I dag, den 25. maj 2018, træder Persondataforordningen – også kendt som GDPR – i kraft. Som privatpraktiserende har det været en ENORM HURDLE at få alt det på plads, som skulle på plads inden denne skæringsdato. Det har været tidskrævende og samtidig forvirrende, fordi der flyver alle mulige informationer rundt, blandt andet på diverse Facebook-grupper, om hvad man skal og ikke skal gøre som selvstændig psykolog.
Jeg har hentet informationer om den nye forordning fra følgende steder:
Første skridt var et fyraftensmøde i marts måned i DP, hvor to IT-gutter var hentet ind til et hæsblæsende oplæg på 1½-2 timer.
Næste skridt var deltagelse i april måned på et en-dags kursus om GDPR, arrangeret af Louise Svendsen, på baggrund af idéoplæg fra jeres undertegnedeJ. Her fik vi informationer fra hhv. revisor Per Sloth, advokat Susanne Borch og to IT-kyndige fra firmaet Leono.
Tredje skridt var et individuelt møde á 1-2 timers varighed med en af it-folkene fa kurset. Målet var at gennemgå og få checket alt det af, der er indbefattet af Persondataforordningen og efterfølgende få rettet op på det, jeg mangler at gøre, eller som ikke var i orden.
Jeg har valgt at følge den vejledning, jeg har modtaget fra det firma, jeg selv har entreret, samt advokat Susanne Borch. Vejledningen stemmer desværre ikke på alle punkter overens med, hvad it-folkene i DP-regi sagde. Deraf forvirringen.
Her er, hvad jeg har gjort:
TELEFON:
Jeg har, som anbefalet, to telefoner: En privat og en arbejdstelefon. Arbejdstelefonen skal være en 6’er eller derover, for at krypteringen lever op til de krav, der er i GDPR, uanset om det er en iPhone eller en android (altså et af de andre mærker). Min telefon er en iPhone 6S.
To telefoner:
Jeg synes, det er møghamrende besværligt at have to telefoner! Jeg indrømmer, at jeg bruger min private for lidt og min arbejdstelefon for meget, og den adfærd skal jeg nok ind og ændre. Ifølge it-konsulenten er sms’er af lavpraktisk karakter mellem fx mig og min husbond okay, men der er nok lige nogle af de sms’er, der er blevet afsendt, der ligger udenfor det anbefalede!
Apps:
Jeg har fjernet en masse apps fra telefonen. It-konsulent har godkendt dem, der er tilbage. Jeg har ikke bare fjernet dem, man kunne kalde private, (som fx Wordfeud), men også dem jeg aldrig bruger. De private, som fx spil, må jeg få installeret på privattelefonen.
LinkedIn og Facebook:
Jeg har LinkedIn på min arbejdstelefon, men ikke Facebook, heller ikke selvom jeg har en professionel FB-side, udover den private. Facebook anbefaler it-konsulenten, at man har på sin privattelefon. Det samme gælder for computeren: Gå kun på Facebook på privatcomputeren.
Siri:
Jeg har lukket ned for Siri på de forskellige apps, der er tilbage. Siri lytter nemlig med, også når man bare har telefonen liggende…! Det er der jo ingen grund til. (Gå ind i Indstillinger. Helt nede i bunden på siden kan du se dine apps. Gå ind i hver app og slå Siri fra. Det skulle gerne stå tydeligt bagefter: ”Siri og søgning – fra”).
Flytilstand:
Når jeg har samtaler, så sætter jeg enten telefonen på ”flytilstand” eller lægger den i et andet rum, hvor ingen andre har adgang. Jeg må indrømme, at jeg synes det er lidt svært at huske dette.
Jeg har min privat-telefon liggende i et andet værelse, når jeg har klienter. Det skal jeg også minde mig selv om.
Sms:
Jeg spurgte min it-konsulent, om sms’er fra klienterne følger samme regler som journalen? Her er svaret: Nej. Sms’er skal IKKE gemmes i 5 år, fra sidst sendte tekstbesked.
Det betyder også, at hvis en klient beder om at få sin sms’er slettet, så skal vi slette dem – også før der er gået 5 år.
Det anbefales at sms’er fra klienter slettes forholdsvist hurtigt, men der er ingen klare regler om, hvad det vil sige. Jeg har fjernet alle sms’er, der er mere end 30 dage gamle (mega tidskrævende arbejde! Her får akut afbud pludselig en velsignet funktion!).
Hvad må vi skrive til en klient i en sms?
Vi må ikke bruge ordet ”psykolog”. Men vi må godt skrive:
”Hej Lene
Husk du har en aftale i morgen kl. 8.30.
Mvh. Lene Hadsund
Valdemar Holmers Gade 54, 1. sal
2100 København Ø”
Det er ikke okay at kombinere klientens navn med dennes adresse og slet ikke med en mulig diagnose. Men det tror jeg heller ikke, at nogen gør i forvejen…?
Kryptering:
Da mit it-kendskab ligger på et meget lille sted, forstår jeg ikke det tekniske i kryptering. Det er nok for mig at vide, at det ifølge it-konsulenten er helt okay at sende sms’er på min iPhone 6S.
Husk at du ikke må tage din arbejdstelefon med dig på ferie i udlandet.
COMPUTER:
Arbejde og privat:
Jeg har, som anbefalet, to computere: En arbejdscomputer og en privat.
Arbejdspc’en købte jeg i december 2017. Før havde jeg kun én computer, som jeg både havde private og arbejdsmæssige ting på. Nu er det adskilt.
Da jeg købte min arbejds-pc bad jeg forretningen (Elgiganten) om at slette ALLE irrelevante apps og programmer, såsom spil og deslige. Jeg fik altså en mere ”ren” computer fra starten af, før jeg overhovedet begyndte at bruge den. (Dette kostede selvfølgelig nogle penge).
Jeg skal “føre journal” over computerens livscyklus, fra køb til afvikling: Hvornår og hvor købte jeg den, har den været til reparation, hvor og hvornår blev den skrottet, etc. Dette dokument skal jeg holde á jour, så det kan vises til Datatilsynet. Dette krav gælder i øvrigt også for usb-stik.
Helst ikke en ”home edition”:
På trods af, at jeg fortalte forretningen, hvor jeg købte computeren, hvad jeg laver (er privatpraktiserende psykolog), og hvad jeg skulle bruge computeren til (arbejde), så fik jeg alligevel købt en ”home edition”. Det var it-konsulenten ikke særlig begejstret for.
Adgangskode:
Jeg har for nylig ændret koden, således at den nu består af hhv. store og små bogstaver, tal samt et særligt symbol. Husk at der skal være kode på arbejdscomputeren!
Husk også, at der ifm. GDPR nu er krav om, at koden skal ændres hver tredje måned! Det anbefales, at man blot ændrer ét tegn i koden, således at man selv kan huske, hvad den er.
Beskyt mod andres adgang til computeren:
Husk at hvis du deler lokale med andre – eller har kontorfællesskab – så skal du indstille din arbejdscomputer til at ”gå i hi” eller hvad det nu hedder, efter et vis antal minutter. Hverken dine klienter, kolleger, rengøringspersonale eller lignende må altså have mulighed for at ”spionere” på din computer, mens du fx er på toilettet eller ude at hente en kop kaffe.
Arbejder du i et kontorfællesskab eller lignende, hvor der er andre end dig i rummet, anbefales det, at du anskaffer et skærmfilter til computeren, fx “Privacy Filter” fra Hp.
Journaler skal ifølge Psykologloven opbevares i 5 år:
Med den nye Psykologlov á 17. juli 2017 er vi som psykologer nu forpligtede til at opbevare, dvs. gemme klientens journal i 5 år. Dette gælder uanset, hvad klienten selv har af ønsker til dette. Her skal vi som psykologer følge den danske særlov, ikke den europæiske forordning.
Jeg har brugt utrolig meget tid på hhv. at slette og overføre filer fra min tidligere fællescomputer til min arbejdscomputer. Jeg har blandt andet slettet en masse data fra 2014: Journaler, filer og mails til og fra klienter. Med den nye Psykologlov er det blevet lidt mere besværligt med journalerne, idet det nye krav om 5 års journalisering har den 17. juli 2017 som skæringsdato. Det betyder, at journaler før denne dato skal opbevares i 3 år, mens journaler efter denne dato skal opbevares i 5 år.
Husk at kravet om opbevaring af journalen, dvs. perioden på hhv. 3 og 5 år, tæller fra den sidste samtale du har haft med klienten, altså din sidste optegnelse – ikke den første!
Husk ligeledes at slette det materiale, der er ”for gammelt”, dvs. ældre end hhv. 3 og 5 år, også selvom dine klienter ikke har bedt om at få deres journal slettet.
Anonymisering af navne:
Jeg har haft en masse filer på min nu private computer fra bl.a. universitetet. Her har jeg faktisk været inde og kigge samtlige filer igennem (!) og sørget for, at alle navne – fx på min specialevejleder – blev anonymiseret. Derefter har jeg overført filerne til min arbejds-pc. Alle filer, der synes irrelevante ift. mit nuværende arbejdsliv, er jeg i gang med at slette. Jeg kan ikke nå det til den 25. maj, men jeg er i gang.
Den gamle computer skal geninstalleres:
Når jeg er færdig med at sortere og adskille de to computere, skal den gamle/private computer geninstalleres. Dette kan jeg ikke selv finde ud af, så det betaler jeg mig til.
Afvikling/skrotning af computer:
Når arbejdscomputeren på et tidspunkt skal skiftes ud, skal jeg huske at aflevere den gamle til et firma, der specialiserer sig i at fjerne ALT, der ligger på computeren. Her er en hammer eller en kedel kogende vand ikke nok! Og den må ikke bare afleveres på den kommunale genbrugsstation; den skal skrottes “professionelt”, om jeg så må sige.
Det samme skal jeg faktisk gøre med min nu private pc, da de arbejdsrelaterede filer og mails, jeg enten har slettet eller overført til min arbejdscomputer ville kunne hentes frem af kyndige hænder.
Korte fil-navne anbefales:
Når du navngiver dine filer, så anbefales det at gøre fil-navnet så kort som muligt. Dette er især relevant, hvis du har filer i mapper, som ligger i andre mapper, som ligger i andre mapper, etc.. Alt i alt må en fil højst have 365 tegn, hvilket jo lyder af meget, men ikke nødvendigvis er det, hvis den ligger gemt i flere mappeniveauer. Computeren kan ikke gemme filer med flere end 365 tegn.
Mails: Start en ny tråd:
Hvis klienten sender personfølsomt materiale pr. mail, skal jeg huske ikke at svare tilbage på denne mail, men starte en ny tråd! Dette er lidt svært for mig at huske, men det bliver jeg forhåbentlig bedre til.
Opbevaring af mails:
Husk at mails skal opbevares i 5 år, dvs. at mails anses som en del af journalen. Du kan gemme på computeren, eller du kan printe ud, lægge i din papirjournal og derefter slette på computeren. Jeg har personligt et ret stort arbejde her foran mig, idet jeg skal have printet mails ud fra min nu private computer og lagt i samtlige journaler. Det kommer til at tage tid.
Kryptering af mails:
Mails var et af de områder, hvor jeg var mest i tvivl om, hvordan jeg skal gøre fremover, og om mit mail-program er godt nok. Det er det ikke, har jeg fundet ud af.
Igen var it-konsulenten ikke ret glad for den ”service”, jeg havde modtaget i forbindelse med købet af min pc, for jeg har nu fem års indkøbt forbrug af ”Microsoft 365 Personal” liggende, (hvilket ikke var helt billigt), og den udgave kan IKKE kryptere mails! Blandt andet derfor skal han komme retur. Der skal snarest installeres “Microsoft 365 Office” på min arbejds-pc.
Alternativer er fx Protonmail og R-mail.
Kryptering af harddisk:
Det er lige så vigtigt, at din harddisk kan krypteres, og i min home edition hører kryptering ikke med. Derfor kommer it-konsulenten retur og installerer ”Microsoft 365 Office”, inkl. det tillægsprogram, der kan håndtere krypteringen. Det kommer til at koste mig flere tusinde kroner, men jeg har valgt, at det må jeg gøre. Jeg kender ”Personal”-udgaven i forvejen, og har nu set ”Office”-udgaven, dvs. hvordan jeg kan kryptere mails, så denne løsning har jeg valgt. Desuden er det en løsning, som ikke kræver, at klienten installerer et eller andet fancy program på sin computer for at kunne åbne mails fra mig. (Jeg vender tilbage med detaljer, når alt det nye er på plads).
Skype Business:
Hvis du skal Skype, som jeg gør meget sjældendt, så husk at det skal være Skype Business, du anvender. Denne har jeg endnu ikke fået installeret. Du kan også anvende andre programmer, blot du er sikker på, at de er godkendte ift. GDPR.
PRINTER:
Nu til dags er en printer også en computer. Den kan altså hackes, ligesom en computer kan. Man må ikke kunne printe fra din computer uden tilladelse. Min it-konsulent forsøgte om han kunne printe ud fra min printer, men den bad heldigvis om en adgangskode, og dermed var den i orden.
Du må selvfølgelig ikke printe noget ud personfølsomt materiale ud, som du glemmer at fjerne fra printeren.
OPBEVARING OG DESTRUKTION AF JOURNALER:
Jeg skal have købt endnu et arkivskab (et almindeligt et fra Ikea), nu hvor der skal være plads til flere journaler. Arkivskabene skal ikke være brandsikrede; de skal blot kunne aflåses. Når du forlader din klinik, skal du naturligvis huske at låse skabene af og ikke lade nøglen sidde i skabet.
Samtlige ”for gamle” journaler skal sendes til makulering. Der findes flere forskellige løsninger til dette, som jeg skal sætte mig ind i, så jeg kan vælge det, der passer mig bedst og ikke er for dyrt.
DATABEHANDLERAFTALER:
Hvem man skal lave databehandleraftaler med, er et af de punkter, hvor de to it-firmaer er mest uenige. Dem hos DP anbefalede, at vi indgik aftaler med samtlige af de firmaer, vi er i berøring med på den ene eller anden måde. Det andet firma, hvis ekspertise, jeg har besluttet mig for at følge, anbefalede, at vi kun indgår databehandleraftaler med firmaer, hvor de er dataansvarlige eller med firmaer, som ikke i forvejen er forpligtede til at sikre persondata, via lovgivning indenfor deres respektive områder.
Jeg har lavet databehandleraftaler med følgende:
To psykolognetværk, som jeg er tilknyttet. Eller rettere sagt: De har lavet en databehandleraftale med mig. Her er det nemlig dem, som er dataansvarlige og mig, der er databehandler, idet jeg får sagerne fra dem. Det ene netværk har valgt en løsning, hvor man skal logge ind via en sekscifret kode, hver gang man skal registrere sine samtaler eller søge om en forlængelse. Den løsning var it-konsulenten meget tilfreds med, selvom det jo giver lidt ekstra administration for mig. Det andet selskab har valgt en anden løsning, som vi har aftalt at se nærmere på, når it-konsulenten kommer retur.
Jeg har også lavet en databehandleraftale med min revisor – på hans foranledning. Dette er nemlig slet ikke nødvendigt, idet begge parter – psykolog og revisor – har nationale særlove, som vi skal følge i forvejen. Hvorfor han har ønsket at lave en aftale med mig, ved jeg faktisk ikke. Havde han ikke bedt om det, ville jeg ikke have gjort det.
Sygeforsikringen Danmark: Jeg har ikke ydernummer, men indberetter de samtaler, jeg har med klienter, som er medlem af Danmark. Derfor har jeg indgået en aftale med dem. Det er Sygeforsikringen Danmark, der har sendt mig en databehandleraftale, som jeg har læst igennem og skrevet under.
Hjemmeside: Jeg har indgået en databehandleraftale med ham, der har sat min hjemmeside op (i WordPress), og som tager sig af opdateringer mv. Det er ham, der har forfattet den aftale, vi har indgået. Jeg har skrevet under.
Host:
Jeg skal have lavet en aftale med Gigahost. (Hosting er en af de ting, jeg ikke fatter en klap af, så jeg skal lige være sikker på, at jeg har forstået hosting-konceptet, før jeg får lavet en aftale).
Jeg HAR IKKE lavet databehandleraftaler med følgende:
Mit teleselskab: Teleselskaberne er også underlagt en lov inden for deres felt, som pålægger dem at behandle data fortroligt. Derfor behøves der ikke at laves en aftale.
Domænenavn:
Mit domænenavn har jeg købt af Hostmaster.dk. Dem skal jeg ifølge it-konsulent ikke lave nogen databehandleraftale med, idet de hverken har eller får nogle informationer om mine klienter.
Dreamstime:
Dreamstime er en amerikansk billede-tjeneste, hvor jeg får billeder til min hjemmeside, enten gratis eller mod betaling. Der er ingen udveksling af oplysninger omkring klienter imellem Dreamstime og undertegnede. Derfor er det ifølge it-konsulent heller ikke nødvendigt at lave databehandleraftale med denne virksomhed.
Virk.dk:
Jeg benytter virk.dk, når jeg skal indberette faktura til kommuner. Ifølge min it-konsulent er det ikke nødvendigt at indgå en aftale med virk.dk, da de som offentlig instans skal følge gældende love og regler.
FORTROLIGHEDSAFTALER:
Jeg skal indgå fortrolighedsaftaler med følgende:
Eksterne konsulenter/Psykologistuderende: Jeg har tilknyttet 2-5 psykologistuderende til min klinik, som arbejder som eksterne konsulenter ift. nogle bestemte opgaver.
It-konsulent: Ift. installation af nye programmer, opdateringer af Microsoft 365 Office, geninstallering af gammel pc.
Hvis du hyrer et firma til at destruere dine journaler, skal du lave en fortrolighedsaftale med dem.
SAMTYKKE:
Som psykologer er vi underlagt Psykologloven, og ifølge denne er journalisering lovpligtigt. Derfor burde det i og for sig ikke være nødvendigt med et samtykke. Men jeg har nu alligevel valgt at forfatte to samtykker, et til voksne “registrerede” (læs: klienter) og et til børn og unge (som deres forældre skal underskrive).
Samtykket fungerer både som samtykke og som orientering af forskellige lover og regler, herunder journalpligten, og hvad den indbefatter.
Samtidig giver klienten via sin underskrift tilladelse til, at jeg indberetter til Sygeforsikringen Danmark.
Klienten giver blandt andet tilladelse til, at jeg følger de kontrakter, jeg har med de to netværker, jeg er tilknyttet, bl.a. ifm. ansøgning om forlængelse.
Klienten giver også tilladelse til, at jeg må tage foto af whiteboard og vedlægge det journalen.
Jeg har desuden valgt at lægge de to samtykker op på min hjemmeside, så klienterne i ro og mag kan læse, hvad det er de reelt skal skrive under på, inden de møder op i klinikken og får samtykket udleveret i hånden til underskrivning.
Samtykket skal jeg efter anbefaling fra it-konsulenten sende til advokat (Susanne Borch) for at være sikker på, at det er juridisk i orden. Det er altså fint, at jeg, med inspiration fra flere fagfæller, har forfattet et skriv, men det skal godkendes af advokat. Så snart jeg har fået godkendelsen, lægger jeg samtykkerne op på min hjemmeside. Så kan du se et eksempel på, hvad du kan skrive i din.
I øvrigt er det os, som dataansvarlige, der skal kunne påvise, at vi har fået samtykke fra klienten (overfor Datatilsynet), og derfor anbefales skriftlige samtykker.
DOKUMENTATION AF ”BEHANDLINGSAKTIVITETER” TIL DATATILSYNET:
Dette er et af punkt på to-do listen, som ikke har fået ret meget opmærksomhed. Men ifølge underviserne på kursusdagen i april, er vi forpligtet til at beskrive vores arbejdsgange elektronisk, til evt. fremvisning til Datatilsynet, skulle de møde op.
Jeg har på et Excell-ark beskrevet de forskellige arbejdsgange, der finder sted i mit firma, dvs. de forskellige processer, der er i de forskellige klientforløb. Der er jo ikke bare én proces, men flere, fordi jeg både har selvbetalere, forsikringssager, netværkssager og kommunale sager. Hver og en af dem skal registreres.
Derudover er jeg i gang med at forfatte et skriv til Datatilsynet, med de 9 krav, de har stillet op i forhold til persondata-sikkerhed. Denne er endnu ikke færdig, og er ifølge it-konsulenten lidt overkill, men giver samtidig et overblik over den, hvad Datatilsynet har fokus på. Fortegnelse over behandlingsaktiviteter er i øvrigt krav nr. 1.
HJEMMESIDE:
Jeg skal på min hjemmeside, under fanen ”kontakt” tilføje et undertema, der hedder ”Opbevaring af Persondata” eller noget i den dur. Her beskriver jeg for klienterne, hvordan jeg hhv. indhenter, opbevarer og sletter persondata. Jeg skriver om journalpligt og om tavshedspligt.
Kontaktformular på hjemmeside:
Min kontaktformular er ikke i orden! Særligt kombinationen af klientens telefonnummer og emailadresse er en overskridelse af Persondataforordningen. Efter it-konsulentens anbefaling vil jeg (læs: min hjemmeside-konsulent) fjerne telefonnummeret som kontaktinformation.
For det andet blev jeg opfordret til en fjerne en kategori mere, nemlig ”besked”. Snarere end at give klienten mulighed for at beskrive sin situation/problematik, er det bedre at have tilføje en liste over de ydelser, jeg har i min klinik, med afkrydsningsmuligheder. Dette skal jeg også bede min hjemmeside-gut om.
Spørgeskema:
Jeg har forskellige spørgeskemaer til mine klienter, alt afhængig af hvilken slags ydelse, de ønsker. I spørgeskemaet stiller jeg både lavpraktiske spørgsmål som fx navn og adresse, men jeg spørger også ind til fx beskrivelse til problematik og ønsker til forløbet. Disse skemaer har jeg ønsket at beholde, for det er en rigtig god og nem måde at indsamle oplysninger til anamnesen. Derfor er det nødvendigt, at jeg snarest får sikker mail. De nærmere detaljer i forhold til denne procedure kender jeg, når it-konsulenten har været her igen.
Hermed en masse info om, hvad jeg indtil videre har gjort. Håber det var brugbart. Som nævnt vender jeg tilbage, når jeg igen har haft besøg af it-konsulenten fra Leono, fået installeret de nødvendige programmer og checket de sidste ting, der skal checkes.
God weekend,
Lene