Databehandleraftale

Dokumentation for
behandling af personoplysninger efter databeskyttelsesforordningens
art. 30

Den dataansvarlige
Navn Frederiksberg
Lægecenter
CVR-nummer

40933565
Adresse Lindevangs Allé 3, 2000 Frederiksberg
Telefonnummer 70602013
E-mail adresse kontakt@frb-laegecenter.dk
Hjemmeside

frb-lægecenter.dk
Dato 01-03-24

Patienter

Behandlingen
af personoplysninger

Behandlingens
betegnelse

Indsamling, opbevaring,
behandling og videregivelse af personoplysninger om patienter
Formålene med
behandlingen 		Hovedformålet
med behandlingen af helbredsoplysninger er at muliggøre
behandling af patienter. For at muliggøre patientbehandlingen, er
det nødvendigt at der videregives helbredsoplysninger til
forskellige aktører i sundhedssektoren, herunder til
afregningsformål.

Patientoplysninger
behandles også til f.eks. forskning og kvalitetsudvikling
Kategorier af registrerede personer
og kategorierne af personoplysninger
Kategori:

Patienter

Særlige kategorier af
personoplysninger (sæt kryds i boksene)
☒ Race
eller etnisk oprindelse

☐ Politisk
overbevisning
☒ Religiøs
overbevisning
☐ Filosofisk
overbevisning
☐ Fagforeningsmæssigt
tilhørsforhold

☒ Helbredsoplysninger

Ved
helbredsoplysninger forstås journaloplysninger vedr. diagnostik,
undersøgelse og behandling af patienten, medicin, prøvesvar,
tests, billeder, scanningssvar, attester, henvisninger,
øvrige helbredsoplysninger
indsamlet via korrespondance med dig i forbindelse med e- og
videokonsultationer m.v.
☒ Seksuelle
forhold eller orientering
☐ Genetiske
elle biometriske data til brug for identifikation, f.eks.
irisscanning og fingeraftryk som adgangskontrol
☐ Oplysninger om
strafbare forhold

☒ Almindelige
kategorier af personoplysninger: Stamoplysninger, som f.eks.
navn, adresse, evt. e-mailadresse, telefonnr., fødselsdato, og
herudover CPR-nummer, køn, familie-relationer og sociale
relationer, stilling, arbejdsrelationer og uddannelse

Modtagere
af personoplysningerne

Af nedenstående
fremgår en samlet liste over modtagere (både selvstændigt
dataansvarlige og databehandlere), som patienters
personoplysninger overlades eller videregives til, systemer, typer
af oplysninger og hjemmel

Formål Modtager

System (angiv hvis behandling i
tredjeland) 		Type oplysninger Rolle og evt. hjemmel til
videregivelse:

Patientbehandling Lægens
leverandør af elektronisk journalsystem
cgm

 Journalsystem

XMO

Helbredsoplysninger,
stamoplysninger og øvrige personoplysninger, der indgår i
journalen

 Databehandler
Region
Syddanmark 		Den Nye
Henvisningsformidling (DNHF) 		Henvisninger, herunder
helbredsoplysninger om stamoplysninger på patienten 		Databehandler
Trifork
A/S 		Videokonsultationer og Min
Læge App 		Henvisninger, herunder
helbredsoplysninger om stamoplysninger på patienten 		Under-underdatabehandler
(via systemhus)
KiAP Sundhedsmappen (Digitale
Forløbsplaner) 		Helbredsoplysninger,
stamoplysninger 		Underdatabehandler
(via systemhus)
PLSP A/S Praksisleverandørernes
serviceplatform
Min Læge app’en,
videokonsultationer 		Helbredsoplysninger,
stamoplysninger

Underdatabehandler
(Via systemhus)
SynLab WebReq & WebPatient Helbredsoplysninger og
stamoplysninger ifm. bestilling af laboratorieprøver &
opbevaring af borgerens spørgeskemasvar 		Databehandler
Andre sundhedsaktører
(speciallæger, privathospitaler mv) 		Sundhedsdatanet og VANS
(MedCom-beskeder) 		Helbredsoplysninger,
stamoplysninger og øvrige personoplysninger, der indgår i
journalen 		Selvstændig dataansvarlig
(sundhedslovens § 41)
Offentlige myndigheder
(regioner, kommuner) 		Sundhedsdatanet og VANS
(MedCom-beskeder) 		Helbredsoplysninger,
stamoplysninger og øvrige personoplysninger, der indgår i
journalen 		Selvstændig dataansvarlig
(sundhedslovens § 43)
Sundhedsdatastyrelsen Det Fælles Medicinkort og
Det Danske Vaccinationsregister 		Medicinoplysninger og
vaccinationer 		Selvstændig
dataansvarlig
(sundhedslovens § 157 og §
157 a)

Forskning og kvalitetsudvikling Kliniske kvalitetsdatabaser
(RKKP) 		Databaser for Diabetes,
KOL, Astma, Atrieflimren, Hjertesvigt, 		Helbredsoplysninger, evt.
køn og alder 		Selvstændig
dataansvarlig
(sundhedslovens § 196)

Administration og indberetninger

Sundhedsdatastyrelsen Statens elektroniske
indberetningssystem (SEI2) 		Oplysninger om dødsfald,

Selvstændig
dataansvarlig
(Bekendtgørelse
nr. 1046 af 20. oktober 2006, jf. sundhedslovens § 190).
Sundhedsdatastyrelsen Dansk
Patient-Sikkerheds-Database (DPSD2) 		Utilsigtede hændelser,
herunder helbredsoplysninger 		Selvstændig
dataansvarlig
(Sundhedslovens §§
198-199)
Styrelsen for
Patientsikkerhed (STPS)

STPS indberetningsløsning

Helbredsoplysninger,
stamoplysninger og øvrige personoplysninger, der indgår i
journalen
(ifm. praksislukning) 		Selvstændig
dataansvarlig
(journalføringsbekendtgørelsens
§ 38)
Styrelsen for
Patientsikkerhed (STPS) 		STPS indberetningsløsning Helbredsoplysninger
stamoplysninger og øvrige personoplysninger, der indgår i
journalen

(ved afværgelse af fare,
f.eks. ifm. mulig inddragelse af kørekort)

Selvstændig
dataansvarlig
(autorisationslovens § 44)
Styrelsen for
Patientsikkerhed/Patienterstatningen 		Patienterstatningens
indberetningsløsning 		Helbredsoplysninger,
stamoplysninger og øvrige personoplysninger, der indgår i
journalen

 Selvstændig
dataansvarlig
(sundhedslovens § 43, jf.
lov om klage-og erstatningsadgang inden for sundhedsvæsenet)
Regioner Sygesikrings-og
afregningssystemet 		Ydelsesoplysninger Selvstændig
dataansvarlig
(sundhedslovens § 60 og
Overenskomst om almen praksis)
Forsikrings- og
pensionsselskaber

SynLab (It-leverandør) Helbredsoplysninger og
attester 		Selvstændig
dataansvarlig
(sundhedslovens § 43)
Politi og domstole N/A Helbredsoplysninger,
stamoplysninger og øvrige personoplysninger, der indgår i
journalen 		Selvstændig
dataansvarlig
(enten ved samtykke,
sundhedslovens §§ 43, 179 eller retsplejeloven)
Sociale myndigheder (fx
kommune og Udbetaling Danmark) 		EG Kommuneinformation A/S Helbredsoplysninger og
attester, stamoplysninger og øvrige personoplysninger, der indgår
i journalen 		Selvstændig
dataansvarlig
(ved samtykke fra patienten
eller efter retningslinjer i det socialt lægelige samarbejde)
Arbejdsmarkedets
Erhvervssikring

 Virk.dk (e-blanket) Helbredsoplysninger,
stamoplysninger og øvrige personoplysninger, der indgår i
journalen 		Selvstændig
dataansvarlig
(arbejdsskadesikringsloven
§ 34)
Lægemiddelstyrelsen

 Lægemiddelstyrelsens
e-blanket 		Bivirkninger ved medicin og
vaccinationer 		Selvstændig
dataansvarlig
(bekendtgørelse vedr.
indberetning af bivirkninger ved lægemidler §§ 4-5)

Netværkskommunikation MedCom Sundhedsdatanet Helbredsoplysninger Underdatabehandler
(Via systemhus)
VANS-leverandører VANS-net Helbredsoplysninger Underdatabehandler
(Via systemhus)
Alle kategorier af
personoplysninger 		Selvstændigt dataansvarlig
Sletning af
personoplysninger
Forventede
tidsfrister for sletning

Personoplysninger
indeholdt i patientjournaler, herunder stamoplysninger,
CPR-nummer, helbredsoplysninger og øvrige personoplysninger, der
måtte være indeholdt i journalen.

Oplysningerne slettes i
overensstemmelse med lovgivningens krav, se
journalføringsbekendtgørelsens kap. 4 (Bekendtgørelse nr.
1225/2021). Som reglerne er nu, skal helbredsoplysninger indeholdt
i en patientjournal opbevares mindst 10 år, billeddiagnostik dog
5 år. Oplysninger kan i visse tilfælde opbevares i længere tid,
f.eks. hvis der verserer en klage- eller erstatningssag.

tidligere og nuværende Medarbejdere samt jobansøgere

Behandlingen
af personoplysninger

Behandlingens
betegnelse

Indsamling,
behandling og videregivelse af personoplysninger om jobansøgere
samt tidligere og nuværende medarbejdere
Overordnede
formål med behandlingen 		Formålene
med behandlingen er gennemførelse af rekrutteringsprocessen for
så vidt angår jobansøgere, herunder vurdering af ansøgerens
faglige og personlige kvalifikationer samt efterfølgende
dokumentation.

For
nuværende medarbejdere behandler vi personoplysninger i den
løbende personaleadministration og til dokumentationsformål.

For
tidligere medarbejdere behandler vi personoplysninger til
dokumentationsformål, herunder i tilfælde af eventuelle retskrav
eller tvister, der måtte opstå efter ansættelsesforholdet.
Kategorier af registrerede personer
og kategorierne af personoplysninger
Kategori:

Jobansøgere

Særlige kategorier af
personoplysninger

☐ Race
eller etnisk oprindelse

☐ Politisk
overbevisning
☐ Religiøs
overbevisning
☐ Filosofisk
overbevisning
☐ Fagforeningsmæssigt
tilhørsforhold

☐ Helbredsoplysninger

☐ Seksuelle
forhold eller orientering
☐ Genetiske
elle biometriske data til brug for identifikation, f.eks.
irisscanning og fingeraftryk som adgangskontrol
☐ Oplysninger
om strafbare forhold

☒ Almindelige
kategorier af personoplysninger: Navn, adresse, evt.
e-mailadresse, telefonnr., fødselsdato, CPR-nummer, køn,
referencer fra tidligere arbejdsgivere, CV, familie-relationer og
sociale relationer, stilling, arbejdsrelationer og uddannelse

Kategori:

Nuværende medarbejdere

Tidligere medarbejdere (dokumentationsformål)

Særlige kategorier af
personoplysninger
☐ Race
eller etnisk oprindelse

☐ Politisk
overbevisning
☐ Religiøs
overbevisning
☐ Filosofisk
overbevisning
☐ Fagforeningsmæssigt
tilhørsforhold

☐ Helbredsoplysninger

☐ Seksuelle
forhold eller orientering
☐ Genetiske
elle biometriske data til brug for identifikation, f.eks.
irisscanning og fingeraftryk som adgangskontrol
☐ Oplysninger
om strafbare forhold

☒ Almindelige
kategorier af personoplysninger: Navn, adresse, e-mailadresse,
tlf. nr., CPR-nummer, jobansøgning, , personlighedstest,
medarbejder-ID, ansættelseskontrakt, lønreguleringer, tillæg
til kontrakter, bonusaftaler, løn- og skatteoplysninger,
bankkontooplysninger, a-kasseforhold, tro- og love ved
sygefravær, årlige evalueringer af medarbejdere, referat af
årlige samtaler (MUS), kopi af pas ifm. med rejser inkl.
pasnummer og CPR-nummer, gennemført uddannelse og
kursusdeltagelse, logning af IT-, internet- og e-mailbrug og
alarmsystemer, portrætfotos på hjemmesiden, civil status,
oplysninger om pårørende og familieforhold, advarsler og
opsigelser og baggrund herfor, oplysninger vedr. eventuelle
tvister, arbejdstidsregistrering, oplysninger om brug af den
elektroniske nøglebrik/adgangskort, herunder brugerens
initialer, sted og tidspunkt (komme- og gåtider), Øvrige
oplysninger fra ansøgningsproces.

Modtagere
af personoplysningerne

Af nedenstående
fremgår en samlet liste over modtagere (både selvstændigt
dataansvarlige og databehandlere), som personoplysningerne
overlades eller videregives til, systemer, typer af oplysninger og
hjemmel

Formål Modtager

System (angiv hvis behandling i
tredjeland) 		Type oplysninger Rolle og evt. hjemmel til
videregivelse:

Rekruttering Klinikkens
mail

Jobansøgning mv. Databehandler
Personaleadministration/klinikadministration
(nuværende medarbejdere) 		Lægens
leverandør af lønsystem

Zynergy

 Lønsystem Oplysninger om løn Databehandler
Lægens
leverandør af system til klinikadministration

 Administrationssystem HR-oplysninger inkl.
CPR-nummer 		Databehandler
Offentlige myndigheder,
f.eks. kommunen 		F.eks. MitVirk/NemRefusion Ansøgning om sygedagpenge,
barsel mv. 		Selvstændig
dataansvarlig
(Sygedagpengeloven,
overenskomster mv.)
Skattestyrelsen MitVirk Skatteoplysninger,
CPR-nummer, evt. øvrige oplysninger 		Selvstændig
dataansvarlig
(indkomstregisterloven)
Pensions- og
forsikringsselskaber 		N/A Stamoplysninger,
indkomstforhold, skatteoplysninger 		Selvstændig
dataansvarlig
(opfyldelse af kontrakt
eller skatteindberetningsloven)
Regionen Praksis- og
afregningsportalen (sundhed.dk) 		Praksisdeklarationer og
tilmelding til yderregisteret 		Selvstændig dataansvarlig
Persondataforordningens artikel 6, 1b og 1e om behandling mhp.
opfyldelse af kontrakt og samfundsmæssig interesse
Rejseselskaber mv.

N/A Stamoplysninger,
pasoplysninger mv. 		Selvstændig
dataansvarlig

(legitim interesse)

Revisor, advokater og andre
rådgivninger ifm. rådgivning og/eller tvister (evt. også for
tidligere medarbejdere) 		N/A Oplysninger om HR, løn og
skat mv. 		Selvstændig
dataansvarlig
(retskrav)
NETS NETS
NemID portal og/eller MitID
(Medarbejdersignatur) 		CPR-nummer Selvstændig
dataansvarlig
(samtykke)
Sletning af
personoplysninger
Jobansøgninger 6 måneder efter afslag eller
besættelse af stillingen, medmindre ansøgeren giver samtykke til
længere opbevaring

Ansættelseskontrakter,
efteruddannelse, lønadministration, skatteindberetninger 		5 år fra ophør af
ansættelsesforhold eller længere tid, hvis det er konkret
nødvendigt, f.eks. ifm. en tvist.
Lønadministration,
ferieoplysninger, CPR-nummer og skatteindberetninger 		5 fra ophør af det løbende
regnskabsår, jf. opbevaringsperioderne i bogføringsloven
Arbejdsskader Konkret vurdering af sletteregel efter fristerne i
forældelseslovgivningen
TV-overvågning

generelt

Generel
beskrivelse af de tekniske og organisatoriske
sikkerhedsforanstaltninger
Klinikkens
systemhus (og evt. andre databehandlere) har i en
databehandleraftale forpligtet sig til at sikre, at der træffes
de fornødne tekniske og organisatoriske
sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller
ulovligt tilintetgøres, fortabes eller forringes samt mod, at de
kommer uvedkommende til kendskab, misbruges eller i øvrigt
behandles i strid med lovgivningen.

Kommunikation
af personoplysninger skal ske over sikre forbindelser.
Personoplysninger, der overføres eller opbevares uden for et
lukket netværk kontrolleret af systemhuset, skal beskyttes med
kryptering. Hvor det er passende og hensigtsmæssigt henset til
oplysningernes karakter, skal oplysningerne desuden
pseudonomiseres.

Adgangskontroller
og –begrænsninger skal indføres i passende omfang. Fysisk
materiale, der indeholder personoplysninger, opbevares aflåst.

Databehandlere
skal sørge for løbende sikkerhedskopiering af
personoplysningerne, hvis der er indgået aftale herom. Hvis
systemhuset ikke foretager backup, skal der indgås aftale herom
med en anden leverandør. Kopierne skal opbevares adskilt og
forsvarligt og på en måde som sikrer mulighed for at
oplysningerne kan genskabes.

Systemhuset
har som led i databehandleraftalen forpligtet sig til én gang
årligt at afgive en erklæring til klinikken (den
dataansvarlige), der dokumenterer, at databehandleren handler i
overensstemmelse med gældende persondataret. Erklæringen baseres
på ISAE 3000, 3402 eller tilsvarende. Erklæringen skal være
underskrevet af en kvalificeret, uvildig instans, f.eks.
databehandlerens revisor.

Klinikkens åbningstider

Telefontid Konsultation
Mandag 8.00 – 12.00
13.00 – 16.00		 8.00 – 16.00
Tirsdag 8.00 – 12.00 8.00 – 15.00
Onsdag 8.00 – 12.00 8.00 – 15.00
Torsdag 8.00 – 12.00 8.00 – 15.00
Fredag 8.00 – 12.00 8.00 – 13.00

Telefontid; Læge(8-9), Øvrig(9-12).
På hverdage efter kl 16, i weekender og på helligdage henvises til 1813.

Kontakt klinikken

Frederiksberg Lægecenter

Lindevangs Allé 3
2000 Frederiksberg
Tlf: 70 60 20 13

Privatlivspolitik

CGM 2020 ©​ | All Rights Reserved