Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Krav om datasikkerhed hos alternative behandlere, som håndterer oplysninger om klienter

Persondataloven stiller krav om, at personoplysninger skal behandles sikkerhedsmæssigt forsvarligt.

Det betyder bl.a., at der skal være de nødvendige tekniske og fysiske foranstaltninger imod, at oplysningerne kommer til uvedkommendes kendskab eller misbruges.

Datatilsynet har udformet nedenstående specifikke minimumskrav for sikkerhed i forbindelse med førelse af klientjournaler hos alternative behandlere. Fra januar 2015 indeholder Datatilsynets tilladelser som standard vilkår om iagttagelse af disse krav.

  1. Adgang til klientoplysningerne skal begrænses til personer, der har et sagligt behov for adgang til oplysningerne. Det skal være så få personer som muligt.
         
  2. Medarbejdere, der håndterer klientoplysninger, skal have instruktion og oplæring i, hvad de må gøre med oplysningerne, og hvordan de skal beskytte oplysningerne.
        
  3. Klientoplysninger på papir – f.eks. i kartoteker og ringbind – skal opbevares aflåst, når de ikke er i brug.

    Når dokumenter (papirer, kartotekskort mv.) skal smides ud, skal der anvendes makulering eller anden foranstaltning, der forhindrer, at uvedkommende kan få adgang til oplysningerne.
         
  4. Der skal anvendes adgangskode for at få adgang til pc’er og andet elektronisk udstyr med følsomme klientoplysninger. Kun de personer, der skal have adgang, må få en kode.

    De personer, der har adgangskode, må ikke overlade koden til andre eller lade den ligge, så andre kan se den.
      
  5. Hvis klientoplysninger lagres på en USB-nøgle, skal oplysningerne beskyttes. Der kan f.eks. bruges en USB-nøgle med adgangskode og kryptering. Ellers skal USB-nøglen opbevares i aflåst skuffe eller skab. Tilsvarende gælder ved opbevaring af oplysningerne på andre bærbare datamedier.
        
  6. Hvis en pc med oplysninger om klienter er koblet til internettet, skal den have en opdateret firewall og viruskontrol installeret.
       
  7. Hvis der benyttes hjemmesideformularer, hvor følsomme personoplysninger og personnummer kan indtastes, skal der anvendes kryptering.
       
  8. Hvis følsomme personoplysninger og personnummer sendes med e-mail via internettet, anbefaler Datatilsynet kryptering.
       
  9. I forbindelse med reparation og service af dataudstyr, der indeholder klientoplysninger, og når datamedier skal sælges eller kasseres, skal der træffes de fornødne foranstaltninger, så oplysningerne ikke kan komme til uvedkommendes kendskab.
         
  10. Ved brug af en ekstern databehandler til håndtering af oplysninger om klienter, skal persondatalovens § 42 om skriftlig databehandleraftale mv. følges. Det gælder eksempelvis, når der anvendes et eksternt dokumentarkiv, tidsbestillingssystem e.l. på internettet.