Databehandleraftale og Etera
Som ejer af en klinik der anvender Etera, er det et EU krav, at du har en databehanderaftale med din systemleverandør (CGM). Du er som bruger selv ansvarlig for at denne aftale er indgået.
Hos CGM acceptere vi kun den uændrede databehandleraftale, som er aftalt med din hovedorganisation. Du kan derfor ikke indsende en individuel eller til-rettet databehandleraftale, når du bruger Etera.
Returner aftale
Du kan fremsende en indscannet kopi på: databehandler.budk.dk@cgm.com
Spørgsmål og svar om GDPR og databehandleraftale
Spørgsmål |
Svar |
| Vi har modtaget Databehandler aftale fra CGM til underskrift. På side 13 fremgår godkendte Underdatabehandlere. I forbindelse med IP telefoni fremgår at IPNordic er godkendt. Men vi har et andet telefonsystem, hvad gør vi så? |
I skal indgå databehandleraftale, med jeres telefonleverandør, såfremt der behandles personoplysninger |
| Ifølge gdpr er vi forpligtet til at slette date fra tidligere medarbejderer/brugere. Hvordan er det meningen at dette skal foregå og bliver der udarbejdet en vejledning til hvordan man gør det? |
Normalt vil man skulle slette medarbejderes data 5 år efter ophør af ansættelse jvf. opbevaringspligten i regnskabsloven. Da journaldata kan referere til medarbejdere og da journaldata skal opbevares i 10 år efter seneste kontakt, er det vores opfattelse at medarbejderes data også skal opbevares i 10 år fra ansættelsesophør. Det vil blive lavet vejledning og funktionalitet til dette, når afklaringen forligger. |
| Hvor er bilag C? | Opdateret aftale er udsendt uden bilag c |
| Hvordan sletter man afsluttede patienter, der falder for 10 års reglen, hvordan sletter man andre behandleres patientjournaler? | Funktionen kommer snarest |
| I forbindelse med den nye persondata lov, har jeg fået at vide fra Danske Psykologer, at vi ikke længere må sende sms ud til klienterne, medmindre de er krypterede. Derfor er jeg nødt til at vide, om de sms, vi sender ud via Equus er krypterede ? |
SMS er per defintion ikke krypteret. Der skal tages stilling til, om indholdet af sms’er skal ændres. |
| Under min klinik har vi to behandlere med login adgang og har samtaleforløb. Skal de særskilt lave en aftale med jer, eller er de netop under mig? Det er sådan jeg har tænkt det/altså det sidste. | Ansatte er omfattet af den juridske enheds ansvar. Indlejere er dækket af klinikejer. |
| Kan det passe at jeg som psykolog skal bruge PLO aftalen | Nej, der er udsendt selvstændig aftale |
| Kan det passe at jeg som fysioterapeut skal bruge PLO aftalen | Ja |
| Indgår MulitMED (Henvisningshotellet) som underdatabehandlere og dermed som en del af vores databehandleraftale med jer? | Ja |
| Er underdatabehandler TrueCommerce Danmark vores VANs-leverandør? | Ja |
| Vil I lave den funktion på faktura, som giver valgmulighed for f.eks. at undlade at skrive navn og adresse? | Ja, det kommer. |
| Vi har en behandler, som har været tilknyttet, men nu er flyttet, og har en kigge-adgang. Hvordan skal vi forholde os til den aftale. Er vi nødt til at afbryde den? | Vi anbefaler at i indgår en skrifte aftale med personen omkring dette. |
| Hvordan er er ansvarsfordelingen, når alle adgangene tilhører folk, der ejer deres ydernummer og har deres eget firma? | Klinikejer er ansvarlig |
| Min kollega og jeg står som ligeværdige ejere af systemet. HVEM af os skal stå som dataansvarlige. Os begge, eller? | Der er normalt kun én dataansvarlig. |
| Under bilag A, punkt 4.2 står der, at den dataansvarlige er forpliget til at vedligeholde en liste over modtagere (som den dataansvarlige er forpligtet til at videregive personoplysninger til): Hvilken liste er det? | Det er en liste I selv skal lave. Det er den såkaldte artikel 30 fortegnelse som PLO har offentliggjort. |
| Er jeg som klinikejer den eneste dataansvarlige på klinikken, når jeg ikke har ansatte men kun selvstændige lejere? Eller er de selvstændige lejere selv dataansvarlige? | Klinikejer er ansvarlig |