Lever din klinik upp til den nya dataskyddsförordningen (GDPR)?

 

På EasyPractice är vi förberedda på den nya dataskyddsförordningen som kommer att träda i kraft.

Eftersom vi får många frågor om det har vi skapat denna sida som innehåller information om hur vi förhåller oss till det hela.

Dataskyddsförordningen är en omfattande förändring så därför är det mycket viktigt att man har full koll på den när man driver en klinik eller praktik. Nedan går vi igenom de viktigaste frågorna i dataskyddsförordningen som vi naturligtvis hanterar åt dig i EasyPractice.

 

Registerförare och registeransvarig

När man pratar om personuppgifter använder man uttrycken “registerförare” och “registeransvarig”. EasyPractice är i denna konstellation registerförare och våra användare är registeransvariga, eftersom vi behandlar dina kunders personuppgifter för din räkning och intresse. Därför har du också kontroll över hur vi behandlar dina data, eftersom vi endast behandlar dem enligt dina instruktioner.

Läs mer om förhållandet mellan registerförare och registeransvarig på Datainspektionens hemsida.

Måste jag som behandlar göra något själv?

Nej. Detta är bara en fråga om definitioner. Du accepterade vårt databehandlingsavtal när du registrerade dig på EasyPractice.

 

Placering av data

Med den nya dataskyddsförordningen är det lagligt att överföra personuppgifter till andra EU-länder som uppfyller en tillräcklig säkerhetsnivå. Hos EasyPractice lagrar vi data hos ett danskt webbhotell i Danmark, och du behöver inte vara rädd för att dina kunders data ska skickas vidare utanför EU. De kommer alltid att omfattas av dataskyddsförordningen.

Måste jag som behandlar göra något själv?

Nej. EasyPractice har redan förberett så att alla dina data lagras i Danmark.

 

Krav på samtycke och upplysningsskyldighet

Det är viktigt att du som registeransvarig är klar och tydlig i din kommunikation när du lagrar eller på annat sätt behandlar dina kunders data. Behandlingen av uppgifterna ska antingen vara nödvändig för att uppfylla ett kontrakt eller så ska det ges uttryckligt samtycke till det, och oavsett ska behandlingen ske med en saklig grund och din kund ska ha fått upplysning om:

  • vilka personuppgifter du registrerar,
  • för vem eller vilka personuppgifterna behandlas,
  • hur länge personuppgifterna lagras,
  • att kunden har rätt att få sina uppgifter rättade, raderade eller överförda,
  • vart kunden kan vända sig för att utöva sin rätt till rättelse, radering eller få sina uppgifter överlämnade,
  • att kunden när som helst kan återkalla sitt samtycke och hur detta kan ske,
  • var förfrågningar om ovanstående kan korrigeras.

Om du exempelvis lägger in nya kunder i EasyPractice, ska kunden ge sitt uttryckliga samtycke till det och ska i samband med detta få ovanstående information. Om du har online-bokning i EasyPractice, kan du specifikt ställa in att villkoren ska godkännas innan en bokning kan göras för att säkerställa samtycke, och detta är något du alltid bör göra.

Måste jag som behandlar göra något själv?

Ja. Du måste be om dina kunders samtycke till att du lagrar och behandlar deras uppgifter. Du kan göra detta i samarbete med EasyPractice. 

 

Dataskyddsombud

En nyhet för registerförare är att ett dataskyddsombud måste utses. Dataskyddsombuden ska se till att företaget uppfyller kraven i den nya dataskyddsförordningen. Här kan du läsa mer om vad ett dataskyddsombud ska göra.

Måste jag som behandlar göra något själv?

Nej. EasyPractice har redan tagit hand om detta åt dig genom att utse ett dataskyddsombud som bland annat hanterar frågor från dina kunder om behandling av personuppgifter.

 

Dataportabilitet

Kunderna som du har registrerat i EasyPractice har rätt att få sina uppgifter överförda till ett annat system om de så begär. I EasyPractice ges möjligheten att exportera kunduppgifter via ”Inställningar” → ”Import/Export” om du behöver ett format som kan överföras till en annan registeransvarig.

Måste jag som behandlar göra något själv?

Nej. Du behöver inte göra någonting. Detta hanteras av EasyPractice

 

”Rätten att bli bortglömd”

Dina kunder har rätt att bli ”bortglömda”. Detta innebär att dina kunder kan kräva att de tas bort från ditt kundregister. I EasyPractice kan du såväl ange en kund som ”inaktiv” som ta bort den helt från ditt register. För att ”rätten att bli bortglömd” ska uppfyllas, är det viktigt att du tar bort kunden helt och hållet från ditt register.

Måste jag som behandlar göra något själv?

Nej. Du behöver inte göra någonting. Detta hanteras av EasyPractice. Om dina kunder kräver det, kan du ta bort dem helt och hållet.

 

Inbyggt integritetsskydd och förvald inställning för integritetsskydd

Denna del av dataskyddsförordningen handlar om att säkerställa att systemen du använder uppfyller kraven för skydd av personuppgifter. Hos EasyPractice uppfyller vi de olika kraven som exempelvis kryptering av personuppgifter, men om du använder andra system (t.ex. bokföringsprogram), ska du som registeransvarig se till att de också uppfyller kraven. Om du till exempel har anslutit EasyPractice till ett redovisningssystem ser vi till att överföra data via en krypterad anslutning. Men det är du som registeransvarig som ansvarar för att de andra systemen du använder uppfyller kraven för lagring av personuppgifter.

Måste jag som behandlar göra något själv?

Ja. Du måste undersöka om de andra programmen du använder för behandling av personuppgifter uppfyller kraven i dataskyddsförordningen och du måste inkludera databehandlingsavtal med dina olika registerförare.

 

Konsekvensanalys

Som registeransvarig är du i samband med den nya dataskyddsförordningen skyldig att förbereda en så kallad konsekvensanalys. En konsekvensanalys är en beskrivning av de tekniker/ produkter som du använder för att hantera personuppgifter och den ska bland annat innehålla en bedömning av riskerna för dina kunder i samband med att de är kunder till dig, och vilka försiktighets- och säkerhetsåtgärder du vidtar för lagring av personuppgifter.

Måste jag som behandlar göra något själv?

Ja. Du måste själv förbereda konsekvensanalysen. Vi kan hjälpa dig med detta med hjälp av vår advokat, och då ska du kontakta oss på contact@easypractice.net.

 

Anmälningsskyldighet vid dataintrång

Med den nya dataskyddsförordningen medföljer också skyldigheten att meddela den nationella dataskyddsmyndigheten om dataintrång. Det måste ske inom 72 timmar efter ett dataintrång. Vi som registerförare har skyldighet att informera både våra användare och dataskyddsmyndigheten om ett intrång och vi har sett till att vi har ett förfarande för detta i vårt företag. Kom ihåg att du som registeransvarig också är skyldig att upplysa om eventuella dataintrång.

Måste jag som behandlar göra något själv?

Ja. Om du får ett meddelande från oss om dataintrång ska du  anmäla detta till dataskyddsmyndigheten. Vi kommer att hjälpa till med utformningen av anmälan, så du behöver inte oroa dig för de tekniska bitarna.

 

Dokumentation på att dataskyddsförordningen efterlevs

Som registeransvarig är det ditt ansvar att dokumentera att du efterlever dataskyddsförordningen. Detta innebär att du måste ha rätt dokumentation på att uppgifter behandlas korrekt i systemet du använder. Här hittar du dokumentation om personuppgifter i EasyPractice.

Måste jag som behandlar göra något själv?

Ja. Du måste själv kunna visa dataskyddsmyndigheten att du efterlever dataskyddsförordningen.

 

SSL säkerhet/krypterad kommunikation

Säker kommunikation från andra webbläsare till systemet (t.ex. när du redigerar journalposter eller när en kund bokar tid) är något som du som registeransvarig måste känna till. En stor del av systemen för att föra register, online-bokningar och fakturering använder fortfarande inte SSL-säkerhet (Secure Socket Layer). SSL är det lilla hänglåset som du kan se i webbläsaren när du till exempel går in på nätbanken eller terapeutbooking.dk. Om du just nu använder ett system som inte har det lilla hänglåset, bör du överväga att byta eller alternativt kontakta din leverantör och se till att detta åtgärdas.

Måste jag som behandlar göra något själv?

Nej. EasyPractice körs med SSL-säkerhet per automatik.

 

Utbyte av data mellan plattformarna (integrationer, appar)

När man använder ett online-system för till exempel registerföring eller fakturering är det ofta möjligt för systemet att automatiskt utbyta data med andra plattformar. Det är viktigt att du som registeransvarig har koll på vilka plattformar du använder och hur de behandlar personuppgifter. Alla integrationer via EasyPractice körs med SSL-säkerhet (krypterad, säker kommunikation) och vi ser därför till att det inte kan ”läcka” data när plattformar integreras.

Måste jag som behandlar göra något själv?

Nej. EasyPractice har upprättat en säker kommunikation (SSL) för alla integrationer.

Var redo till maj 2018

Den nya dataskyddsförordningen, även känd som GDPR, börjar gälla den 25 maj 2018. Vid det laget ska svenska företag vara redo för de nya reglerna. Var noga med att använda en plattform där den nya dataskyddsförordningen är i fokus. Vi säkerställer löpande att personuppgifter behandlas korrekt hos EasyPractice. Kontakta oss gärna om du har frågor om detta. Du kan skapa ett kostnadsfritt konto och prova plattformen på EasyPractice.

macbook
Har du några frågor?

Om du har frågor kan du alltid skriva till oss på vår e-post contact@easypractice.net. Vi är redo att hjälpa till.

Få kostnadsfri tillgång

EasyPractice klarar av onlinebokningar, sms-påminnelser, journaler och mycket annat!

lock 100 % krypterad kommunikation via SSL (RapidSSL)