GDPR-politik for Søfartsklinikken

1. Introduktion

Denne politik beskriver hvordan Søfartsklinikken (herefter "klinikken") behandler personoplysninger i overensstemmelse med EU's Databeskyttelsesforordning (GDPR) og dansk databeskyttelseslovgivning. Klinikken tilbyder søfartslægeattester og relaterede administrative ydelser. Klinikken har kun én ansat — søfartslægen — og udfører ingen egentlig lægefaglig behandling, udredning, profylakse eller udstedelse af recepter, men alene attestarbejde.

2. Anvendelsesområde

Politikken gælder for alle personoplysninger, som Klinikken behandler i forbindelse med:

• Modtagelse af personer til søfartsundersøgelser og attester
• Journalføring i systemet Onlinebooq (inkl. CPR-numre)
• Kommunikation via sikker, krypteret adgang med Søfartsstyrelsen

3. Roller og ansvar

• Dataansvarlig: Søfartsklinikken — bestemmer formål og midler for behandling af personoplysninger.
• Databehandler: Onlinebooq (bookings- og journalsystem) som behandler data på vegne af Klinikken. Klinikken har indgået en databehandleraftale med Onlinebooq, der beskriver behandlingen.
• Databeskyttelsesansvarlig / kontaktperson: Da Klinikken er lille, er søfartslægen ansvarlig for databeskyttelse i klinisk praksis. Klinikken kan vælge at udpege en ekstern databeskyttelsesrådgiver ved behov.

4. Typer af personoplysninger

Klinikken behandler følgende kategorier af oplysninger:

• Identifikationsoplysninger: navn, adresse, telefon, e-mail
• CPR-nummer (nødvendigt i relation til journalføring og kommunikation med myndigheder)
• Helbredsoplysninger og medicinsk historie relevante for søfartsattest (følsomme personoplysninger)
• Undersøgelsesresultater, attestoplysninger og datoer for undersøgelse
• Administrative oplysninger: tidsbestillinger, fakturering, korrespondance

5. Formål og retsgrundlag for behandling

Klinikken behandler data for følgende formål med følgende retsgrundlag:

• Udfærdigelse af søfartsattester og lægeundersøgelser — undersøgelse er nødvendig for at opfylde klinikkens opgave som godkendt søfartslæge og for at overholde retskrav og professionelt ansvar (retsgrundlag: artikel 6.1(c) eller 6.1(e) i GDPR samt national lovgivning; behandling af helbredsoplysninger følger databeskyttelseslovens regler for følsomme oplysninger).
• Journalføring og attestdokumentation — nødvendig for at sikre korrekt attestudstedelse og dokumentation.
• Kommunikation og administration (booking, påmindelser) — nødvendig for at levere service til personen og gennemføre aftalte ydelser.
• Overholdelse af myndighedskrav — fx rapportering/indberetning til Søfartsstyrelsen, når dette er påkrævet.
• Samtykke anvendes kun i specifikke tilfælde, hvor et særskilt samtykke er nødvendigt og hensigtsmæssigt; samtykke kan trækkes tilbage, men tilbagekaldelse påvirker ikke lovligheden af tidligere behandling.

6. Særligt om CPR-nummer og følsomme oplysninger

Behandling af CPR-numre og helbredsoplysninger betragtes som særlig kategori og kræver en særskilt hjemmel i dansk ret. Klinikken begrænser brugen af CPR-nummer til det, der er strengt nødvendigt, fx entydig journalidentifikation og formidling af attester til myndigheder. Opbevaring og videreoverførsel af CPR-numre følger gældende regler og dokumenteres i journalen.

7. Journalføringssystemet (Onlinebooq)

Onlinebooq anvendes til tidsbestilling og journalføring. Klinikken:

• Har indgået eller vil indgå en databehandleraftale med Onlinebooq, som tydeligt fastlægger formål, sikkerhedsforanstaltninger og underleverandører.
• Sikrer at kun nødvendige personoplysninger (inkl. CPR) overføres og opbevares.
• Tilgår systemet med personlige, hemmelige adgangsoplysninger.
• Anvender systemets funktioner til sletning, anonymisering og logging i overensstemmelse med krav.

8. Videregivelse af oplysninger

Klinikken deler kun oplysninger når der er et lovligt grundlag, fx:

• På personens anmodning eller med udtrykkeligt samtykke (med information om konsekvenser)
• Når det er nødvendigt for at opfylde en juridisk forpligtelse (fx indberetning til Søfartsstyrelsen)
• Når der er en vital interesse eller for at beskytte andre (ekstreme nødssituationer)

Klinikken deler kun oplysninger med Søfartsstyrelsen via en sikker, krypteret forbindelse, som opfylder Datatilsynets krav til fortrolig kommunikation af helbredsoplysninger. Tredjepartsmodtagere er udelukkende Søfartsstyrelsen. Klinikken videregiver ikke oplysninger til andre offentlige eller private parter.

9. Opbevaring og sletning

• Journaloplysninger opbevares i henhold til gældende lovgivning og faglige anbefalinger. For attester og journalnotater gælder minimums- og maksimumsfrister angivet i relevant sundhedslovgivning.
• Når data ikke længere er nødvendige for formålet, slettes eller anonymiseres de sikkert.
• Sletnings- og journalføringsprocedurer dokumenteres og kan eftervises.

10. Tekniske og organisatoriske sikkerhedsforanstaltninger

Klinikken har truffet passende foranstaltninger for at beskytte data mod uautoriseret adgang, tab eller ødelæggelse, herunder:

• Adgangskontrol: individuelle brugerkonti, stærke adgangskoder, automatisk timeout
• Kryptering: ved overførsel og hvor muligt ved lagring
• Backup-rutiner og test af gendannelse
• Fysisk sikring af kliniklokaler og eventuelle lokale arkiver
• Fortrolighedsaftaler for eksterne leverandører
• Regelmæssig gennemgang af adgangsrettigheder

11. Registreredes rettigheder

Registrerede (personer) har rettigheder i henhold til GDPR, herunder:

• Ret til indsigt i egne oplysninger
• Ret til berigtigelse
• Ret til sletning (hvor lovgivning tillader det)
• Ret til begrænsning af behandling
• Ret til indsigelse mod behandling
• Ret til dataportabilitet (i det omfang teknisk muligt og relevant)

Klinikken beskriver proceduren for at håndtere anmodninger og svarer indenfor de lovbestemte frister.

12. Håndtering af brud på persondatasikkerheden (databrud)

Ved formodet brud:

1. Identificeres og afgrænses hændelsen hurtigst muligt.
2. Afhjælpes og dokumenteres de trufne foranstaltninger.
3. Vurderes om bruddet skal anmeldes til Datatilsynet inden 72 timer og om de registrerede skal informeres.
4. Eventuel anmeldelse til Datatilsynet og berørte personer udføres skriftligt og indeholder de nødvendige oplysninger om omfang, konsekvenser og afhjælpning.

13. Databehandleraftale og leverandørstyring

Klinikken indgår skriftlig databehandleraftale med Onlinebooq. Aftalen skal opstille:

• Formål og varighed af databehandlingen
• Typer af personoplysninger og kategorier af registrerede
• Forpligtelser og rettigheder for databehandler
• Sikkerhedsforanstaltninger
• Underleverandørers brug
• Betingelser for sletning/returnering ved aftalens ophør

14. Risikovurdering og dokumentation

Klinikken fører fortegnelse over behandlingsaktiviteter (ROPA) og gennemfører løbende vurdering af risici ved behandling af følsomme oplysninger. Hvor behandling udgør høj risiko, gennemføres privatlivsrisikovurdering (DPIA).

15. Træning og fortrolighed

Søfartslægen sikrer fortløbende kendskab til GDPR og sikkerhedspraksis. Alle (evt. eksterne) medarbejdere og samarbejdspartnere tilholds forpligtelser vedrørende tavshedspligt.

16. Praktiske procedurer og skabeloner

Vedlagt som bilag (kan tilpasses):

• Samtykkeskabelon
• Skabelon til databehandleraftale
• ROPA (fortegnelse over behandlingsaktiviteter)
• Checkliste ved databrud
• Procedure for håndtering af anmodninger om indsigt / sletning

17. Klager og tilsyn

Registrerede kan indgive klage til Datatilsynet hvis de mener at Klinikken ikke behandler data i overensstemmelse med gældende regler. Kontaktoplysninger til Datatilsynet findes på deres hjemmeside.

18. Revision af politikken

Denne politik gennemgås mindst en gang årligt eller ved væsentlige ændringer i behandlinger, lovgivning eller IT-systemer.

Kontakt

Søfartsklinikken
C/o Væxthuset
Smedelundsgade 16, 2. sal – lokale 219
4300 Holbæk

Mail: kontakt@søfartsklinikken.dk