Standard 9 - datasikkerhed og diskretion

I perioden 2019-2022 blev der udarbejdet faglige standarder til akkreditering af fysioterapipraksis. Læs standarden om datasikkerhed og diskretion.
Titel

09 - Datasikkerhed og diskretion

Sektor Fysioterapipraksis Version 1 Udgave 1
Tema Kvalitet og patientsikkerhed
Standard

Klinikken behandler, opbevarer og destruerer personoplysninger sikkert og sikrer patienternes diskretion.

Formål

At sikre datasikkerhed og fortrolighed i klinikkens omgang med personoplysninger.

Indhold

Datasikkerhed

Personoplysninger håndteres, så personer uden retmæssig adgang til oplysningerne forhindres heri. Personoplysninger er både oplysninger i elektroniske systemer og på papir.

Hindring af uretmæssig adgang til personoplysninger omfatter også metoder og forholdsregler til beskyttelse af lagrede personoplysninger samt computerprogrammer mod fejl og virus. Det vil sige, at klinikken sikrer backup og hindring af uretmæssig adgang til personoplysninger ved fx at anvende personligt log in, logningslister, kryptering, firewalls og antivirusprogrammer mv. Dette kan være en del af databehandleraftalen (kontrakt) med it-leverandører.

Klinikken har en databehandleraftale med it-leverandør jf. Persondataforordningen (GDPR).

Klinikken har en praksis for håndtering af personoplysninger, herunder:

  1. Hvordan personoplysninger indhentes og videregives
  2. Hvordan personoplysninger opbevares forsvarligt og utilgængeligt for uvedkommende
  3. Stillingtagen til i hvilke tilfælde ikke-autoriserede sundhedspersoner, klinikpersonale (fx sekretærer og massører) samt fysioterapeuter, som ikke har behandlingsansvar for patienten, må få adgang til personoplysninger
  4. Hvordan personoplysninger destrueres
  5. Hvordan personoplysninger håndteres ved systemnedbrud.

Diskretion og tavshedspligt

Klinikken kan redegøre for, hvordan tavshedspligten overholdes, samt hvordan patienters diskretion sikres i forbindelse med fx telefonsamtaler og skærmarbejde, samtale med og behandling af patienter på klinikken.

Krydsreferencer

05 - Patientidentifikation

08 - Patientjournalen

Klinikken vil under det eksterne survey blive vurderet på følgende:
Indikator 1

Ved interview med klinikejer/dataansvarlig kan der redegøres for databehandleraftale med it-leverandør, der sikrer, at personoplysninger behandles i overensstemmelse med lovgivningens regler.

Ved survey fremlægges aftalerne, men detaljerne i indholdet vil ikke blive vurderet.

Indikator 2

Ved interview med fysioterapeut og klinikpersonale kan der redegøres for håndtering af personoplysninger jf. punkt a. - e.

Resultater af interview sammenholdes med surveyors observationer i klinikken vedrørende datasikkerhed og fortrolighed fx personligt log in, skærmarbejde/skærmlås og andet med personoplysninger.

Indikator 3

Ved interview med fysioterapeut og klinikpersonale kan der redegøres for, hvordan diskretion og tavshedspligt sikres i kontakten med patienterne.

Referencer

1 EU-persondataforordning af 27. april 2016 http://eur-lex.europa.eu/legal-content/DA/TXT/PDF/?uri=CELEX:32016R0679&from=DA
2 Vejledning om informationssikkerhed i sundhedsvæsenet, version 1.0 af 19. april 2016, Sundhedsdatastyrelsen https://sundhedsdatastyrelsen.dk/da/rammer-og-retningslinjer/om-informationssikkerhed
3 Persondatabeskyttelse på klinikken https://www.fysio.dk/radgivning-regler/selvstandig-virksomhed/ny-databeskyttelsesforordning
4 Vejledning nr. 9494 af 4. juli 2002 om sundhedspersoners tavshedspligt, dialog og samarbejde med patienters pårørende https://www.retsinformation.dk/Forms/R0710.aspx?id=9166
5 Lovbekendtgørelse nr. 903 af 26. august 2019 af sundhedsloven, kap. 9 - Tavshedspligt, videregivelse og indhentning af helbredsoplysninger m.v. https://www.retsinformation.dk/Forms/R0710.aspx?id=210110