Databehandleraftale og Etera
Som ejer af en klinik der anvender Equus eller Etera, er det et EU krav, at du har en databehanderaftale med din systemleverandør (CGM). Du er som ejer selv ansvarlig for at denne aftale er indgået.
Hos CGM acceptere vi kun den uændrede databehandleraftale, som er aftalt med din hovedorganisation. Du kan derfor ikke indsende en individuel eller til-rettet databehandleraftale, når du bruger Etara eller Equus.
Returner aftale
Du kan fremsende en indscannet kopi på: databehandler.budk.dk@cgm.com
Spørgsmål og svar om GDPR og databehandleraftale
Spørgsmål |
Svar |
| Vi har modtaget Databehandler aftale fra CGM til underskrift. På side 15 fremgår godkendte Underdatabehandlere. I forbindelse med IP telefoni fremgår at IPNordic er godkendt. Men vi har et andet telefonsystem, hvad gør vi så? |
I skal indgå databehandleraftale, med jeres telefonleverandør, såfremt der behandles personoplysninger |
| Ifølge gdpr er vi forpligtet til at slette date fra tidligere medarbejderer/brugere. Hvordan er det meningen at dette skal foregå og bliver der udarbejdet en vejledning til hvordan man gør det? |
Normalt vil man skulle slette medarbejderes data 5 år efter ophør af ansættelse jvf. opbevaringspligten i regnskabsloven. Da journaldata kan referere til medarbejdere og da journaldata skal opbevares i 10 år efter seneste kontakt, skal medarbejderes data også skal opbevares i 10 år fra ansættelsesophør. |
| Hvordan sletter man afsluttede patienter, der falder for 5 års eller 10 års reglen, hvordan sletter man andre behandleres patientjournaler? | Benyt funktionen, Lister og Oversigter/Slet inaktive patienter. |
| I forbindelse med den nye persondata lov, har jeg fået at vide fra Danske Psykologer, at vi ikke længere må sende sms ud til klienterne, medmindre de er krypterede.Derfor er jeg nødt til at vide, om de sms, vi sender ud via Equus er krypterede ? Det samme med mails, som vi sender ud til læger mm. igennem jeres system |
SMS er per defintion ikke krypteret. Der er ikke behov for kryptering medmindre sms’en indeholder personfølsomt data såsom “Kære Ulla, du har en tid til en konsultation om Skizofreni “. Du skal selv tage stilling til, om indholdet af sms’er skal ændres. |
| Er jeg som klinikejer den eneste dataansvarlige på klinikken, når jeg ikke har ansatte men kun selvstændige lejere? Eller er de selvstændige lejere selv dataansvarlige? | Klinikejer er ansvarlig |
| Under min klinik har vi to behandlere med login adgang og har samtaleforløb. Skal de særskilt lave en aftale med jer, eller er de netop under mig? Det er sådan jeg har tænkt det/altså det sidste. | Ansatte er omfattet af den juridske enheds ansvar. Indlejere er dækket af klinikejer. |
| Indgår DNHF (Henvisningshotellet) som underdatabehandlere og dermed som en del af vores databehandleraftale med jer? | Nej. Følg vejledningen her: DNHF Databehandleraftale |
| Er underdatabehandler TrueCommerce Danmark vores VANs-leverandør? | Ja |
| Hvordan er er ansvarsfordelingen, når alle adgangene tilhører folk, der ejer deres ydernummer og har deres eget firma? | Klinikejer er ansvarlig |
| Min kollega og jeg står som ligeværdige ejere af systemet. HVEM af os skal stå som dataansvarlige. Os begge, eller? | Der er normalt kun én dataansvarlig. |
| Vil I lave den funktion på faktura, som giver valgmulighed for f.eks. at undlade at skrive navn og adresse? | CPR er anonymiseret, så de sidste fire tal er skjulte. Hvis patienten er adresse beskyttet i CPR registret, kommer adressen ikke på. |
| Vi har en behandler, som har været tilknyttet, men nu er flyttet, og har en kigge-adgang. Hvordan skal vi forholde os til den aftale. Er vi nødt til at afbryde den? | Vi anbefaler at i indgår en skrifte aftale med personen omkring dette. |