Persondata

Den 25. maj 2018 trådte den nye europæiske databeskyttelsesforordning i kraft. Det har betydet skærpede krav til virksomhedens behandling af persondata og indførelse af nye bødeniveauer i millionklassen. For medicovirksomheder, der ofte arbejder med sundhedsdata, brugere, patienter og sundhedspersoner, er det vigtigt at være opmærksom på de særlige forhold, som gør sig gældende i branchen.

Hvad skal medicovirksomheder være særligt opmærksomme på?

1. Behandlingsgrundlag
Virksomheden skal altid kunne identificere det juridiske grundlag for behandlingen af personoplysninger. Det kan f.eks. være samtykke, opfyldelse af en kontrakt, en retlig forpligtelse eller legitime interesser. Ved behandling af følsomme oplysninger, fx helbredsoplysninger, kræves et supplerende grundlag.

2. Fortegnelse over behandlingsaktiviteter
Alle virksomheder, som behandler persondata systematisk eller i større omfang, skal føre en intern fortegnelse over, hvilke oplysninger de behandler, til hvilket formål, og hvem oplysningerne deles med. Det gælder også databehandling i fx kundesystemer, apps eller ved kliniske aktiviteter.

3. Informationspligt
Registrerede personer – fx brugere, patienter eller sundhedspersoner – har ret til at vide, hvordan deres data behandles. Derfor skal der udarbejdes klare og forståelige privatlivspolitikker, som beskriver formål, datatyper, rettigheder og kontaktoplysninger.

4. Databehandleraftaler
Hvis virksomheden samarbejder med eksterne leverandører, som behandler persondata på virksomhedens vegne (f.eks. hosting, cloudtjenester eller it-udvikling), skal der indgås skriftlige databehandleraftaler, der lever op til GDPR’s krav.

5. Interne procedurer og ansvar
Det er vigtigt at afklare internt, hvem der har ansvar for databeskyttelse, og hvordan virksomheden håndterer henvendelser fra registrerede, sikkerhedsbrud og forespørgsler om indsigt eller sletning. For nogle virksomheder er det obligatorisk at udpege en DPO (Data Protection Officer).

6. Indbygget databeskyttelse (privacy by design og by default)
Ved udvikling af nye produkter, systemer eller apps, som indsamler eller behandler personoplysninger, skal databeskyttelse tænkes ind fra starten. Det gælder både i designfasen og i standardindstillingerne.

7. Overførsel af persondata uden for EU
Hvis virksomheden overfører oplysninger til tredjelande – fx ved brug af udenlandske leverandører – skal der være et gyldigt overførselsgrundlag, som sikrer, at persondata fortsat er beskyttet i overensstemmelse med GDPR.

En praktisk tilgang til GDPR

GDPR handler ikke kun om regler, men også om at skabe gennemsigtighed og tillid hos brugere og samarbejdspartnere. Mange medicovirksomheder har allerede gode rutiner og høje standarder for datasikkerhed. Det vigtige er, at man løbende vurderer og dokumenterer sin tilgang – og opdaterer processer i takt med, at produkter og samarbejder udvikler sig.

Medicoindustrien anbefaler, at virksomhederne arbejder struktureret med GDPR som en del af den generelle kvalitets- og complianceindsats.