Privatlivspolitik
Behandling af personoplysninger
i virksomheden “Sans For Kroppen v/Karin Wissing Becker” CVR-nr. 30978595
Indholdsfortegnelse
1. Lovgivningens rammer – teori
1.1 Baggrund……………………………………………… ………………………………………… side 5
1.1.1 Persondataforordning………………………………………………………… side 5
1.1.2 Tilsluttende dansk lovgivning………………………………………………….. side 5
1.2 Krav………………………………………………………………………………… side 5
1.3 Ansvar……………………………………………………………………….…….. side 5
1.3.1 Ansvar for data………………………………………………………….………. side 5
1.3.2 Ansvar for databehandlingen……………………………….…………………. side 5
1.3.3 Samtykkeerklæring………….……………………………….…………..……… side 5
1.4 Videregivelse………………………………………………..…………….……… side 6
1.4.1 Aftale om databehandlingen…………….…………………………..…………. side 6
1.4.2 Lovreguleret videregivelse……………………………………………..………. side 6
1.4.3 Back-up og ”cloud”……………………………………….…………….………. side 6
1.5 Opbevaring af personlige oplysninger………………………..….…… side 6
1.6 Dokumentationskrav………………………………………………………. side 6
1.6.1 Behandlingen af personoplysninger skal dokumenteres.………………. side 6
1.6.2 Risikoanalyse……………………………………………………………….. side 6
2. Sådan gør jeg i praksis i Klinik for Afspænding
2.1 Behandling af personoplysninger……………………………………… side 7
2.1.1 Typer af personoplysninger………………………………………………. side 7
2.1.2 Samtykkeerklæring………………………………………………………….. side 7
2.2 Ansvaret for personoplysningerne……………………………………… side 7
2.2.1 Dataansvarlig……………………………………………………………… side 8
2.2.2 Databehandler…………………………………………………………….. side 7
2.3 Videregivelse af personoplysninger……………………………………. side 7
2.4 Opbevaring af personoplysninger………………………………………. side 7
2.5 Dokumentation………………………………………………………………. side 8
2.5.1 Den dataansvarlige………………………………………………………… side 8
2.5.2 Databehandleren…………………………………………………………… side 8
2.5.3 Formålet med behandlingen af personoplysninger…………………….. side 8
2.5.4 Beskrivelse af kategorier af anvendte personoplysninger…………….. side 8
2.5.5 Tidsfrister for sletning……………………………………………………… side 8
2.5.6 Tekniske og organisatoriske sikkerhedsforanstaltninger……………….. side 8
Samtykkeerklæring…………………………………………………………… side 9
Krav til Databehandleraftale………………………………………………….. side 10
Lovgivningens rammer – teorien
Fortalen til Jyske Lov fra år 1241, som kong Valdemar gav, og Danerne vedtog, lyder således: ”Med lov skal land bygges”.
Og denne sætning gælder fortsat, således at vi som borgere i Danmark, har pligt til at følge landets lovgivning. Derfor skal personlige oplysninger behandles og anvendes på en lovlig, rimelig og gennemsigtig måde.
1.1 Baggrund
Baggrunden for dette resume af lovgivningens rammer for behandling af personoplysninger tager udgangspunkt i
- EU’s Persondataforordning (GDPR)
- Tilsluttende dansk lovgivning.
Formålet med lovgivningen er at sikre samtlige borgere i såvel EU som i Danmark en privatlivsbeskyttelse, således at der sikres arbejdsgange, der beskytter oplysningerne om den enkelte person.
1.2 Krav til behandling af personoplysninger
Forudsætningen for indhentning og opbevaring af personoplysninger er, at
- de er nødvendige
- de er rigtige og ajourførte
- de er tilgængelige for den person, de vedrører
- de kan slettes
- der foreligger en samtykkeerklæring, kontrakt eller juridisk forpligtigelse.
Enhver håndtering af personlige oplysninger er behandling.
Der er to typer af personoplysninger, som angivet i eksemplerne nedenfor:
Almindelige oplysninger | Følsomme oplysninger |
Navn Adresse Telefonnummer Fødselsdato e-mailadresse Familieforhold Sociale problemer Stilling |
Helbredsmæssige eller seksuelle forhold Fagforeningsoplysninger CPR nr. (DK) Politisk/religiøs overbevisning Genestiske eller biomestriske data |
For at sikre, at en person ved, at behandleren opbevarer personlige data om den pågældende, skal der foreligge en samtykkeerklæring vedrørende den konkrete behandling. Denne kan ifølge dansk lovgivning være enten mundtlig eller skriftlig.
Afgivelse af en samtykkeerklæring skal være frivillig (uden pres eller tvang), specifik (knyttet til en konkret anvendelse) og informeret (hvad samtykket gives til) og i særlige tilfælde utvetydigt.
Formålet er at sikre, at de oplysninger, den dataansvarlige ønsker at få oplyst, kun er de nødvendige, at den dataansvarlige ved, at der er forskel på anvendelsen af oplysningerne og at den dataansvarlige ved, at ”ejeren” til konkrete personoplysninger alene er den person, som oplysningerne vedrører.
1.3 Ansvar
Der skelnes i Persondataforordningen imellem i hvert fald disse følgende hovedtyper af interessenter
- den dataansvarlige
- databehandleren, og
- tredjemand
Alle udover den dataansvarlige og databehandleren er tredjemand.
Databehandleren er en fysisk eller juridisk person, der behandler personoplysninger på den dataansvarliges vegne. Der må udelukkende anvendes databehandlere, som kan stille garantier i form af ekspertise, pålidelighed og ressourcer.
Man kan outsource opgaven, men ikke ansvaret. Derfor skal der være en skriftlig databehandleraftale imellem den dataansvarlige og databehandleren.
Formålet er at fastlægge ansvaret for håndteringen af personlige oplysninger, således at den dataansvarlige er den, der indsamler og bruger de personlige data og databehandleren, der både kan være den dataansvarlige selv, eller f.eks. en ekstern udbyder af bookingsystemer, systemer til journalføring eller udbydere af hjemmesider o.l.
1.4 Videregivelse af data
1.4.1 aftale om databehandling
Videregivelsen skal principielt
- være i en legitim (”berettiget”) interesse
- være baseret på en skriftlig aftale om ansvarsfordeling mm.
- udvise varsomhed i forbindelse med sociale medier
- være godkendt i en samtykkeerklæring
1.4.2 lovreguleret videregivelse
For lovgivningsmæssige krav om videregivelse af personlige oplysninger, kan der foreligge andre krav.
1.4.3 Back-up og ”cloud”
Her skal udbyderen dokumentere en sikker adgang og opbevaring.
Formålet er at sikre, at personlige data ikke ”slippes fri” eller ”lækkes” overfor tredjemand.
1.5 Opbevaring af personlige oplysninger
Der stilles krav til opbevaring af personlige oplysninger, såvel vedrørende
- en fysisk opbevaring, som
- en elektronisk opbevaring
Formålet er, som nævnt under 1.1 at sikre en privatlivsbeskyttelse. Opbevaringen skal beskrives, jf. punkt 1.6.
1.6 Dokumentationskrav
Den dataansvarlige er ansvarlig for og skal kunne påvise, at principperne for behandlingen af personoplysninger overholdes. Der er bl.a. følgende krav til dokumentationen, der skal foreligge skriftligt
- Navn og kontaktinformation på den dataansvarlige
- Formål med anvendelsen af personlige oplysninger
- Beskrivelse af kategorier af personoplysninger
- en generel angivelse af tidsfrister for sletning
- En beskrivelse af tekniske og organisatoriske sikkerhedsforanstaltninger (risikovurdering)
Formålet er, at kunne bevise at virksomheden har forstået og lever op til de retslige forpligtigelse, der er gældende i forbindelse med behandlingen af personoplysninger og at dette kan dokumenteres overfor myndighederne.
Sådan gør jeg i praksis i “Sans For Kroppen v/Karin Wissing Becker”
2.1 Behandlingen af personoplysninger
Den registrerede har altid ret til indsigt i egne data.
2.1.1 Typer af personoplysninger
I virksomheden Sans For Kroppen v/Karin Wissing Becker indhentes de nødvendige personlige oplysninger til at kunne identificere personen og til at kunne stille en diagnose forud for iværksættelse af en behandling.
2.1.2 Samtykkeerklæring
Der indhentes altid en skriftlig samtykkeerklæring. Samtykkeerklæringen findes som bilag 1.
Ved booking bekræfter klienten at have læst og accepteret Klinik for Afspændings information om behandling af personoplysninger.
Behandlingen af ”Almindelige personoplysninger” kræver informeret samtykke (”mundtligt eller skriftligt indforstået”), mens behandlingen af ”Følsomme personoplysninger” kræver et udtrykkeligt samtykke (”frivilligt, specifikt og informeret viljestilkendegivelse”). ”Stiltiende” eller ”indirekte” samtykke er ikke gældende.
Personen har ret til at trække sit samtykke tilbage.
Klienten kan trække sit samtykke tilbage, hvis det ikke længere ønskes at Sans For Kroppen v/Karin Wissing Becker benytter klientens samtykke som grundlag for at behandle ovenstående oplysninger. Tilbagekaldelsen sker alene med virkning for fremtiden, og får ikke virkning for de oplysninger, som tidligere er behandlet baseret på klientens samtykke.
2.2 Ansvar
2.2.1 Dataansvarlig
Den dataansvarlige er klinikkens indehaver Karin Wissing Becker
2.2.2 Databehandler
EasyMe: Booking og journalsystem
Dinero: Bogføringssystem
Stripe: Onlinebetalingssystem
Skysolution: Ansvarlig for drift af hjemmesiden “sansforkroppen.dk”
Klinikken er en enkeltmandsvirksomhed, der anvender virksomheden EasyMe som udbyder online bookingsystem til booking af tider i klinikken med dertilhørende autogenereret bekræftelse til kunden. EasyMe behandler og arkiverer journaler herunder personoplysninger
Der foreligger en skriftlig databehandleraftale imellem den dataansvarlige Karin Wissing Becker og udbydervirksomheden EasyMe. Aftalen med EasyMe findes som bilag 2.
Sans For Kroppen benytter bogføringssystemet Dinero, der opbevarer kundens navn, adresse, telefonnummer og e-mailadresse. Disse oplysninger benyttes til fakturering af ydelser booket af klienten.
Der foreligger en skriftlig databehandleraftale imellem den dataansvarlige Karin Wissing Becker og udbydervirksomheden Dinero. Aftalen med Dinero findes som bilag 3.
Sans For Kroppen benytter onlinebetalingssystemet Stripe, der fungerer som betalingsplatform på min hjemmeside. Stripe opbevarer personlige data, der er nødvendige for at styre den elektroniske handelsplatform og for at behandle betalingstransaktioner som: kortholders navn email adresse unik kundeidentifikation Ordre ID bankkontooplysninger betalingskort detaljer kortets udløbsdato CVC kode dato/tid / beløb for transaktionen handelsnavn/id Beliggenhed.
Der foreligger en skriftlig databehandleraftale imellem den dataansvarlige Karin Wissing Becker og udbydervirksomheden Stripe. Aftalen med Stripe findes som bilag 4.
Driften af hjemmesiden: www.sansforkroppen.dk overvåges af SkySolution
Der foreligger en skriftlig databehandleraftale imellem den dataansvarlige Karin Wissing Becker og udbydervirksomheden Skysolution. Aftalen med Skysolution findes som bilag 5.
2.3 Videregivelse af personlige oplysninger
Personlige oplysninger videregives aldrig til 3. part, uden klientens udtrykkelige skriftlige samtykke, medmindre særlovgivning siger noget andet.
Klienten har ret til at få udleveret de oplysninger, som personen selv har tilvejebragt, eller at få dem videresendt til en anden dataansvarlig i et almindeligt anvendt og maskinlæsbart format.
2.4 Opbevaring af personlige oplysninger
Der findes ingen personoplysninger udskrevet på papir
Klinikken er en enkeltmandsvirksomhed, der anvender virksomheden EasyMe som udbyder online system til behandling og arkivering af personoplysninger samt bookingsystem.
Der foreligger en skriftlig aftale imellem den dataansvarlige og udbydervirksomheden, hvoraf opbevaringsfrister mm. fremgår. Aftalen med udbydervirksomheden findes som bilag 2.
Klinikken er en enkeltmandsvirksomhed, der anvender virksomheden Dinero som udbyder online bogføringssystem til behandling og arkivering af personoplysninger samt faktureringssystem.
Der foreligger en skriftlig aftale imellem den dataansvarlige og udbydervirksomheden, hvoraf opbevaringsfrister mm. fremgår. Aftalen med udbydervirksomheden findes som bilag 3.
Sans For Kroppen benytter bærbar pc. Jeg tilgår booking- og journalsystem samt faktureringssystem med adgangskode, som ingen andre er bekendt med. Pc’en er låst med BitLock.
Alle oplysninger vedr. klienter er arkiveret hos ovenstående databehandlere, med hvilke jeg har databehandleraftaler.
2.5 Dokumentation
2.5.1 Den dataansvarlige
Virksomheden er ”Sans For Kroppen v/Karin Wissing Becker”, CVR nr. 30978595.
Den dataansvarlige er:
Karin Wissing Becker
Frederiksgade 7, 1. sal
3400 Hillerød
Tlf.: -45 61419593
karin@sansforkroppen.dk
2.5.2 Databehandleren
Databehandlerne er:
EasyMe ApS
Rolfsvej 37
DK-2000 Frederiksberg
support@easyme.biz
og
Dinero
Dinero Regnskab ApS
Vesterbrogade 1 L, 6. sal, 1620 København V
CVR-nr: 34731543
Kontakt: info@dinero.dk
og
Stripe
og
SkySolution ApS
Rørsangervej 1
8382 Hinnerup
CVR-nr. 35238379
Kontakt: info@skysolution.dk
2.5.3 Formålet med behandlingen af personlige oplysninger
Formålet er – ud fra klientens egne helbredsoplysninger og andre konkrete personoplysninger – at kunne identificere, diagnosticere og behandle klientens med Kranio sakral terapi, Psykomotorisk terapi, fysiske øvelser mm. samt at kunne dokumentere den gennemførte behandling.
2.5.4 Beskrivelse af kategorier af anvendte personoplysninger
Følgende personlige oplysninger efterspørges:
Almindelige oplysninger | Følsomme oplysninger |
Navn Evt. Stilling/arbejdsvilkår Adresse Telefonnummer e-mailadresse |
Årsag og baggrund for henvendelse Herunder sygeshistorie |
2.5.5 Tidsfrister for sletning
Oplysninger, hvor sidste aktive dato er mere end 5 år gammel, destrueres på betryggende måde.
Er der forskningsmæssige hensyn, hvor oplysningerne indgår i anonymiseret form, eller er der verserende sager af juridisk karakter, kan oplysningerne opbevares i længere tid.
2.5.6 Tekniske og organisatoriske sikkerhedsforanstaltninger (risikovurdering)
Sikkerhedsforanstaltning | Risikovurdering*) |
Adgangsforhold: Alarm på adgangsveje til klinikkenOpbevaring: al data opbevares via EasyMe og Dinero, der hver især er ansvarlige for sikkerheden. Adgang kun via klinikkens pc med adgangskode
Sikret datalinje ud af huset https Svar på henvendelser pr. e-mail og aftaler om konsultation Korrespondance på ”nettet” – der er password til pc’er samt BitLock Kommunikation med databehandler |
lavlav
lav lav lav lav |
*) Risikovurderingen kan være Lav, Middel eller Høj
Ved brud på sikkerheden anmeldes dette til Datatilsynet senest 72 timer efter bruddet.
Her oplyses det, hvad konsekvenserne af sikkerhedsbruddet er samt oplyses, hvad der er gjort for at stoppe sikkerhedsbruddet, og – hvor det er muligt – underrettes de berørte personer.
Cookies
Cookies bliver gemt på din browser, når du går ind på en hjemmeside, og har til formål at lette din søgning på nettet.
Sans For Kroppen kan anvende cookies for at opnå en bedre oplevelse for brugeren så som tilgang til ønskede informationer. Sans For Kroppen kan benytte funktionen til målretning af markedsføring og kundeservice.
Du kan selv slette de data (text string), der gemmes omkring Sans For Kroppen.
Artmagicbymagl.dk kan anvender cookies til at forbedre brugeroplevelser og tilgang til rette informationer. Det betyder også at artmagicbymagl.dk kan arbejde på at opnå en mere målrettet markedsføring, der vil højne kundeservice på hjemmesiden.
Du kan læse om cookies og håndteringen af dem her
Analytics
Sans For Kroppen anvender sporingskode fra Google Analytics. Den bruges til at indsamleaf generelle data omkring trafik og brugeradfærd på hjemmesiden.. Disse data anvendes til at gøre Sans For Kroppen mere informationsvenlig og mere målrettet til at modtage interesserede læsere og klienter. Du kan undgå at bidrage til denne servicefunktion ved at installere en browsertilføjelse til fravalg af GoogleAnalytics.
Facebook-pixel
Sans For Kroppen anvender facebook-pixel. Den bruges til at målrette information og markedsføring til relevante målgrupper.
Klienten giver sit samtykke på oplyst grundlag
I henhold til persondatalovgivningen giver jeg, som abonnent på Sans For Kroppens nyhedsbrev, hermed mit samtykke til, at Sans For Kroppen v/ Karin Wissing Becker må opbevare mit navn og min e-mailadresse.
Jeg er gjort opmærksom på, at Sans For Kroppen ikke videregiver mine oplysninger til tredje part, og at jeg til enhver tid kan afmelde nyhedsbrevet igen.
I henhold til persondatalovgivningen giver jeg, som klient, hermed samtykke til, at Sans For Kroppen opbevarer de oplysninger, jeg giver til vedkommende – herunder relevante helbredsoplysninger – i forbindelse med behandling med kranio sakral terapi, psykomotorisk terapi og fysiske øvelser.
Jeg er gjort opmærksom på, at formålet med behandlingen af mine oplysninger primært er opfyldelse af journalpligt samt den fordel der er ved, at Sans For Kroppen har oplysningerne tilgængeligt.
Jeg er informeret om, at hvis jeg ikke længere ønsker, at Sans For Kroppen benytter mit samtykke som grundlag for at behandle ovenstående oplysninger, kan jeg tilbagekalde mit samtykke. Tilbagekaldelsen sker alene med virkning for fremtiden, og får ikke virkning for de oplysninger, som tidligere er behandlet baseret på mit samtykke.
Ved booking/køb/kursustilmelding/nyhedsbrevstilmelding afgiver jeg mit samtykke til, at mine oplysninger opbevares af Sans For Kroppen v/Karin Wissing Becker på de betingelser, som jeg her er blevet oplyst om.
Skriftlig samtykkeerklæring skal KUN gives, når elektronisk samtykke ikke er muligt.
Bilag 1, samtykkeerklæring
Samtykkeerklæring Undertegnede
Navn _______________________________________________________ Adresse _______________________________________________________ Postnr. ______________ By ____________________________________ Telefon ______________ giver hermed mit udtrykkelige samtykke til, at Sans For Kroppen v/Karin Wissing Becker Karin Wissing Becker opbevarer nødvendige personlige oplysninger om mig, for at jeg kan modtage den behandling, som diagnosticeres til at være nødvendig i forbindelse med min henvendelse. Jeg bekræfter samtidig, at jeg er blevet informeret om, at – samtykkeerklæringen kun er gyldig, fordi jeg har afgivet den frivilligt Hillerød den ______________ ____________________________________ Underskrift
|
Indhold i databehandleraftalen, Bilag 2, 3, 4 og 5
Følgende specifikke krav gælder til en databehandler aftale:
- databehandleren må kun behandle personoplysninger, efter en dokumenteret instruks fra den dataansvarlige
- den dataansvarlige skal sikre, at databehandlerens medarbejdere er underlagt fortrolighed/tavshedspligt
- databehandleren skal have passende tekniske og organisatoriske sikkerhedsforanstaltninger
- databehandleren skal indhente godkendelse fra den dataansvarlige ved brug af underdatabehandlere
- databehandleren skal bistå den dataansvarlige i forhold til bl.a. at
- sikre de registreredes rettigheder
- sikre overholdelse af kravene til dataenes behandlingssikkerhed, notifikation og konsekvensanalyse
- databehandleren skal slette eller tilbagelevere personoplysninger ved aftalens ophør
- databehandleren stiller oplysninger/dokumentation til rådighed for den dataansvarlige og bidrager til revision og inspektioner
Det er den dataansvarlige, der skriftligt skal definere, hvilke personlige oplysninger, der overlades til databehandleren.
De øvrige punkter er de krav, som den dataansvarlige stiller til, at databehandleren beskriver og leverer skriftligt.
Typen af personoplysninger der behandles (forslag til indhold):
Behandlingerne indeholder personoplysninger i de nedenfor afkrydsede kategorier. Leverandørens og eventuelle underdatabehandleres niveau for behandlingssikkerhed bør afspejle oplysningernes følsomhed.
Almindelige personoplysninger (jf. Databeskyttelsesforordningens artikel 6)
Almindelige personoplysninger
Følsomme personoplysninger (jf. Databeskyttelsesforordningens artikel 9):
Racemæssig eller etnisk baggrund
Politisk overbevisning
Religiøs overbevisning
Filosofisk overbevisning
Fagforeningsmæssige tilhørsforhold
Helbredsforhold, herunder misbrug af medicin, narkotika, alkohol m.v.
Seksuelle forhold
Oplysninger om enkeltpersoners rent private forhold (jf. Databeskyttelsesforordningens artikel 6 og 9):
Strafbare forhold
Væsentlige sociale problemer
Andre rent private forhold, som ikke er nævnt ovenfor:
Oplysninger om cpr-nummer (jf. Databeskyttelsesforordningens artikel 87)
CPR-numre
Databehandleraftale
Bilag 2: DPA EasyMe
Bilag 3: DPA Dinero
Bilag 4: DPA SkySolution
Indtil jeg får teknikken til at linke direkte over til aftalen, kan du kopiere nedenstående og sætte det ind i din browser. file:///C:/Users/Bruger/Downloads/databehandleraftale%20Klinik%20for%20Afsp%C3%A6nding%20(3).pdf
Bilag 5: DPA Stripe