Informationsmøde om Persondataforordning og it-sikkerhed Praktiserende Lægers Organisation

Relaterede dokumenter
Databehandleraftale. vedr. brug af WebReq (WBRQ) Version 1.2 af d. 23. maj Dansk Medicinsk Data Distribution A/S

Opsamling på PLO og Sundheds-og Ældreministeriets indsats for styrket it-og informationssikkerhed i almen praksis

GML-HR A/S CVR-nr.:

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Behandling af personoplysninger

DATABEHANDLERAFTALE. Mellem: Kunden (herefter Den Dataansvarlige ) atriumweb A/S (herefter Databehandleren ) CVR-nr Dalsagervej Egå

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

Databehandleraftale (v.1.1)

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

Privatlivspolitik for patienter

Privatlivspolitik for patienter

DATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Privatlivspolitik for patienter

Bilag 1 Databehandler aftale (v.1.2)

Persondataforordningen

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

Retningslinje om fortegnelser over behandlingsaktiviteter

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

Behandling af oplysninger- Privatlovspolitik hos Lægerne ved Postparken:

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Persondata politik for GHP Gildhøj Privathospital

Persondatapolitik Vordingborg Gymnasium & HF

Persondataforordningen

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Retningslinje om fortegnelser over behandlingsaktiviteter

Retningslinje om fortegnelser over behandlingsaktiviteter

DATABEHANDLERAFTALE. Omsorgsbemanding

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Privatlivspolitik. Lægerne Skrågade 13

Persondatapolitik for Aabenraa Statsskole

Privatlivspolitik for patienter

Lector ApS CVR-nr.:

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Standardvilkår. Databehandleraftale

Persondatapolitik for Tørring Gymnasium 2018

Årshjul for persondata. v/henrik Pors

Plan og Handling CVR-nr.:

Databehandleraftale. Mellem. Den dataansvarlige: Firma: CVR: Adresse: Postnr og by: Land: Databehandleren TINX/DK A/S CVR

Tønder Kommune BILAG 10

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Den Persondatapolitik for klinikkens patienter - lang version. Se tillige vores korte version.

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Databehandleraftale. Mellem. Brugere af software fra Datalogisk. Den dataansvarlige: Databehandleren: Datalogisk A/S CVR Stubbekøbingvej 41

PERSONDATAPOLITIK. Jeg optræder som dataansvarlig, når jeg behandler personoplysninger.

N. Zahles Skole Persondatapolitik

Databehandleraftale. Mellem. Den dataansvarlige: Databehandleren. Ribe Mediehus CVR Industrivej Ribe. Danmark

Retningslinjer om brud på persondatasikkerheden

Databehandleraftale INDHOLDSFORTEGNELSE

Persondatapolitik på Gentofte Studenterkursus

Aftale vedrørende fælles dataansvar

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".

Retningslinje om fortegnelser over behandlingsaktiviteter

Databeskyttelsesdagen

Nysted lægehus indsamler og behandler følgende typer af personoplysninger om dig (i det omfang det er relevant for netop dig).

Introduktion til persondataforordning

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

1 Indhold. Side 2 af 15

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

DATABEHANDLERAFTALE. Databahandleraftale # _ Mellem. Navn Adresse Postnr og by CVR: (I det følgende benævnt Kunden )

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

DATABEHANDLERAFTALE Version 1.1a

Privatlivspolitik for patienter

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

Privatlivspolitik for patienter

Privatlivspolitik for patienter

Databehandleraftale (Skabelon fra Datatilsynet)

Persondatapolitik for Odense Katedralskole

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Databehandleraftale. Mellem. Dataansvarlig: Kunden

Komiteen for Sundhedsoplysning CVR-nr.:

Persondataforordning og IT-sikkerhed - hvordan har vi grebet det an

Databehandleraftale. Mellem. Den dataansvarlige: Landbrugsstyrelsen CVR Nyropsgade København V. Danmark. Databehandleren.

EN DAG OM PERSONDATAFORORDNINGEN. STU Foreningen. 7. december 2017

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Retningslinjer om brud på persondatasikkerheden

BILAG 14: DATABEHANDLERAFTALE

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Brud på datasikkerheden

Privatlivspolitik for patienter. Denne privatlivspolitik er gældende for Brædstrup Lægehus herunder alle samarbejdende praksis:

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Kontraktbilag 3. Databehandleraftale

Databehandleraftale. Mellem. Den dataansvarlige kunde. Databehandleren. Øernes Revision Registreret revisionsaktieselskab.

Retningslinjer om brud på persondata

Transkript:

Informationsmøde om Persondataforordning og it-sikkerhed Praktiserende Lægers Organisation Tirsdag d. 24. april kl. 18.00 20.30 PLO-Sjælland 1

Medlemmer af PLO s it- og dataudvalg Henrik Dibbern (formand) Medlem af PLO s bestyrelse og rep. for PLO i region Syd Niels Ulrich Holm Medlem af PLO s bestyrelse og rep. for PLO i region Sjælland Annette Houmand Repræsentant for DSAM Karsten R. Svendsen Medlem af PLO s bestyrelse og rep. for PLO i region midt Trine C. Jeppesen Medlem af PLO s bestyrelse og rep. for PLO i region Hovedstaden 2

Hvorfor skal vi interessere os for itsikkerhed? 3

Hvad går PLO s indsats ud på? Hjælpe medlemmerne med de nye juridiske krav Udbrede viden om it-sikkerhed og give råd og vejledning Opnå viden om, hvordan det står til med it-sikkerheden i almen praksis 4

Dagsorden A. Introduktion til den nye persondataforordning B. Gennemgang af PLO s juridiske dokumentpakke C. Klar til Datatilsynet D. Konkrete spørgsmål fra salen - PAUSE (Ca. Kl. 19.20) E. Konklusioner fra tryktesten af de 8 systemhuse F. Kampagne for bedre digital sikkerhed 5

www.laeger.dk/plo/it-sikker-praksis 6

A. Introduktion til den nye persondataforordning EU s Persondataforordning (GDPR) 25. maj 2018 Højnet integritetsbeskyttelse. (Retten til frihed og privatliv). Effektiv, ensartet retshåndhævelse på tværs af EU. Apple-opdatering 14. april 2018: Hos Apple mener vi, at anonymitet er en grundlæggende menneskerettighed Bestyrelsens tilgang: Fælles værktøjskasse til løsning af fælles problem. 7

Dansk følgelovning En EU-forordning har umiddelbar retskraft. Persondataloven afløses af databeskyttelsesloven. Forventes vedtaget 3. maj 2018. PLO høringspart: https://www.laeger.dk/forslagtil-lov-om-supplerende-bestemmelser-tilforordning-om-beskyttelse-af-fysiske-personer-i Kamp til det sidste: Bemyndigelsesbestemmelse til ressortministre, fx SUM. 8

Hvad er gammelt i GDPR? Grundlæggende definitioner lever videre: Personoplysning. Følsomme og almindelige Behandling af data. Indsamling, søgning, brug, transmission, opbevaring m.v. Dataansvarlig (OBS: forveksles ikke med klinikkens it-ansvarlige) Databehandler Formålsbegrænsning (DAMD) 9

Hvad er nyt i GDPR? Registreredes rettigheder i fokus: Indsigtsret (betaling for aktindsigt bortfalder) Oplysningspligt (løftes ved privatlivspolitik) Føre fortegnelse til sig selv og Datatilsynet over behandlingsaktiviteter (artikel 30-fortegnelse) Mere specifikke krav til databehandleraftale DPO (PLO anbefaler ikke, jf. Datatilsynets vejledning) Skrappere samtykkeregler. Sundhedslovens kapitel 9 undtager 10

IKAS (da capo!) 11

B. Gennemgang af PLO s juridiske dokumentpakke I. Standarddatabehandleraftale med systemhusene II. Standard artikel 30- fortegnelse III. Standard privatlivspolitik OBS: Dokumenterne kan hentes på hjemmesiden 12

I. Standarddatabehandleraftale med systemhusene 13

Standarddatabehandleraftale Fælles standarddatabehandleraftale indgået med 7 ud af 8 systemhuse. Dialog med det sidste. Har forrang for kontrakten med systemhuset i relation til databehandling Grundlæggende asymmetri mellem mindre dataansvarlige og store IT-professionelle databehandlere, derfor har PLO på medlemmernes vegne forhandlet indholdet af instruksen. 14

Hovedpunkter i databehandleraftale Lægen som dataansvarlig definerer formålet. Databehandler må ikke have egne formål. Dækker journal- og evt. bookingsystem samt datatransmission. Fortrolighedsbestemmelse for ansatte i systemhuset Passende tekniske og organisatoriske foranstaltninger, nærmere udfoldet i aftalens Bilag B, instruksen. 15

Hovedpunkter i databehandleraftale Systemhuset registrerer sikkerhedsbrud. Systemhuset underretter lægen ved mistanke om eller konstateret sikkerhedsbrud. Bistår lægen med at underrette datatilsyn og patienter i tilfælde af sikkerhedsbrud. (systemhuset betaler udgifter hertil, hvis fejlen er deres). Honorarbestemmelser og erstatningsansvar. 16

Hovedpunkter i databehandleraftale Underdatabehandlere (underretning og indsigelsesmulighed). Dataansvarlig læge skal føre tilsyn. Dette løftes ved en årlig rapport (IT-revision) Oplagt opgave for brugergruppe Underskriftsprocedure (NemID) Bilag A. Oplysninger om databehandlingen. Liste over modtagere, der videregives til (nye dataansvarlige). PLO har udarbejdet skabelon til artikel 30 fortegnelse, der anvendes. 17

Sikkerhedsinstrukser til systemhuset Bilag B. Sikkerhedsinstruks. Efterlevelse af principperne i ISO27001 el. lign. Efterlevelse ikke det samme som certificering. Lægen skal leve op til OK 90: Lægen skal have internetadgang med firewall og virusbeskyttelse, der løbende opdateres. Lægen skal endvidere have NemID, virksomhedscertifikat. 18

Krav efter instruksen til - Systemhusets fysiske sikkerhed Hvem der har adgang til personoplysninger Logning Back-up (hvis del af aftalen) 19

Andre databehandleraftaler DMDD ift. Laboratoriesvar (WebReq) DMDD ift. Webpatient (spørgeskemaer) Evt. alternativ backupleverandør DAK-E (Digitale Forløbsplaner) Sundhed.dk (Praksis- og afregningsportalen) Netværksleverandør Lønanviser ift. arbejdsgiverrollen OBS: Brug checkliste til databehandleraftaler eller Datatilsynets skabelon (Link på PLO s hjemmeside) 20

II. Standard artikel 30-fortegnelse 21

Eksempel fra artikel 30-fortegnelse 22

GDPR artikel 30 fortegnelse over: Navn på og kontaktoplysninger for den dataansvarlige Formålene med behandlingen En beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger Kort beskrivelse af sikkerhedsforanstaltninger 23

Artikel 30 fortegnelse oplyser om: Den dataansvarlige Formålet med databehandlingen Kategorier af personoplysninger (almindelige / personfølsomme) Modtagere af data fordelt på formål samt hjemmel for videregivelse / overladelse OBS: Under punktet Klinikadministration ligger minimumsfortegnelse for ikke-pla ere 24

III. Standard privatlivspolitik Efter GDPR artikel 13 skal dataansvarlig give den registrerede: Kontaktoplysninger for den dataansvarlige Formålene med den behandling, som personoplysningerne skal bruges til Retsgrundlaget for behandlingen Modtagere 25

III. Standard privatlivspolitik Eksisterende patienter: I skranken samt på hjemmeside, evt. praksisdeklaration Nye patienter: Give oplysninger ( provide ) uafklaret Evt. folder eller ifbm. bekræftelsesmail/sms PLO arbejder på forslag til løsning på borger.dk 26

C. Klar til Datatilsynet Hvornår har du selv en anmeldelsespligt over for Datatilsynet? Se på typen af sikkerhedsbrud, fx brud på fortrolighed og antal af personer Straks og senest 72 timer efter du er blevet bekendt med bruddet anmeldes det til Datatilsynet på virk.dk Hvornår skal du underrette patienterne? Høj risiko for fysiske personers rettigheder..., artikel 34. Fx tab af fortrolighed 27

C. Klar til Datatilsynet Hvad skal anmeldelsen indeholde? Se vejledning på hjemmesiden Hvornår kan du undlade at anmelde? Bruddet gælder kun én eller få patienter Tillid til modtageren, som har tavshedspligt, og returnerer/destruerer oplysningerne Hvad skal du gøre den dag, Datatilsynet kommer? Se vejledning på hjemmesiden 28

Udgangsreplik - Lægeløftet at jeg ikke ubeføjet vil åbenbare, hvad jeg i min egenskab af læge har erfaret. Begrebet omhu og samvittighedsfuldhed i autorisationsloven en dynamisk retlig figur. Dvs. i en digital kontekst kan det være udtryk for manglende omhu, hvis patientdata ikke skærmes tilstrækkeligt; både organisatorisk og teknisk. 29

Konkrete spørgsmål fra salen 30

PAUSE 31

GDPR indsatsen består af en juridisk og en teknisk del Juridisk indsats: - Databehandleraftale - Artikel 30-fortegnelse - Privatlivspolitik Teknisk indsats: - Tekniske tiltag - Fokus på fysiske rammer - It-hygiejne (adfærd) 32

Behov for viden om it-sikkerhedsniveauet Besøg hos alle 8 it-leverandører (systemhusene) i almen praksis Gennemført interviews Foretaget sikkerhedstests 3 systemhuse har fået gennemført ny test i 2018 Stikprøvebesøg hos 4 lægehuse Gennemført interviews med medarbejdere Gennemført interviews datakonsulenter 33

Konklusion fra besøg hos systemhusene Overordnet vurdering Sandsynligheden for at der skal indtræffe en hændelse ved et systemhus som medfører lækage af personfølsom information meget lille, men der er områder, hvor de også kan blive bedre. 34

Konklusioner fra besøg hos systemhusene Nedslagspunkter i analysen for systemhusene De fremhævede fund præsenteret i nedenstående er områder eller mangler, som gør sig glædende ved de fleste systemhuse De fleste systemhuse er ikke ISO certificeret eller baserer deres processer på en anerkendt standard Systemhuse har ikke automatiseret overvågning af logfiler (SIEM) Systemhuse har opgave med at opgradere firewalls (Anvender traditionelle firewalls) Mangel på formel procedure omkring rapportering af sikkerhedshændelser. 35

Konklusioner fra besøg i de 4 lægehuse Nedslagspunkter fra besøg hos 4 lægehuse: Der var ingen sikker opsætning af egen indkøbt hardware (Alt med en IP-adresse kan hackes, fx en printer) Backup løsninger fra systemleverandøren bliver fravalgt Der benyttes, efter egen ønske, meget simple passwords Ofte bliver arbejdscomputeren benyttet til andre formål Fysik sikring af server var meget ringe 36

Hvad kan PLO hjælpe medlemmerne med? Minimumsliste for it-sikkerhed (5 vejledninger) Test dig selv med PLO s it-sikkerhedstest Temaside www.laeger.dk/plo/it-sikker-praksis med svar på ofte stillede spørgsmål (Q&A) Få også hjælp af datakonsulenterne og dit systemhus 37

Husk den risikobaseret tilgang! Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne......gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici... GDPR artikel 32 om behandlingssikkerhed 38

Få konkrete tiltag kan gøre en stor forskel (it-sikkerhed) 1. Modtag kun data gennem lægesystemet Stik aldrig USB-nøgler eller andet eksternt udstyr i computeren 2. Brug kun din computer til arbejdsrelaterede opgaver Gå ikke på sociale medier eller tjenester på din arbejdscomputer 3. Opbevar altid personfølsomme data på sikrede drev og husk back-up Gem aldrig personfølsomme oplysninger på computerens skrivebord eller et fællesdrev 4. Brug forskellige passwords til forskellige systemer og programmer Sørg for, at dine passwords er varierede og minimum 12 tegn (Behøver ikke specialtegn ved 12 tegn) 5. Lås din computer, når du forlader rummet 39

Anbefaling til password - skal gerne være på 12 karakterer 40

Sæt fokus på de fysiske rammer - Anbefalinger på baggrund af risikovurdering Lad aldrig uvedkommende se dine patienters data (Gæster i klinikken, rengøring, mv.) Lås computeren, når du forlader rummet Udlån ikke en arbejdscomputer til familie eller venner (Fx hvis du har en bærbar PC med i sommerhus) Husk fysisk sikring af din server - Overvej: Er serverrummet tilstrækkeligt aflåst? Vurdering af placering ift. fx risiko for vandskader 41

www.laeger.dk/plo/it-sikker-praksis 42

Tak for i aften 43

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback