Registrering af privat behandlingssted uden CVR-nummer

Helle Ginnerup-Nielsen er databeskyttelsesrådgiver for Indenrigs- og Sundhedsministeriets koncern og har ansvaret for at rådgive om og overvåge databeskyttelsesområdet i Indenrigs- og Sundhedsministeriets departement og institutioner, dog med undtagelse af Lægemiddelstyrelsen, der har sin egen databeskyttelsesrådgiver.

Du kan kontakte vores databeskyttelsesrådgiver på en af følgende måder:

Indenrigs- og Sundhedsministeriet Att.: Databeskyttelsesrådgiveren Holbergsgade 6 1057 København K. Telefon: 72 26 90 00 E-mail: databeskyttelse@sum.dk

Vores formål med at behandle personoplysninger er at udføre de opgaver, vi som styrelse er blevet pålagt. Styrelsens primære opgave er at sikre, at det er trygt at være patient i det danske sundhedsvæsen. Til brug for denne opgave har vi en række områder, som vi varetager. Vores opgaver består blandet andet af:

• Tildeling af autorisation

• Tilsyn med sundhedspersoner, behandlingssteder og kosmetiske behandlere

• Fremstilling af oplysninger i autorisationsregistret og behandlingsstedsregistret

• Håndtering af tilfælde af smitsomme sygdomme, herunder COVID-19 smitteopsporing

• Retslægelige ligsyn

• Personaleadministration

Til brug for varetagelse af disse opgaver, har vi behov for at behandle forskellige kategorier af oplysninger. Vi behandler derfor både ikke-følsomme personoplysninger (som fx navn, kontaktoplysninger og fødselsdato) og følsomme personoplysninger (som fx helbredsoplysninger, oplysninger om etnisk oprindelse og seksuelle forhold). Derudover behandler vi fortrolige oplysninger om blandt andet CPR-numre og oplysninger om straffedomme og lovovertrædelser.

Vi behandler ikke-følsomme oplysninger efter databeskyttelsesforordningens artikel 6, stk. 1, litra c og litra e, da oplysningerne er nødvendige for, at vi kan udføre de opgaver, vi har fået pålagt.

Vi behandler følsomme oplysninger efter databeskyttelseslovens artikel 9, stk. 2, litra b og litra g. Bestemmelserne giver os lov til at behandle oplysninger, der er nødvendige af hensyn til vores overholdelse af sundhedsretlige forpligtelser (litra b) og af hensyn til væsentlige samfundsmæssige interesser (litra g).

Mange af vores behandlingsgrundlag følger desuden af sundhedsloven, autorisationsloven og epidemiloven samt bekendtgørelser, der er udstedt med hjemmel i disse love.

Vi viderebehandler ikke oplysninger, hvis det vil være i uoverensstemmelse med de formål, oplysningerne oprindeligt var indsamlet med. Oplysninger, der indgår i vores sagsbehandling, kan dog i vidt omfang anvendes til identifikation af risikosteder og -personer i forbindelse vores tilsyn med behandlingssteder og sundhedspersoner.

Whistleblowerordning

Styrelsen for Patientsikkerhed har i medfør af whistleblowerloven implementeret en whistleblowerordning. Når vi modtager indberetninger igennem whistleblowerordningen, behandler vi personoplysninger om whistlebloweren og de personer som indberetningen omhandler. Formålet med behandlingen er at kunne modtage og følge op på indberetninger under overholdelse af vores forpligtelser i medfør af whistleblowerloven. Whistleblowerloven udgør retsgrundlaget for behandlingen.

Vi videresender i mange tilfælde oplysninger som led i vores sagsbehandling. De typiske modtagere er sundhedspersoner og andre offentlige myndigheder. De typer af oplysninger, vi videresender, afhænger af, hvilken type af sag, oplysningerne vedrører.

I de fleste tilfælde vil oplysningerne vedrøre sundhedspersoners autorisationsstatus og indskrænkninger i denne. Der kan også blive videresendt oplysninger om helbredsmæssige forhold.

Samtidig videresender vi oplysninger om CPR-numre til andre offentlige myndigheder, når det er nødvendigt for at kunne identificere dig.

Vi overfører visse oplysninger til lande uden for EU-EØS.

De typiske modtagerlande vil være Grønland og Færøerne. Styrelsen for Patientsikkerheds arbejdsområde dækker også Færøerne, og derfor har vi behov for at sende oplysninger til dem. Desuden udveksler vi oplysninger med Grønland om tildeling og fratagelse af sundhedspersoners autorisation.

Vi oversender CCPS’er (certificate of current professional status) og CGS’er (certificate of good standing) til udenlandske myndigheder. Dette sker efter aftale med den sundhedsperson, der har anmodet om certifikatet.

Overførsel til Færøerne sker, fordi Kommissionen har truffet afgørelse om tilstrækkeligheden af beskyttelsesniveauet efter artikel 45, stk. 1.

Overførsel til Grønland sker, fordi overførslen er omfattet af fornødne garantier efter artikel 46, stk. 1.Datatilsynet fører tilsyn med overholdelse af reglerne om databeskyttelse på Grønland og fungerer som klageinstans for behandling foretaget på Grønland.

Overførsel til øvrige lande uden for EU sker på baggrund af samtykke fra den registrerede efter artikel 7 og efter artikel 49, stk. 1, litra a. Dette vil primært være tilfældet for oversendelse af CCPS’er og CGS’er til andre offentlige myndigheder.

I langt de fleste tilfælde opbevarer vi dine oplysninger i op til 30 år efter sagens afslutning. Vi opbevarer oplysninger om sundhedspersoners autorisationer i op til 100 år efter den registreredes død.

Vores opbevaringsperiode er blandt andet fastsat på baggrund af reglerne i offentlighedsloven, arkivloven og forældelsesloven. Som offentlig myndighed er vi forpligtet til at opbevare oplysninger om vores sagsbehandling, så længe det er nødvendigt for vores sagsbehandling og vi må først slette oplysningerne, når der ikke længere er administrativt eller retligt behov for dem.

Når vi ikke længere har brug for at opbevare dine oplysninger, vil de oftest blive overdraget til Rigsarkivet i overensstemmelse med arkivlovens regler.

Sådan beskytter vi dine oplysninger

For at sikre dine oplysninger har vi sørget for, at vi har passende organisatoriske og tekniske sikkerhedsforanstaltninger. Disse sikkerhedsforanstaltninger har til hensigt at sikre, at vi opfylder kravene i databeskyttelsesforordningen. Kravene er blandt andet med til at sikre, at vi ikke behandler flere oplysninger, end vi må, at vi har procedurer til at sikre opfyldelse af dine rettigheder, at oplysningerne ikke utilsigtet videregives eller slettes og at vi har passende sikkerhed mod hackere eller forsøg på blokering af vores tjenester og at dine oplysninger ikke på andre måder kompromitteres.

I Styrelsen for Patientsikkerhed har vi en række sikkerhedsforanstaltninger, der skal sikre, at dine data ikke går tabt eller bliver ulovligt videresendt. Vores elektroniske post er altid krypteret, således at uvedkommende ikke kan få adgang til den. Vi sikrer os også, at det kun er de medarbejdere, der har behov for det, der kan se dine oplysninger.

Vi sørger desuden for, at vores fysiske opbevaring af data er i overensstemmelse med reglerne. Dette betyder blandt andet, at vi har sikret vores servere og lagringssystemer mod hackerangreb og uheld, samt at der jævnligt tages backup af oplysninger, således at de ikke kan gå tabt.

Databeskyttelsesreglerne indeholder en række rettigheder, som du kan påberåbe dig i forbindelse med vores behandling af oplysninger. Du har blandt andet:

• Ret til se hvilke oplysninger, vi behandler om dig (indsigt)

• Ret til at få rettet urigtige eller vildledende oplysninger (berigtigelse)

• Ret til at få slettet oplysninger (ret til at blive glemt)

• Ret til vi stopper behandlingen af oplysninger (begrænsning af behandling)

• Ret til at gøre indsigelse mod en ellers lovlig behandling (indsigelse)

Der kan dog være begrænsninger i disse rettigheder, da Styrelsen for Patientsikkerhed er underlagt krav fra anden lovgivning som blandt andet regulerer journaliseringspligt og videregivelse af oplysninger. Disse regler går i de fleste tilfælde forud for databeskyttelsesreglerne. Dette betyder, at dine rettigheder i særlige tilfælde kan blive tilsidesat til fordel for anden lovgivning.

Hvis vi ikke har mulighed for at efterkomme din anmodning, har du ret til en skriftlig afgørelse og en begrundelse for, hvorfor vi ikke kan efterkomme den. Af afgørelsen vil du blandt andet kunne se, hvilke regler vi har anvendt, og hvad vi har lagt vægt på i vores vurdering. Du vil også få vejledning om, hvilke muligheder du har for at klage og til hvem.

Ret til at se oplysninger (indsigtsret)

Du har ret til at se de personoplysninger, vi behandler om dig og til at få en række oplysninger om, hvordan og med hvilke formål vi behandler oplysninger.

Hvis du ønsker indsigt, skal du kontakte os. Du kan læse mere om, hvordan du kontakter os under afsnittet ”Sådan bruger du dine rettigheder” længere nede. Hvis du skriver til os og ønsker indsigt, må du gerne oplyse under hvilke omstændigheder, du har haft kontakt med os før. På den måde er det lettere for os at identificere de oplysninger, du ønsker.

Ret til få rettet oplysninger (berigtigelse)

Hvis du mener, at vi behandler oplysninger om dig, som er forkerte, urigtige eller vildledende, kan du bede os om at rette dem.

Vi har typisk ikke pligt til at slette disse oplysninger på grund af vores journaliseringspligt, men vi kan fx tilføje et notat på sagen om, hvilke oplysninger der er forkerte, og hvad de rigtige oplysninger er. Notatet skal så vidt muligt ligge i nær forbindelse med de ukorrekte oplysninger, så det ikke opstår tvivl om, at der er tale om oplysninger, der efterfølgende er blevet berigtiget.

Ret til at få oplysninger slettet (retten til at blive glemt)

Du har som udgangspunkt ret til at få slettet dine personoplysninger, hvis én af en række betingelser, der nævnes i databeskyttelsesforordningen, er opfyldt.

Dette vil typisk være, hvis vi har indhentet eller modtaget oplysninger om dig ved en fejl, eller hvis oplysningerne ikke længere er nødvendige for os. I mange tilfælde vil det ikke være muligt for os at efterkomme din anmodning om sletning. Dette skyldes, at vi efter forvaltningsloven er forpligtet til at opbevare oplysninger, der er indgået i vores sagsbehandling. Vi vil dog altid foretage en vurdering af dit konkrete tilfælde og de særlige omstændigheder, der gør sig gældende.

Ret til blokering af behandling af visse oplysninger (begrænsning af behandling)

Du har ret til at få begrænset behandlingen af dine personoplysninger, hvis én af en række betingelser er opfyldt. Dette kan for eksempel være, hvis vi har indhentet eller modtaget oplysninger ulovligt eller hvis der er tvivl om rigtigheden af oplysningerne. Hvis der er tale om en berettiget indsigelse, må vi ikke behandle oplysningerne, før det er afklaret, om vi oprindeligt have tilstrækkeligt grundlag for at behandle dem.

Ret til at gøre indsigelse mod behandling af oplysninger

Du har ret til at gøre indsigelse mod en ellers lovlig behandling af dine personoplysninger. Indsigelsen skal være begrundet i særlige omstændigheder, der gør sig gældende ved din situation. I disse tilfælde må vi ikke fortsætte med at behandle dine oplysninger, medmindre behandlingen fx er nødvendig af hensyn til udførelsen af vores opgave som myndighed.

Øvrige rettigheder

Ret til at blive orienteret

Vi giver dig besked, når vi modtager eller indhenter oplysninger om dig i forbindelse med vores sagsbehandling. I disse tilfælde vil vi hurtigst muligt sende dig et brev, hvor der står, hvilke oplysninger vi behandler, og hvad dine rettigheder er. Brevet indeholder til dels de samme oplysninger som denne side dog i et mere målrettet format.

Der gælder enkelte begrænsninger i pligten til at orientere. Den gælder blandt andet ikke, når vi er blevet pålagt ved lov at behandle dine data. I de tilfælde, hvor en anden myndighed har pligt til at videresende oplysninger til os, er det ikke nødvendigt at vi orienterer dig.

Der kan være også tilfælde, hvor det ikke er muligt at informere dig direkte. Dette vil typisk være, hvor vi har indhentet store mængder data til fx statistisk brug.

Hvis vi modtager oplysninger fra en anden myndighed, hvor det tydeligt fremgår af en lov, at myndigheden skal videregive oplysninger til os, behøver vi heller ikke orientere dig. Et eksempel på dette er når vi fra Styrelsen for Patientklager modtager oplysninger om klagesager efter klage- og erstatningslovens § 12,stk. 4.

Ret til ikke-automatisk afgørelse og ret til dataportabilitet

Du har ret til ikke at være genstand for en automatisk afgørelse udelukkende baseret på automatisk behandling, herunder profilering.

Du har i visse tilfælde ret til at modtage dine personoplysninger og til at anmode om, at personoplysningerne overføres fra én dataansvarlig til en anden i et struktureret, almindeligt anvendt og maskinlæsbart format.

Sådan bruger du dine rettigheder

Hvis du vil gøre brug af dine rettigheder, skal du skrive til os gennem Digital Post-løsningen på Borger.dk. Når du skriver en ny meddelelse skal du vælge Styrelsen for Patientsikkerhed som modtager. Ved at bruge Digital Post-løsningen kan vi sikre os, at du er den, du siger, du er. Af sikkerhedsmæssige årsager skal det ske på denne måde.

Hvis du er under 15 år og ønsker at gøre brug af dine rettigheder, skal du bede dine forældre om at rette henvendelse til os på dine vegne.

Skriv så konkret som mulig, hvad du ønsker.

Vi har mulighed for at opkræve et gebyr for din henvendelse eller nægte at besvare den, hvis vi oplever gentagne henvendelser fra dig, og hvis vi vurderer, at dine henvendelser er åbenbart grundløse eller overdrevne. Der skal være rimelige mellemrum mellem dine henvendelser.

Du kan læse mere om dine rettigheder i Datatilsynets vejledning om den registreredes rettigheder.

Så lang er sagsbehandlingstiden

Vi skal besvare din henvendelse inden for fire uger, og vi bestræber os altid på at have et fyldestgørende og endeligt svar på din henvendelse på det tidspunkt. I enkelte tilfælde kan det tage længere tid. Er det tilfældet, vil vi inden for fire uger altid oplyse dig om, hvornår du så kan forvente svar.

Hvis du ønsker at klage over den måde, vi behandler dine oplysninger på, skal du kontakte Datatilsynet. Datatilsynet er en uafhængig myndighed, der fører tilsyn med overholdelse af reglerne om databeskyttelse.

Du kan indsende en klage på Datatilsynets hjemmeside: www.datatilsynet.dk/generelt-om-databeskyttelse/klage-til-datatilsynet.

Vi vil dog opfordre dig at kontakte os inden, du klager. Så har vi mulighed for at svare på dine spørgsmål om vores behandling af personoplysninger og eventuelt efterkomme dine ønsker, hvis du mener, at vi bør behandle dine oplysninger på en anden måde, end vi gør.