RETNINGSLINJER PERSONDATA

Transkript

1 RETNINGSLINJER for opbevaring og brug af PERSONDATA i Danske Patienter og ViBIS Opdateret februar 2021

2 Indhold BAGGRUND... 3 Formelle rettigheder... 3 Hvad er personoplysninger?... 5 Følsomme personoplysninger... 5 Hvornår er der brug for skriftligt samtykke?... 6 Hvad kan der ske?... 7 OVERORDNEDE RETNINGLINJER og Outlook... 8 Print og papirdokumenter... 9 Gennemførelse af interview videnskabelig afdækning... 9 Gennemførelse af interview cases Brug af video Når du arrangerer en konference, workshop, event Billeder Overordnet RETNINGSLINJER FOR SÆRLIGE INDSATSER Nationalt Netværk for Brugerinddragelse Bisiddere i bisidderordningen Brugere af bisidderordningen Patient- og pårørenderepræsentanter Deltagere på kurser, konferencer og workshops Case- og interviewpersoner Interview brugt til formidling Interview brugt i det videnskabelige arbejde, analyser og projekter Samarbejdspartnere Video Procedure for tilladelser: Videoer, vi producerer selv Procedure for tilladelser: Videoer, der produceres af ekstern samarbejdspart SIKKERHED Brugerprofiler og serversikkerhed Adgang til hjemmeside og sociale medier Adgang til kontor Adgang til data i det offentlige rum Tavshedspligt og sletning af data Side 1

3 Ved brud på sikkerheden Opdatering Side 2

4 BAGGRUND Med den nye GDPR-lovgivning følger skrappere krav til opbevaring og brug af data. Det er baggrunden for dette dokument og for de tilhørende retningslinjer, der skal være med til at strukturere vores arbejde med data i Danske Patienter og ViBIS. Ud over dét, at vi selvfølgelig skal overholde loven lige som alle andre, så gør en styrket systematik omkring opbevaring af data, at vi hurtigt og nemt kan oplyse personer, hvilke data vi har liggende vedrørende dem og nemt kan slette disse, hvis de ønsker det. I Danske Patienter og ViBIS er vi som en naturlig del af vores DNA ikke interesserede i at gøre ting eller bruge data, der gør borgere utrygge eller på anden vis komplicerer deres hverdag. Derfor sletter vi i reglen data (billeder, video, kontaktoplysninger, artikler med mere) med det samme, hvis patienter, pårørende eller andre borgere henvender sig med ønske herom. Der kan være situationer, hvor vi for eksempel producerer en rapport, en video eller andet for en anden part, og i de tilfælde kan det være svært for os at styre brugen af data (for eksempel billeder i en rapport). I de tilfælde skal vi lave en licensaftale med de personer, der siger ja tak til at deltage, så vi er helt sikre på, at de ved, hvad de går ind til og så vi lovmæssigt er på den rette side, hvis vi ikke kan sikre, at data (billede, artikel, andet) kan fjernes. Formelle rettigheder Har en person givet samtykke til, at vi må bruge eller opbevare dennes oplysninger, skal personen være opmærksom på, at han eller hun til enhver tid har ret til at trække samtykket tilbage og få slettet sine oplysninger. Hvis personen vælger at trække sit samtykke tilbage, betyder det, at vi frem over ikke kan opbevare eller behandle vedkommendes oplysninger. Det påvirker dog ikke lovligheden af den behandling, vi har foretaget af personens personoplysninger (og som er sket på baggrund af personens tidligere meddelte samtykke) op til tidspunktet for tilbagetrækningen af personens samtykke. Et samtykke kan både være mundtligt og skriftligt. Vi tilstræber dog i Danske Patienter og ViBIS, at alle samtykker, der involverer følsomme personoplysninger (og ikke blot almindelige personoplysninger), er skriftlige. Skriftligt samtykke kan tage form af en underskrevet blanket eller ske på . Det er vigtigt, at personer oplyses om vores datapolitik og dermed deres rettigheder, når de underskriver et samtykke. Personer har efter databeskyttelsesforordningen en række helt formelle rettigheder i forhold til vores behandling af oplysninger om dem: o Ret til at se oplysninger (indsigtsret): Personen har ret til at få indsigt i de oplysninger, som vi behandler og opbevarer om vedkommende. Side 3

5 o o o o o Ret til berigtigelse (rettelse): Personen har ret til at få urigtige oplysninger om sig selv rettet. Ret til sletning: I særlige tilfælde har personen ret til at få slettet oplysninger om sig selv, inden vores generelle tidspunkt for sletning af personens oplysninger. Ret til begrænsning af behandling: Personen har i visse tilfælde ret til at få behandlingen af sine personoplysninger begrænset. Hvis de har ret til at få begrænset behandlingen, må vi frem over kun behandle oplysningerne bortset fra opbevaring med personen samtykke. Ret til indsigelse: Personen har i visse tilfælde ret til at gøre indsigelse mod vores ellers lovlige behandling af vedkommendes personoplysninger. Personen kan også gøre indsigelse mod behandling af sine oplysninger til direkte markedsføring. Ret til at transmittere oplysninger (dataportabilitet): Personen har i visse tilfælde ret til at modtage sine personoplysninger i et struktureret, almindeligt anvendt og maskinlæsbart format samt at få overført disse personoplysninger fra én dataansvarlig til en anden uden hindring. Hvis personen vil gøre brug af sine rettigheder, skal de kontakte os. TRE VIGTIGE Dataansvarlig i Danske Patienter og ViBIS Den dataansvarlige er vores direktør. Klage til Datatilsynet Personer har altid ret til at klage til Datatilsynet, hvis de er utilfredse med den måde, vi behandler deres personoplysninger på. Mere om rettigheder I kan læse mere om personers rettigheder i Datatilsynets vejledning om de registreredes rettigheder. Den ligger på Datatilsynets hjemmeside: Side 4

6 Hvad er personoplysninger? En personoplysning er enhver form for information, der kan henføres til en bestemt person, også selv om personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger. Personoplysninger kan for eksempel være personnumre, registreringsnumre, et billede, et fingeraftryk, en stemme, lægejournaler eller biologisk materiale, når det i praksis er muligt at identificere en person ud fra oplysningerne eller i kombination med andre. Man siger, at oplysningen er "personhenførbar". Databeskyttelsesforordningen opdeler personoplysninger i tre typer: Almindelige oplysninger. Særlige kategorier af oplysninger (følsomme oplysninger). Oplysninger om straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger. Opdelingen findes, fordi der gælder forskellige betingelser og procedurer for behandling af personoplysninger afhængig af oplysningernes følsomhed ( Almindelige personoplysninger Almindelige personoplysninger (ikke-følsomme personoplysninger) er beskrevet i artikel 6 i databeskyttelsesforordningen. Almindelige personoplysninger omfatter alle oplysninger, der ikke er klassificeret som særlige kategorier af oplysninger (følsomme personoplysninger). Det kan for eksempel være identifikationsoplysninger som navn og adresse eller oplysninger om økonomi, skat, gæld, væsentlige sociale problemer, andre rent private forhold, sygedage, tjenstlige forhold, familieforhold, bolig, bil, eksamen, ansøgning, CV, ansættelsesdato og -stilling, arbejdsområde og arbejdstelefon. Følsomme personoplysninger Særlige kategorier af personoplysninger (følsomme personoplysninger) er beskrevet i artikel 9 i databeskyttelsesforordningen. Følsomme personoplysninger er udtrykkeligt afgrænset i databeskyttelsesforordningen, og adgangen til at behandle sådanne oplysninger er snævrere end ved almindelige personoplysninger. Følsomme oplysninger er oplysninger om: Race og etnisk oprindelse Politisk overbevisning Religiøs eller filosofisk overbevisning Fagforeningsmæssige tilhørsforhold Genetiske data Side 5

7 Biometriske data med henblik på entydig identifikation Helbredsoplysninger Seksuelle forhold eller seksuel orientering. Kun de oplysninger, der er nævnt ovenfor, er følsomme personoplysninger. Hvornår er der brug for skriftligt samtykke? I princippet må et samtykke godt være mundtligt men det kan være svært at bevise. Derfor er det en god idé at indhente skriftligt samtykke i særligt vigtige situationer eller ved opbevaring af særligt følsomme oplysninger. Indhent altid skriftligt samtykke: Ved brug af billeder, hvis personen kan føle sig krænket, udstillet eller på anden måde stødt over den samlede kontekst, billedet figurerer i. Dette gælder både ved situationsbilleder og portrætter. Ved brug og optagelse af video. Ved håndtering af data fra børn. Ved håndtering af data fra voksne med værger eller med neurologiske udfordringer. Side 6

8 Hvad kan der ske? I Danske Patienter og ViBIS opbevarer vi meget få følsomme personoplysninger, og vi har ingen kommercielle interesser. Derfor er der ikke overhængende risiko for, at vi kommer i problemer, hvis vi følger retningslinjerne i dette dokument. Man kan dog risikere, at personer, som vi har været i kontakt med, henvender sig med ønsket om, at vi kommer med en opgørelse på alt data, vi har liggende om den pågældende. Det er deres ret, og derfor er det vigtigt at have overblik over, hvor vi har vores persondata og ikke have mails liggende i mere end maksimalt to år. Datatilsynet kan kræve at se en redegørelse for vores procedurer og i princippet vælge at gå dem efter i sømmende. I yderste konsekvens kan man få en bøde for ikke at leve op til reglerne i GDPR og bøderne er blevet større. Derfor skal vi selvfølgelig gøre os umage og bestræbe os på at håndtere data på en god og ordentlig måde. Følger vi vores retningslinjer i dette dokument, gør vi det godt. Vi har dog en udfordring i forhold til opbevaring og samtykke i forbindelse med data af ældre karakter. Det skyldes, at reglerne er blevet strammere med den nye GDPR-lovgivning, og at vi simpelthen ikke har været skarpe nok på de regler, der har eksisteret tidligere. Derfor vil der være et før og et efter GDPR. I en periode vil der være mangler i relation til ældre data. Vi vil så vidt muligt skaffe den nødvendige dokumentation og med tiden løser problemet sig selv, da vi sletter data løbende i vores oprydningsprocesser. Side 7

9 OVERORDNEDE RETNINGLINJER Her er en oversigt over, hvad vi skal være særligt opmærksomme på, når vi håndterer data på vores server, i Outlook, når vi printer, gennemfører interview, laver video, bruger billeder og arrangerer workshops, konferencer og gå-hjem-møder. Fællesdrev og privatdrev Projekter og indsatser på fællesdrevet har en mappe med navnet Personer, hvor det er relevant. Her gemmer vi et oversigtsark med almindelige og følsomme personoplysninger samt mapper med supplerende information (herunder billeder og samtykke) på de enkelte personer, vi registrerer under forudsætning af, at vi ligger inde med supplerende information. Der ligger en Excel-skabelon under mappen Værktøjer, som man kan vælge at tage udgangspunkt i og tilpasse. Personoplysninger gemmes ikke længere end nødvendigt og maksimalt i to år medmindre der er en god, relevant og legitim grund til det (behov for dokumentation, særlig aftale, forløb der varer mere end to år med videre). Enkelte indsatser kan have særlige regler se afsnittet Retningslinjer for særlige indsatser. Mapper med følsomt materiale lukkes for medarbejdere, der ikke har brug for materialet i sit arbejde. Den ansvarlige for projektet/aktiviteten vurderer, om mappen skal lukkes. Følsomme personoplysninger bør ikke gemmes på medarbejdernes private drev, medmindre der er en helt særlig årsag hertil (eventuelt privat årsag eller det drejer sig om medarbejderadministration). Nye projekter/indsatser, der indhenter/benytter sig af personoplysninger, føjes til den fælles oversigt over, hvilke steder vi opbevarer personoplysninger, der ligger under A_Administration/1 GDPR. Husk også persondata på P-drevet. Medarbejderne er ansvarlige for egne projekter og listen gennemgås hvert halve år af økonomi- og administrationskonsulenten. Generel overvejelse: Behøver jeg at gemme disse dokumenter? En sund overvejelse at gøre sig ligegyldigt om det gælder dokumenter med personoplysninger eller blot gamle dokumenter i det hele taget. og Outlook Vi sletter s, der er mere end to år gamle (medmindre der er en god grund til at opbevare dem). Det kan ske, der ligger s af ældre dato, hvilket ryddes op på den efterfølgende dataoprydningsdag. Vi overfører følsomme persondata, som vi modtager på og har brug for at gemme, til et oversigtsark (for eksempel i Excel) i mappen navngivet Personer under det konkrete Side 8

10 projekt/indsats på fællesdrevet. Vi sletter derefter en i Outlook (husk også at slette i Sendt post og Slettet post ). Har vi brug for at gemme s med følsomme personoplysninger, gemmer vi dem i den relevante mappe Personer under det konkrete projekt/indsats på fællesdrevet og sletter derefter en fra Outlook (husk også at slette i Sendt post og Slettet post ). Vi opbevarer ikke s med ansøgninger eller svar på ansøgninger i Outlook (tjek Sendt post ), når en ansættelsesproces er afsluttet, hvilket er 4 uger efter den valgte kandidat har underskrevet i tilfælde af dokumentation ift. andre ansøgere. s med ansøgninger og CV er slettes. Opbevarer vi efter aftale CV er, lægges de i en mappe med navnet CVer på den i en låst mappe og slettes derefter fra Outlook. Alle medarbejdere i Team Commu opretter en mappe i Outlook med navnet Journalister, hvor -kommunikation med medier og journalister lægges (husk at slette i Sendt post særligt, når du har videregivet kontaktoplysninger eller følsomme personoplysninger til en journalist). Fælles lister over kontaktpersoner i Outlook opdateres løbende af de personer, der bruger listen. Gamle og overflødige lister slettes minimum én gang årlig. Listerne gennemgås af økonomi- og administrationskonsulenten i forbindelse med den årlige dataoprydningsdag. Al følsomme persondata sendes krypteret. Brug hængelåsen i Outlook (licens kræves, kontakt økonomi- og administrationskonsulenten) eller lav konto hos Protonmail. Slet mail derefter. Print og papirdokumenter Er der undtagelsesvist brug for at printe dokumenter med følsomme personoplysninger skal der benyttes secure print. Understøtter printeren ikke denne funktion, skal der stå en betroet medarbejder for at modtage printet i printerrummet. Papirdokumenter med følsommer personoplysninger skal opbevares aflåst og makuleres, når de ikke længere er nødvendige/relevante at opbevare. Papirdokumenter kan med fordel scannes og opbevares elektronisk på fællesdrevet i mappen Personer tilknyttet det konkrete projekt/indsats. Gennemførelse af interview videnskabelig afdækning Data fra interview opbevares i mappen Personer under det konkrete projekt/indsats på fællesdrevet eller medarbejderens personlige drev. Hvis der er tale om følsomme data, opbevares det i en lukket mappe på fællesdrevet. Følsomme data slettes fra andre enheder Side 9

11 (fx diktafon) hurtigst muligt. Frem til sletning opbevares den aflukket. Data fra interview gennemført som led i projekter opbevares kun, til projektet er afsluttet medmindre det indgår som en del af Danske Patienter og ViBIS videnskabelige arbejde. Data fra interview gennemført i forbindelse med publikationen af videnskabelige artikler eller anden form for videnskabeligt analysearbejde opbevares i to år af hensyn til behovet for dokumentation. Efter to år slettes de. Gennemførelse af interview cases Data fra interview opbevares i mappen Personer under mappen Kommunikation på fællesdrevet (F:\H_Kommunikation\Personer (Cases)) eller medarbejderens personlige drev. Data opbevares i et oversigtsskema (F:\H_Kommunikation\Personer (Cases)\Casekatalog.xlsx) og suppleres eventuelt med en mappe per caseperson, hvor vi gemmer billeder, samtykker, -dokumentation med videre. Modtager vi følsomme persondata via overføres disse til mappen Personer (Cases) og slettes derefter (husk Sendt post og Slettet post ). Ved særligt følsomme situationer er det vigtigt at gemme skriftlig dokumentation på samtykke (for eksempel interview med børn eller særligt sårbare). Brug af video Færdige videoer gemmes i mappen Video under Kommunikation på fællesdrevet (F:\H_Kommunikation\Video). Samtykke eller licensaftaler gemmes i mappen Video_samtykker, der ligger i mappen Personer (Cases) under Kommunikation på fællesdrevet (F:\H_Kommunikation\Personer (Cases)\Videoer_samtykker). Informationer og data på deltagere gemmes i de personspecifikke mapper i Casekatalog under Personer (Cases) (F:\H_Kommunikation\Personer (Cases)\Casekatalog) eller medarbejderens p-drev. Vi indsamler skriftligt samtykke fra alle, der deltager i videoer, vi selv producerer. I forbindelse hermed informerer vi om vores datapolitik. Skabelon er tilgængelig i mappen Værktøjer på fællesdrevet. Vi får underskrevet licensaftaler af alle deltagere i videoer, der produceres af eksterne videofolk eller i forbindelse med videoer, der overleveres til anden part. Skabelon er Side 10

12 tilgængelig i mappen Værktøjer på fællesdrevet. Når du arrangerer en konference, workshop, event Vi informerer alle deltagere om, at de ved tilmelding til vores arrangement bliver sat på listen for det relevante nyhedsbrev (typisk Nyt fra ViBIS ), når de tilmelder sig, fordi der af denne vej viderebringes information om arrangementet. Vi informerer om, at de kan afmelde sig nyhedsbrevet igen (samt hvordan de gør), så snart de har fået den information, der var relevant for det arrangement, de deltog i. Vi informerer om vores datapolitik. Billeder Alle situations-/temabilleder lægges i mappen Billeder under Billeder Logo Grafik på fællesdrevet (spørg Team Commu, hvis du er i tvivl om den rette placering). Billeder lægges i den rette mappe Personer i forbindelse med den konkrete indsats/projekt på fællesdrevet (Team Commu lægger dem i mappen Personer (Cases) under Kommunikation ). Billeder kan bruges uden samtykke, hvis personen i en samlet kontekst ikke kan føle sig krænket, ydmyget eller på anden måde føle sig stødt. Få altid samtykke ved børn og sårbare voksne. Er der tvivl, få skriftligt samtykke. Samtykket lægges sammen med billedet. Egne fotos, der bruges til stock, kræver underskrevne licensaftaler. Overordnet Vi holder en årlig dataoprydningsdag i sekretariatet. Dagen er den første torsdag i september. Se guide for dataoprydning. Vi gennemgår de overordnede regler og retningslinjer på et mandagsmøde to gange årligt. Nye medarbejdere får udleveret retningslinjerne og bør læse dem, inden de begynder deres arbejde. Side 11

13 RETNINGSLINJER FOR SÆRLIGE INDSATSER Vi har pligt til at oplyse, hvordan vi opbevarer og bruger data, hvilke data vi gemmer og hvor længe vi gemmer dem. Overordnet gemmer vi så få data som muligt kun det absolut nødvendige og vi gemmer dem i reglen maksimalt to år. Forskellige indsatser benytter dog forskellige typer af data, og derfor har vi beskrevet den konkrete datahåndtering for vores særlige indsatser her. Nationalt Netværk for Brugerinddragelse Vi har kun almindelige personoplysninger liggende på medlemmer af netværket Vidensforum for brugerinddragelse i sundhedsvæsenet. Det drejer sig om registrerings- og kontaktoplysninger såsom navn, adresse, arbejdsplads, adresse, telefonnummer og betalingsoplysninger i den forbindelse også for eksempel EAN-nummer og CVR-nummer. Informationerne bruges til at kontakte medlemmerne med information om kommende arrangementer, som arrangeres i netværket, eller anden information, der er relevant at dele i et netværk. Informationerne bruges desuden i forbindelse med den årlige fakturering af gebyret for medlemskab af netværket. Navn, stilling og mail deles efter hvert arrangement, vedkommende har deltaget i, med de øvrige deltagere af arrangementet, med henblik på at deltagerne kan sparre på tværs. Vi behandler oplysninger i den periode, personen er medlem af netværket samt i en periode på op til 6 år efter medlemskabets ophør jf. bogføringsloven. Det gør vi af hensyn til fakturering og administration. Vi sletter en persons oplysninger senest et år efter udmeldelse på vores fællesdrev, mens faktureringsoplysninger ligger i vores økonomisystem eller låst inde fysisk i op til 6 år. Bisiddere i bisidderordningen Vi har primært almindelige oplysninger liggende på vores bisiddere, der hjælper patienter i klagesager. Det drejer sig om kontaktoplysninger såsom navn, adresse, adresse, telefonnummer og oplysninger fra deres CV. Vi har dog også portrætbilleder liggende, der sendes til brugere af bisidderordningen forud for et møde og CPR numre, der bruges ved rejserefusion. Disse defineres som fortrolige og ligger i en aflåst mappe. Oplysningerne bruges til at kontakte bisidderne, når nye bisiddersager skal håndteres. Og til at vurdere, hvilken bisidder der er det bedste match i den konkrete sag. Side 12

14 Bisidderne er tilknyttet Danske Patienter og ViBIS som frivillige medarbejdere, hvorfor de også kan kontaktes med henblik på videreuddannelse eller i forbindelse med formidling af bisidderordningen. Vi behandler bisiddernes oplysninger i den periode, de fungerer som aktive bisiddere i ordningen. Når de ikke længere er en del af ordningen, bliver data opbevaret og behandlet i en kort periode af praktiske og administrative hensyn, indtil vi blandt andet har ordnet alle transportbilag. Derefter arkiveres bisiddernes data som medarbejderdata og opbevares som dokumentation for bisidderens virke i organisationen. Rejseudlæg opbevares i Economic eller låst inde i op til 6 år jf. bogføringsloven. Brugere af bisidderordningen Vi har primært almindelige personoplysninger liggende på brugerne af vores bisidderordning, og vi opbevarer dem kun ganske kortvarigt. Det drejer sig om kontaktoplysninger såsom navn, adresse, telefonnummer og eventuelt en adresse. Vi registrerer dog også, hvor og hvornår samtalen finder sted. Oplysningerne bruges til at udpege den rette bisidder til brugernes dialogsamtaler med sundhedsvæsenet (i forbindelse med klagesager) og til kontakt med henblik på at aftale mødetidspunkt og overgive informationer forud for mødet med bisidderen. Oplysningerne behandles og opbevares, indtil bisiddersamtalen er gennemført, og bisidderne har udfyldt et afslutningsskema. Den eksakte tidsperiode kan variere, men det drejer sig typisk om en måneds tid. Derefter har vi ikke længere persondata liggende om brugere af ordningen. Bisidderne har selvfølgelig tavshedspligt og opbevarer heller ikke brugernes data efter endt forløbet er afsluttet. Information om klageren sendes krypteret til bisidderen. Patient- og pårørenderepræsentanter Danske Patienter er repræsenteret i mere end 100 råd, nævn og udvalg i sundhedsvæsenet. Her sidder repræsentanter fra patientforeningerne også patienter og pårørende. Vi opbevarer både almindelige oplysninger og følsomme oplysninger om vores repræsentanter. Blandt de almindelige personoplysninger er kontaktoplysninger som navn, adresse, telefonnummer og tilknytning til patientforening (nogle repræsentanter er ansat i patientforeningerne, hvor andre er medlemmer typisk som patienter eller pårørende). De følsomme oplysninger dækker over beskrivelser af patienterfaringer, der kan indeholde Side 13

15 helbredsinformationer samt om de er patienter eller pårørende. Oplysningerne bruges til at udpege repræsentanter til råd, nævn og udvalg og til at følge op på aktiviteter i repræsentationerne. Oplysningerne kan også bruges i forbindelse med kontakt vedrørende efteruddannelse. Navn, kontaktinformationer og patientforening videregives til den organisation, der står bag det råd, udvalg eller nævn, som repræsentanten sidder med i. I sjældne tilfælde videregives information om repræsentantens erfaringer som patient eller pårørende telefonisk. Oplysninger modtages på fra vores medlemsforeninger. Vi oplyser alle, der vil indstille repræsentanter, om at sende informationerne krypteret. Evt. følsomme oplysninger overføres til en lukket mappe på F-drevet og slettes ca. to uger efter udpegningen. Navn, kontaktinformation og patientforening overføres til skema på fællesdrevet i en aflåst mappe, når de er udpeget. Det noteres desuden, hvilken kategori af repræsentant, vedkommende tilhører, hvilket kan være følsomt. Dataet bruges til at tilpasse kompetenceudviklingen til repræsentanterne. Resten slettes så snart udpegningen er fundet sted. Oplysningernes slettes derefter i Outlook (husk at slette i Sendt Post også). Hvis vi ønsker at beholde det indsendte data i længere tid, opnår vi samtykke. I forbindelse med udpegning til Medicinrådets fagudvalg, sendes der information og blanketter om én person, og forbindelsen til alle tre koordinatorer er TLS krypteret, hvilket er konfirmeret af organisationens eksterne IT-konsulent. Oplysningerne opbevares så længe, det er nødvendigt, hvilket kan dreje sig om en længere årrække. Den lange opbevaringsperiode skyldes, at Danske Patienter har behov for at kunne dokumentere, hvilke repræsentationer organisationen har varetaget, og hvem der har talt organisationens sag. Deltagere på kurser, konferencer og workshops Vi har kun almindelige personoplysninger liggende på de personer, der deltager i vores kurser, workshops, gå-hjem-møder eller konferencer. Det drejer sig om registrerings- og kontaktoplysninger såsom navn, arbejdsplads, adresse, telefonnummer og betalingsoplysninger i den forbindelse også for eksempel EAN-nummer og CVRnummer. Oplysningerne bruges til at sende information om den aktivitet, de er tilmeldt, samt til at fakturere for deltagelsen i de tilfælde, hvor der er et deltagergebyr. Tilmelder man sig et kursus, en konference eller en workshop via en formular på hjemmesiden, vil oplysningerne kortvarigt ligge opbevaret i hjemmesidesystemet, men slettes på dagen for det arrangement, man deltager i. Hvis der har været en betaling, opbevares bilaget på dette i op til 6 år jf. bogføringsloven. De øvrige oplysninger gemmes maksimalt i et år, men vil typisk blive slettet, når e- mailen overgår til nyhedsbrevssystemet. Betalingsoplysninger opbevares op til 6 år. Side 14

16 Case- og interviewpersoner Danske Patienter og ViBIS interviewer ofte personer med henblik på at formidle budskaber om best practice i sundhedsvæsenet, om særlige udfordringer eller nye erfaringer. Det kan dreje sig om privatpersoner, patienter, pårørende, sundhedsprofessionelle, samarbejdspartnere, bisiddere, brugere af bisidderordningen, ansatte i egen organisation med flere. Danske Patienter og ViBIS interviewer også personer i forbindelse med afdækning af problematikker i det danske sundhedsvæsen særligt i forbindelse med det videnskabelige arbejde i organisationens projekter. Danske Patienter og ViBIS opbevarer og bruger i denne forbindelse både almindelige og følsomme oplysninger såsom navn, adresse, telefonnummer, adresse, arbejdsplads, familierelationer, diagnose, billeder og videomateriale. Vi opbevarer kun informationer i tilfælde, hvor personerne har givet samtykke til, at vi kan gemme oplysningerne til senere brug. Dette samtykke kan både være mundtligt eller skriftligt. Interview brugt til formidling Alle relevante personoplysninger om en case- eller interviewperson, der er i kontakt med Danske Patienter og ViBIS' kommunikationsteam, samles i én mappe på vores fællesdrev (F:\H_Kommunikation\Personer (Cases)). Det kan dreje sig om portrætfoto, et særligt samtykke, en vigtig korrespondance eller lignende. Samtidigt tilføjes de overordnede informationer i et Excelskema (F:\H_Kommunikation\Cases\Casekatalog.xlsx), så vi kan se, hvornår vi sidst har talt med den enkelte person, hvem der har talt med vedkommende, og hvordan vi må kontakte dem. Det gør det nemt for alle interviewpersoner at få oplyst præcist, hvilke informationer vi ligger inde med. Informationerne bruges typisk i forbindelse med et interview, der enten bliver til en nyhed på vores hjemmeside, i et magasin eller i vores nyhedsbrev. Det kan også blive en historie til vores onlinetemaer, en video til hjemmesiden, til YouTube og sociale medier eller til et eksempel på udfordringer i sundhedsvæsenet, som vi kan bruge i vores politiske arbejde, f.eks. i vores politiske indspil. Fra tid til anden interviewer vi ikke selv, men etablerer kontakt mellem casepersoner og journalister i mediebranchen, der arbejder med et sundhedsrelateret emne. I dette tilfælde videregiver vi efter aftale med den enkelte kontaktoplysningerne til den pågældende journalist. Vi videregiver aldrig oplysninger til journalister eller medier uden den enkelte casepersons samtykke. Vi overfører alt personfølsomt data fra vores -system til låste mapper kaldet Personer under den enkelte indsats og sletter i sendt og slettet mail. Side 15

17 Vi opbevarer oplysninger, så længe det er relevant, og så længe data som for eksempel fotos eller video bruges på vores platforme. Bruges et billede eller en video ikke længere aktivt i vores kommunikation, slettes det/den helt og bliver ej heller opbevaret på vores server. Vi sletter information og kontaktoplysninger på cases, hvis vi ikke har haft kontakt i mere end to år med mindre elementer som billeder og video stadig er i brug på vores platforme. Vi beholder information, der er mere end to år gammelt, hvis videoer og billeder af casepersoner stadig er i brug, da det kan give anledning til behov for kontakt for eksempel, hvis andre ønsker at bruge materialet, og der derfor er behov for et udvidet samtykke. Samtykke til deltagelse i nyheder og pressearbejde (og i den forbindelse opbevaring af data) betegnes som journalistik, og samtykke i denne forbindelse må gerne ske mundtligt. Er der tale om interview med og opbevaring af data om børn, vil vi dog altid indhente skriftligt samtykke. Interview brugt i det videnskabelige arbejde, analyser og projekter Danske Patienter og ViBIS gennemfører også interview i forbindelse med det videnskabelige arbejde og analyser i organisationen og i arbejdet med at afdække særlige problematikker. Interviewene er grundlag for vigtigt videnskabeligt arbejde og vil derfor typisk blive båndet, transskriberet og analyseret, men typisk ikke offentliggjort i den fulde form eller offentliggjort overhovedet. Data fra interview gennemført i forbindelse med publikationen af videnskabelige artikler og organisationens analysearbejde (herunder erfaringer fra projekter) opbevares i to år af hensyn til behovet for dokumentation. Efter to år slettes de. Samarbejdspartnere Vi har typisk kun almindelige personoplysninger liggende på vores samarbejdspartnere, men der kan være situationer, hvor vi også ligger inde med portrætfotos. Danske Patienter og ViBIS samarbejder med personer fra andre organisationer, uddannelsesinstitutioner, sundhedsvæsenet (stat, regioner, kommuner) og forskningsmiljøet. I den forbindelse behandler vi og opbevarer personoplysninger. Det drejer sig om registrerings- og kontaktoplysninger såsom navn, arbejdsplads, adresse og telefonnummer. Har vi indgået særlige samarbejder, hvor vi sammen publicerer noget online eller i en rapport, kan vi også ligge inde med portrætfotos. De billeder, vi benytter af samarbejdspartnere, er typisk billeder, der i forvejen er offentlige (pressebilleder eller medarbejderfotos). Oplysningerne opbevares i mappe på fællesdrevet eller medarbejderens p-drev navngivet Personer under den konkrete indsats. ( Konkret indsats Personer ). Side 16

18 Vi bruger oplysningerne til løbende kontakt i forbindelse med det konkrete samarbejde, og sletter dem, når de ikke længere er relevante for os at opbevare. Video Videoer, som vi selv producerer eller får produceret, ligger i mappen Video under Kommunikation på fællesdrevet (F:\H_Kommunikation\Video). De offentliggøres dertil på vores hjemmeside, på sociale medier typisk LinkedIn og Facebook, men også i nogle tilfælde på Twitter. De ligger desuden på vores YouTube-kanal. Oplysninger om deltagere i vores videoer opbevares i casekataloget (F:\H_Kommunikation\Personer (Cases)) og opbevares, så længe videoen benyttes på vores platforme. Procedure for tilladelser: Videoer, vi producerer selv Fra 1. maj 2018 sørger vi for, at interviewpersoner, der stiller op til video, underskriver en samtykkeerklæring. Vi er bevidste om, at et samtykke kan opsiges fra dag til dag, så erklæringen skal alene sikre, at interviewpersonerne er helt klar over, hvordan vi vil bruge videoen efterfølgende, og hvad deres rettigheder er. Samtykket gemmes i mappen Video_Samtykker på fællesdrevet (F:\H_Kommunikation\Personer (Cases)\Videoer_samtykker). Samtykket opbevares lige så længe, videoen er aktiv på vores platforme. Procedure for tilladelser: Videoer, der produceres af ekstern samarbejdspart Fra 1. maj 2018 sørger vi for, at interviewpersoner og eventuelle statister underskriver en licensaftale, der gør det klart, hvordan vi ønsker at bruge videomaterialet efterfølgende og binder deltagerne til aftalen. Danske Patienter og ViBIS arbejder altid ud fra princippet om, at vi ikke ønsker at bruge materiale, der skader interviewpersoner, eller materiale, de ikke længere føler, at de kan stå inde for. Men der kan være situationer, hvor vi leverer til eksterne samarbejdspartnere eller lægger mange penge i en produktion, hvor det vil være for omkostningstungt og meget uhensigtsmæssigt, hvis interviewpersonerne skifter mening om deres deltagelse i perioden efter lancering. Det er i de tilfælde, hvor vi sørger for at have en licensaftale på plads, der sikrer, at vi kan bruge materialet i den angivende periode. Licensaftalen gemmes i mappen Video_Samtykker på fællesdrevet "F:\\H_Kommunikation\\Personer (Cases) Licensaftalen opbevares lige så længe, videoen er aktiv på vores platforme. Side 17

19 SIKKERHED Brugerprofiler og serversikkerhed Alle computere er udstyret med et administratorpassword, en personlig profil, der giver adgang til serveren, der giver adgang til fællesdrev og medarbejderens personlige drev, og et gæstelogin. Passwordet ændres flere gange årligt. Kun direktør, økonomi og administrationskonsulenten og organisationens it-konsulent har adgang til administratorkoden. Der må ikke opbevares dokumenter med personoplysninger på medarbejderes bærbare computere uden for fællesdrevet, og dokumenter med følsomme personoplysninger opbevares kun på fællesdrevet i de særlige mapper indrettet dertil og ikke på medarbejdernes private serverdrev. Når en medarbejder stopper i Danske Patienter og ViBIS, lukkes deres adgang til server og dagen efter ansættelsens ophør. Det betyder, at medarbejderen skal sørge for at overlevere og lukke sine aktiviteter, inden han eller hun stopper i organisationen. Det er muligt at lave et autosvar, der sendes ud på i op til tre måneder efter, man har forladt sin stilling. Medarbejderen skal dog sørge for at lave dette, inden han eller hun stopper i organisationen, da adgang til en lukkes samtidigt med adgangen til serveren. Profilen nedlægges permanent efter typisk tre måneder. Medarbejderen har dog ikke adgang, når vedkommende først er stoppet i organisationen. Adgang til hjemmeside og sociale medier Medarbejdere med særlig adgang til administration af organisationens sociale medier og hjemmeside mister denne ved fratrædelse af deres stilling. Adgangen lukkes med det samme. Adgang til kontor Alle medarbejdere har en nøgle til kontoret og en kode til alarmen. Kontoret lukkes, når den sidste medarbejder forlader kontoret, og alarmen aktiveres. Medarbejdere afleverer deres nøgle, når de forlader deres stilling i organisationen. Koden til døren skiftes én gang årligt. Papirdokumenter eller lignende med følsomme personoplysninger opbevares i aflåste skabe på kontoret. Afskaffelse af dokumenter med følsomme personoplysninger sker ved makulering. Adgang til data i det offentlige rum Medarbejdere i Danske Patienter og ViBIS forventes at tilgå både almindelige personoplysninger og følsomme personoplysninger med varsomhed. Man skal være særlig påpasselig, hvis man tilgår oplysninger uden for kontorets rammer, og s med følsomme personoplysninger håndteres ikke i det offentlige rum. Side 18

20 Tavshedspligt og sletning af data Medarbejdere i Danske Patienter og ViBIS skal holde tæt med fortrolige og følsomme personoplysninger også efter deres fratrædelse i organisationen. Hvis en person henvender sig med ønske om at få uddybet, hvilke data vi har liggende på vedkommende, og eventuelt et ønske om sletning, er det den medarbejder, der er knyttet op på den pågældende indsats (projekt, kommunikation, bisidderordning med mere), der sørger for hurtigt og servicemindet at orientere personen og slette data. Den dataansvarlige (direktøren) orienteres. Data findes på det fælles drev under personer, og alle medarbejdere får 2 arbejdsdage, hvor de er på arbejde, til at søge i deres mailarkiv, hvorvidt de har vedkommende persondata. Direktøren foretager et konkret skøn i den pågældende situation. Ved brud på sikkerheden Ved brud på sikkerheden har den dataansvarlige (direktøren) pligt til at kontakte organisationens databehandlere med formål om at sikre data. Der er udarbejdet databehandlingsaftaler med databehandlere, der skal sikre, at de lever op til de nødvendige sikkerhedskrav. Opdatering Retningslinjer, behandlerfortegnelse og tjeklister opdateres løbende af økonomi- og administrationskonsulenten, som minimum i forbindelse med den årlige oprydningsdag. Oversigt over persondata opdateres løbende af den ansvarlige medarbejder, som minimum i forbindelse med den årlige oprydningsdag. Side 19