Vejledning for medlemmer af ZCT ved indsamling og behandling af personoplysninger – for
behandlere og terapeuter
Personoplysninger, herunder følsomme helbredsoplysninger samt enhver oplysning om klientens personlige forhold,
inkl. CPR-nr., er underlagt en særlig beskyttelse i henhold til Databeskyttelsesforordningen, der trådte i kraft den 25.
maj 2018.
1. Forinden enhver registrering og behandling af personoplysninger om klienten, skal behandleren sikre, at klienten
har givet sit udtrykkelige, frivillige og skriftlige samtykke (se Bilag 1, ZCT samtykkeerklæring).
2. Formålet med registreringen er, at behandleren skal kunne udføre en optimal behandling af klienten, og derfor
indsamler behandleren personoplysninger og personfølsomme oplysninger om dennes klienter. De typer oplysninger,
der indsamles om klienten med henblik på at udføre behandlingen, er angivet i ZCT standardjournal (Bilag 2, ZCT
standardjournal).
3. Klienten skal informeres af behandleren, såvel mundtligt og/eller skriftligt, om hvad formålet er med behandlingen,
og hvilke helt konkrete oplysninger der indsamles og behandles, samt hvordan. Klienten skal desuden (via
standardsamtykkeerklæringen) informeres om sine rettigheder, herunder dennes ret sletning, ret til berigtigelse, ret
til begrænsning af registreringen, ret til indsigt, ret til at få en kopi af de registrerede oplysninger, ret til berigtigelse at
urigtige oplysninger, samt ret til at gøre indsigelse eller tilbagetrække en ellers lovlig behandling af vedkommendes
personoplysninger.
4. Behandleren må ikke videregive personoplysninger om klienten til tredjemand. Faktura med CPR-nummer samt
andre personoplysninger, herunder helbredsoplysninger, personlige forhold etc. må ikke formidles videre til andre,
hverken mundtligt eller skriftligt. Videregivelse af CPR-nummer og enhver anden personoplysning til tredjemand må
alene finde sted, såfremt det udtrykkeligt er tilkendegivet af klienten ved afkrydsning af samtykkeerklæringen, at en
sådan tilladelse er givet, samt til hvilket formål.
6. Personoplysningerne (journalen) skal opbevares sikkert. Personoplysninger, der opbevares fysisk i papirform, skal
opbevares i et kartotek eller et ringbind, og være placeret i et aflåst skab e.l. Hvis behandleren opbevarer
personoplysninger på USB-nøgler, skal behandleren sikre, at USB-nøglen opbevares aflåst eller er beskyttet med
adgangskode og kryptering. Personoplysninger, der opbevares på behandlerens computer, skal være forsvarligt sikret
med antivirusprogram og en adgangskode, som kun behandleren kender. Behandleren må ikke overlade koden til
andre, og behandleren skal sørge for, at koden jævnligt bliver ændret.
7. Personoplysninger skal slettes eller destrueres, ligeså snart der ikke længere er nødvendigt formål med at opbevare
disse. Ved sletning af elektroniske personoplysninger skal behandleren sikre, at både filer slettes samt at papirkurven
tømmes.
8. Behandlerens kommunikation med klienten skal så vidt muligt ske via personlig eller telefonisk henvendelse til
klienten, idet transmission af personfølsomme oplysninger over internettet frarådes. Ved undtagelsesvis
korrespondance med klienten om dennes behandling og evt. transmission af klientens personoplysninger over
internettet skal behandleren anvende en sikker internetforbindelse, der kan foretage en stærk kryptering af disse
data. Behandleren er dataansvarlig for enhver transmission over internettet og behandleren skal derfor have en
skriftlig databehandleraftale på plads med det hosting-firma behandleren anvender, der opfylder
persondataforordningens krav.
9. Børn. Vi afventer STFP lov tolkning på området. Indtil videre skal der indhentes samtykke til børn under 18.år
10. Hvis der sker brud på personsikkerheden eller hvis behandleren har mistanke herom, skal behandleren/den
dataansvarlige i klinikken kontakte Datatilsynet via www.datatilsynet.dk, samt informere den registrerede om
databruddet indenfor 72. timer