med fremstilling af produkter, kan der være brug for at samarbejde med andre virksomheder. I disse situationer vil relevante oplysninger blive vider givet. Rademachers´har med disse samarbejdspartnere en fortroligheds aftale og en aftale om sikker håndtering af persondata. Virksomheder er alle placeret i EU, og er underlagt krav i Persondataforordningen.

Virksomheden kan ligeledes videregive relevante oplysninger til Sundhedspersoner (tandlæge / klinisk tandtekniker / læger o.l) som informationer er relevant for, i forbindelse med fremstilling og tilpasning af produkt til dig.

Virksomheden kan, i tilfælde af krav fra Myndigheder (Lægemiddelstyrelsen, Sundhedsstyrelsen o.l.) videre give oplysninger om fremstillede produkter, og person oplysninger som knytter sig til disse.

I tilfælde af videregivelse vil det ske inden for rammerne af databeskyttelsesreglerne.

Der sælges ikke oplysninger til 3. part, og videregives ikke oplysninger til personer eller virksomheder som ikke har en aktiv og relevant del i fremstilling af det aktuelle produkt.

Dine rettigheder
Har du fået fremstillet dentale produkter hos Rademachers´kan du bede om at få indsigt i de personoplysninger, som vi har registreret om dig efter reglerne om indsigtsret. Hvis vi behandler forkerte data om dig, kan du bede om, at oplysningerne bliver rettet eller slettet.

Du har ret til at klage til Datatilsynet over vores behandling af dine personoplysninger, hvis du mener, at behandlingen ikke sker efter gældende regler. Du kan finde Datatilsynets kontaktoplysninger på www.datatilsynet.dk.

Sletning
Vi sletter dine oplysninger, når der ikke længere er noget sagligt behov for fortsat opbevaring af oplysningerne. Her tager vi blandt andet hensyn til frister i lovgivningen, f.eks. forældelses- og bogføringsloven, og krav i lovgivningen om medicinsk udstyr. Virksomheden har som udgangspunkt opstillet følgende regler for sletning af PATIENT relaterede person data:

Oplysninger slettes senest 10 år og 6 måneder efter afslutningen af fremstilling af ikke implantat baseret produkt, mens oplysninger vedrørende implantat baserede produkter slettes efter 15 år. (jf. Lovgivning om Medicinsk Udstyr).

I tilfælde af virksomheden lukker, skal du være opmærksom på, at virksomheden ikke er forpligtet til at gemme / opbevare person data, og alle data vil blive bortskaffet.

Sikkerhed
Rademachers´ har som dataansvarlig pligt til at beskytte persondata, vi har i vores varetægt.

Virksomheden har indført fast procedure for sikker opbevaring og bortskaffelse / sletning af data efter arkiverings tid er udløbet, og følger systematisk op på at disse retningslinjer følges.

Alle data som opbevares fysisk på papir, bliver i forbindelse med bortskaffelse makuleret, og bortskaffet således at de ikke er tilgængelige for andre.

Data som opbevares elektronisk, opbevares på en sådan måde at kun personer for hvem data er relevant, har adgang til disse, og der er opstillet procedure for IT-sikkerhed med personlig log in og kodeord på alle PC og andre IT medier hvor der ligger person data. Der er ligeledes faste procedure for bortskaffelse af IT udstyr som udskiftes, som sikre at der ikke ligger tilgængelige data på udstyr som bortskaffes.

Kontaktoplysninger
Hvis du har spørgsmål om Rademachers´behandling af oplysninger om dig, er du velkommen til at kontakte virksomhedens Dataansvarlige: Rademachers´

Du kan kontakte Hanne Sommer/ Rademachers´på tlf. 46492332 eller på mail

Denne email adresse bliver beskyttet mod spambots. Du skal have JavaScript aktiveret for at vise den..">Denne email adresse bliver beskyttet mod spambots. Du skal have JavaScript aktiveret for at vise den..

Ændringslog:              

OBS: vær opmærksom på at der ved ændring af dette dokument, kan være behov for ligeledes at opdatere virksomhedens hjemmeside, eller andre dokumenter hvor der kan være henvisninger til forhold som nævnes i dette dokument.

Dato

Vedrørende

Initialer

04.03.2018

Version 1 - oprettet

DDL

 

 

 

 

 

 

 

I 4.19-02c Persondata politik –SUNDHEDSPERSON / LEVERANDØR/ SAMARBEJDSPARTER (virksomhed til virksomhed)

Rademachers´Orthodontiske Laboratorium ( herunder benævnt Rademachers´) håndterer løbende en række forskellige personoplysninger om SUNDHEDSPERSONER / LEVERANDØRER / ANDRE SAMARBEJDSPARTNERE.

Følgende PERSONDATAPOLITIK opstilles i forhold til virksomheder som Rademachers´samarbejder med.

SUNDHEDSPERSON:
I forbindelse med at Rademachers´fremstiller dentale produkter til en bestemt person, kan følgende informationer om dig (SUNDHEDSPERSON) blive registreret i virksomheden:

  • Identifikationsoplysninger, herunder Navn, evt. fødselsdag
  • Informationer om Klinik, klinik navn, adresse, telefon nummer, e- mail , hjemmeside, CVR nr. og lignende
  • Faglige udtalelser i forbindelse med fremstilling af dentale produkter
  • Firma relevante bank- / konto oplysninger
  • Forespørgsler og priser / overslag i forbindelse med dentale produkter
  • Tilbagemeldinger fra dig som sundhedsperson vedrørende produkt / patient

 

Krav til opbevarings tid.
I henhold til lov om MEDICINSK UDSTYR er virksomheden forpligtet til at dokumentere grundlag for fremstilling af dentale produkter efter mål, i op til 10 år for ikke implantat baseret produkter, og i op til 15 år for implantat baserede produkter. Virksomheden skal kunne henvise til den / de sundhedspersoner som i sin tid udfærdigede krav til det dentale produkt, samt hvilke vurderinger der er foretaget af Sundhedsperson undervejs i processen.

Videregivelse af oplysninger.
I forbindelse med fremstilling af produkter, kan der være brug for at samarbejde med andre virksomheder. I disse situationer vil relevante oplysninger blive vider givet. Rademachers´har med disse samarbejdspartnere en fortroligheds aftale og en aftale om sikker håndtering af persondata. Virksomheder er alle placeret i EU, og er underlagt krav i Persondataforordningen.

Virksomheden kan, i tilfælde af krav fra Myndigheder (Lægemiddelstyrelsen, Sundhedsstyrelsen o.l.) videre give oplysninger om fremstillede produkter, og personoplysninger som knytter sig til disse.

I tilfælde af videregivelse vil det ske inden for rammerne af databeskyttelsesreglerne.

Dine rettigheder
Har du fået fremstillet dentale produkter hos Rademachers´kan du som SUNDHEDSPERSON bede om at få indsigt i de personoplysninger, som vi har registreret om dig efter reglerne om indsigtsret. Hvis vi behandler forkerte data om dig, kan du bede om, at oplysningerne bliver rettet eller slettet. 

Du har ret til at klage til Datatilsynet over vores behandling af dine personoplysninger, hvis du mener, at behandlingen ikke sker efter gældende regler. Du kan finde Datatilsynets kontaktoplysninger på www.datatilsynet.dk.

Sletning
Vi sletter dine oplysninger, når der ikke længere er noget sagligt behov for fortsat opbevaring af oplysningerne. Her tager vi blandt andet hensyn til frister i lovgivningen, f.eks. forældelses- og bogføringsloven, og krav i lovgivningen om medicinsk udstyr. Virksomheden har som udgangspunkt opstillet følgende regler for sletning af person data i forhold til SUNDHEDSPERSONER:

Oplysninger slettes senest 10 år og 6 måneder efter afslutningen af fremstilling af ikke implantat baseret produkt, mens oplysninger vedrørende implantat baserede produkter slettes efter 15 år. (jf. Lovgivning om Medicinsk Udstyr).

I tilfælde af virksomheden lukker, skal du være opmærksom på, at virksomheden ikke er forpligtet til at gemme / opbevare person data, og alle data vil blive bortskaffet.

Ikke person relateret data / dokumenter vil blive opbevaret i virksomheden så længe disse vurderes relevant for statistisk tilbageblik og analyse som kan ligge til grund for fortsat forretnings udvikling.

Sikkerhed
Rademachers´har som dataansvarlig pligt til at beskytte persondata, vi har i vores varetægt.

Virksomheden har indført fast procedure for sikker opbevaring og bortskaffelse / sletning af data efter arkiverings tid er udløbet, og følger systematisk op på at disse retningslinjer følges.

Alle data som opbevares fysisk på papir, bliver i forbindelse med bortskaffelse makuleret, og bortskaffet således at de ikke er tilgængelige for andre. 

Data som opbevares elektronisk, opbevares på en sådan måde at kun personer for hvem data er relevant, har adgang til disse, og der er opstillet procedure for IT-sikkerhed med personlig log in og kodeord på alle PC og andre IT medier hvor der ligger person data. Der er ligeledes faste procedure for bortskaffelse af IT udstyr som udskiftes, som sikre at der ikke ligger tilgængelige data på udstyr som bortskaffes.

Kontaktoplysninger
Hvis du har spørgsmål om Rademachers´behandling af oplysninger om dig, er du velkommen til at kontakte Hanne Sommer/ Rademachers.

[Skriv her hvem / hvordan man kan kontakte vedkommende ] 

LEVERANDØR / SAMARBEJDSPARTNERE:
I forbindelse med at Rademachers´fremstiller dentale produkter til en bestemt person, kan følgende informationer om dig (LEVERANDØR / SAMARBEJDSPARTNER) blive registreret i virksomheden:

  • Identifikationsoplysninger, herunder Navn, fødselsdag,
  • Informationer om Klinik, klinik navn, adresse, telefon nummer, e- mail , hjemmeside og lignende
  • Faglige udtalelser i forbindelse med produkter / ydelse købt
  • Firma relevante bank- / konto oplysninger
  • Faktura og betalings informationer
  • Forespørgsler og priser / overslag i forbindelse med produkter / ydelse
  • Tilbagemeldinger fra dig vedrørende produkter / ydelser

 

Krav til opbevarings tid.
I henhold til lov om MEDICINSK UDSTYR er virksomheden forpligtet til at dokumentere grundlag for fremstilling af dentale produkter efter mål, i op til 10 år for ikke implantat baseret produkter, og i op til 15 år for implantat baserede produkter. Virksomheden skal kunne henvise til LEVERANDØRER / SAMARBEJDSPARTNERE som har indvirken på produkter fremstillet i virksomhed (materialer eller ydelser), i forbindelse med at løfte dokumentations opgaver i forhold til fremstilling af Medicinsk udstyr efter mål. (Materiale leverandør, stål laboratorier, eksterne leverandører af halv- / hel fabrikater, service af udstyr og maskiner, rådgivnings ydelser og lignende)

For LEVERANDØR / SAMARBEJDSPARTNERE som ikke har indflydelse eller relation til opfyldelse af krav om Medicinsk udstyr, (eks. Rengøring, revisor, bank forbindelser, bogholder, hjemmeside udbyder og lignende), vil dokumentation blive opbevaret i virksomheden så længe samarbejde er aktivt og for relevant for statistisk tilbageblik og analyse som kan ligge til grund for fortsat forretnings udvikling. I forbindelse med afsluttet samarbejde, vil data blive opbevaret i virksomheden i henhold til krav i bogførings loven, og eventuelle person relaterede oplysninger vil blive slettet efter 6 år.

Videregivelse af oplysninger.
I forbindelse med fremstilling af produkter, kan der være brug for at samarbejde med andre virksomheder og sundhedspersoner. I disse situationer vil relevante oplysninger blive vider givet. Rademachers´har med disse samarbejdspartnere en fortroligheds aftale og en aftale om sikker håndtering af persondata. Virksomheder er alle placeret i EU, og er underlagt krav i Persondataforordningen. I tilfælde af at der anvendes samarbejdspartnere som er placeret i tredjeland, vil det blive sikret at disse arbejder under Persondataforordningens krav og rammer.

Virksomheden kan, i tilfælde af krav fra Myndigheder (Lægemiddelstyrelsen, Sundhedsstyrelsen o.l.) videre give oplysninger om fremstillede produkter, og personoplysninger som knytter sig til disse, herunder også informationer om LEVERANDØRER OG SAMARBEJDSPARTNERE.

I tilfælde af videregivelse vil det ske inden for rammerne af databeskyttelsesreglerne.

Dine rettigheder
Du kan hos Rademachers´ bede om at få indsigt i de personoplysninger, som vi har registreret om dig efter reglerne om indsigtsret. Hvis vi behandler forkerte data om dig, kan du bede om, at oplysningerne bliver rettet eller slettet.

Du har ret til at klage til Datatilsynet over vores behandling af dine personoplysninger, hvis du mener, at behandlingen ikke sker efter gældende regler. Du kan finde Datatilsynets kontaktoplysninger på www.datatilsynet.dk.

Sletning
Vi sletter dine oplysninger, når der ikke længere er noget sagligt behov for fortsat opbevaring af oplysningerne. Her tager vi blandt andet hensyn til frister i lovgivningen, f.eks. forældelses- og bogføringsloven, og krav i lovgivningen om medicinsk udstyr.

Sikkerhed
Rademachers´har som dataansvarlig pligt til at beskytte persondata, vi har i vores varetægt.

Virksomheden har indført fast procedure for sikker opbevaring og bortskaffelse / sletning af data efter arkiverings tid er udløbet, og følger systematisk op på at disse retningslinjer følges.

Alle fortrolige data som opbevares fysisk på papir, bliver i forbindelse med bortskaffelse makuleret, og bortskaffet således at de ikke er tilgængelige for andre.

Data som opbevares elektronisk, opbevares på en sådan måde at kun personer for hvem data er relevant, har adgang til disse, og der er opstillet procedure for IT-sikkerhed med personlig log in / kodeord på alle PC og andre IT medier hvor der ligger person data. Der er ligeledes faste procedure for bortskaffelse af IT udstyr som udskiftes, som sikre at der ikke ligger tilgængelige data på udstyr som bortskaffes. 

Kontaktoplysninger
Hvis du har spørgsmål om Rademachers´behandling af oplysninger om dig, er du velkommen til at kontakte os.

Du kan kontakte Hanne Sommer/ Rademachers´ på tlf 46492332 eller på vores mail

Denne email adresse bliver beskyttet mod spambots. Du skal have JavaScript aktiveret for at vise den.

Ændringslog:              

OBS: vær opmærksom på at der ved ændring af dette dokument, kan være behov for ligeledes at opdatere andre dokumenter, hvor der kan være henvisninger til forhold som nævnes i dette dokument.

Dato

Vedrørende

Initialer

04.03.2018

Version 1 - oprettet

DDL

 

 

 

 

 

 

 

I 4.19-03 Brud på persondatasikkerhed.

Procedure for opfølgning ved brud på persondatasikkerhed eller uberettiget offentliggørelse af oplysninger

Brud på persondatasikkerhed

Brud på datasikkerheden

  • Registrer brud – anvendt blanket SM 4.19-03 Registrering af brud på persondatasikkerhed.
  • Kontakt DATAANSVARLIG, eller dennes nærmeste leder i tilfælde af at DATA ANSVARLIG ikke er tilgængelig.
  • Vurder om hændelse skal indberettes til myndighed
  • Hvis Databehandler opdager brud, informeres Dataansvarlig straks / hurtigst muligt og uden unødig forsinkelse

 

•DA til Myndighed: 72 timer, ellers begrundelse

•DB til DA: straks

•Indhold i meddelelse

•Type af databrud, kategorier af data, antal registrerede, antal registreringer, kontaktinfo, konsekvenser, korrigerende foranstaltninger

•Dokumentation/bevissikring af databruddet

•DA til registreret: ved høj risiko gives meddelelse uden unødig forsinkelse i klart sprog

•Indhold: kontaktinfo, konsekvenser, korrigerende foranstaltninger

•Undtagelser: ulæselige data, ingen risiko, vanskeligt at give information

•Pligt til at have procedurer for at håndtere brud på datasikkerhed

DA = Dataansvarlig

DB = Databehandler

Vurder / gennemgå årsag til brud, og beslut eventuel forebyggende tiltag, således at brud ikke gentages.

UBERETTIGET OFFENTLIGGØRELSE
Ved uberettiget offentliggørelse på internettet skal oplysningerne fjernes fra hjemmesiden i en fart, og den ansvarlige må prøve også at få dem fjernet fra Google og andre søgemaskiner. Se nærmere i Datatilsynets hjemmesidetekst om utilsigtet offentliggørelse på internet. 

Det kan også være nødvendigt med andre tiltag. I en sag om god databehandlingsskik afgjort i 2012 har Datatilsynet således tilkendegivet, at den dataansvarlige burde have sørget for at få fejlagtigt udleverede oplysninger retur fra modtageren eller destrueret hos denne.

Relevante skridt ved utilsigtet offentliggørelse eller videregivelse
Afhængigt af de konkrete omstændigheder kan det være påkrævet, at den dataansvarlige myndighed eller virksomhed tager skridt til:

  • at påse, at data bliver slettet eller eventuelt afhentet eller returneret fra uberettigede modtagere
  • at sørge for at data slettes fra internet, herunder fra søgemaskiner
  • at sørge for en hurtig underretning af berørte personer
  • at det langsigtet sikres, at situationen ikke gentager sig. F.eks. ved at interne retningslinjer og forretningsgange kigges efter, ved bedre instruktion af medarbejdere, og/eller ved systemteknisk understøttelse af relevante forretningsgange i organisationen.

  

Utilsigtet offentliggørelse på internettet
Hvis man ved en fejl er kommet til at lægge oplysninger, der ikke må offentliggøres, på internettet, skal man prøve at begrænse skaden. Dette er også et led i det krav om god databehandlingsskik, der følger af persondatalovens § 5.

Datatilsynet har følgende råd:
Fjern oplysningerne fra hjemmesiden

Den dataansvarlige myndighed, virksomhed eller forening skal sørge for, at oplysningerne straks fjernes fra dens hjemmeside.

Underret de berørte personer

Hvis de berørte personer ikke allerede ved, at deres oplysninger har været offentliggjort ved en fejl, bør de underrettes.

Undersøg om oplysningerne findes på søgemaskiner som Google mv.

Den dataansvarlige skal undersøge, om oplysningerne findes i kopier dannet af søgemaskiner som Google, Bing og lignende, og i givet fald sørge for, at oplysningerne fjernes derfra.

Ændringslog:              

Dato

Vedrørende

Initialer

04.03.2018

Version 1 - oprettet

DDL