Ketil Øyesvold Melhus Registrert Gestaltterapeut MNGF DOKUMENTASJON AV PERSONVERN

Like dokumenter
Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Personvern i skyen Medlemsmøte i Cloud Security Alliance

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Personvernerklæring. Nettbasert behandling av personopplysninger

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Diabetesforbundet. Personvernerklæring

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

Databehandleravtale for NLF-medlemmer

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Nye personvernregler

OM PERSONVERN TRONDHEIM. Mai 2018

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Nye personvernregler

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Krav til informasjonssikkerhet i nytt personvernregelverk

Databehandleravtaler. Tommy Tranvik Unit

GDPR - Personvern

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

GDPR Prosjektgjennomføring Sjekkliste

GDPR Hva, hvordan og når

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Nytt personvernregelverk på 1-2-3

GDPR - PERSONVERN. Advokat Sunniva Berntsen

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Nye personvernregler

Personvernerklæring for Webstep AS

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

GDPR - viktige prinsipper og rettigheter

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Personvernforordningen

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Registrerte og personopplysninger som behandles

Nytt regelverk, nye muligheter og masse avviksmeldinger!

EUs nye forordning for personvern

PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:

GDPR i et nøtteskall

Implementering av det nye personvernregelverket ved UiB

Sjekkliste GDPR. Nye personvernregler Hva bør gjøres frem mot 25.mai

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

GDPR Ny personvernforordning

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Sikkerhet og personvern i skole og klasserom

Personopplysningsvern med ProFundo som databehandler

GDPR- hva betyr dette for NTNU

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Personvern i Falck Helse

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

PERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS

REKRUTTERING OG GDPR

GDPR for regnskapsførere

BRUKERVEILEDNING TIL TRINN 1 - Datakartlegging

PERSONVERNERKLÆRING. Innledning

Databehandleravtale Kontorvarehuset Møre og Romsdal AS

PERSONVERNERKLÆRING Behandling av personopplysninger i BWAS GROUP AS

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Databehandleravtale. Etter den nye personvernloven og EUs personvernforordning (GDPR) av 25. mai mellom. Arrangøren Behandlingsansvarlig

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Ny personvernlovgivning

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Hvordan oppfyller du personvernforordningens (GDPR) krav til dokumentasjon? Frokostseminar - Sesam.no 30. august 2017 senioradvokat Jens C.

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

Personopplysninger er opplysninger og vurderinger som kan knyttes til deg som enkeltperson.

Personvernerklæring. Nettbasert behandling av personopplysninger

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Databehandleravtale. Skatteetaten. [leverandør] 1 av 8

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

Big data i offentlig sektor og personvern

Prosedyre for personvern

PERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS. 1. Hvem vi behandler personopplysninger om

GDPR ny personvernforordning. Styring via godt arbeid med informasjonssikkerhet

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Ny personvernforordning trer i kraft i mai 2018

Personvern i Falck Helse

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Personvern i EPD-Norge

Personvernerklæring. Nordix Data AS Gjeldende fra

Transkript:

Registrert Gestaltterapeut MNGF DOKUMENTASJON AV PERSONVERN Dette dokumentet beskriver hvordan oppfyller kravene i personopplysningsloven og EUs personvernforordning, GDPR. Versjon 1 04.12.2018

Innhold 1 Om virksomheten... 3 2 Personvernansvarlig... 3 3 Vurdering av risiko for personers rettigheter... 3 4 Personvernerklæring... 3 5 Kartlegging av behandling... 4 5.1 Protokoll... 4 5.2 Rutinebeskrivelser... 4 5.2.1 Ny klient... 4 5.2.2 Journalføring... 4 5.2.3 Fakturering og oppfølging... 4 5.2.4 Innsyn... 4 5.2.5 Korrigering... 4 5.2.6 Retten til begrensning... 5 5.2.7 Retten til å motsette seg behandling... 5 5.2.8 Overføring av sine personopplysninger (Dataportabilitet)... 5 5.2.9 Retten til å bli glemt... 5 6 Databehandlere... 5 6.1 Domeneshop... 6 6.2 Tripletex 7 Arkivering... 6 8 Informasjonssikkerhet... 6 8.1 Konfidensialitet... 6 8.2 Integritet... 6 8.3 Tilgjengelighet.... 6 9 Innebygd personvern... 6 10 Varsling av avvik... 6 10.1 Varsling til Datatilsynet... 7 10.2 Varsling til de berørte... 7 10.3 Rutine for avvikshåndtering... 7 11 Internkontroll... 8 11.1 Årlig revisjon... 8 Dokumentasjon av personvern Side 2 av 8

1 Om virksomheten er en privatpraktiserende gestaltterapeut, medlem av Norsk Gestaltterapeut Forening (NGF) og registrert i Register for Alternativ Behandling. Virksomheten tilbyr individualterapi, terapi for par og grupper. Virksomheten er behandlingsansvarlig for sine Klienter, kunder og leverandører. Virksomheten er ikke databehandler. Generelt lagrer virksomheten få personopplysninger. For hver rullerende 5-årsperiode lagres det opplysninger om ca. 50 personer. Det lagres kun alminnelig kontaktinformasjon og ordinære regnskapsopplysninger. I tillegg kommer journaler, men disse er anonymisert og kryptert. Lagring av helseopplysninger er også regulert av Lov om alternativ behandling av sykdom mv. og NGFs etiske retningslinjer. Kontakt og fakturainformasjon lagres i elektronisk journalsystem, passordbeskyttet og kryptert, og i elektronisk regnskapssystem. Det lagres ingen personopplysninger på papir. Virksomheten benytter to eksterne databehandlere, Domeneshop og Tripletex. Systemene krever pålogging og kommunikasjonen over internett er kryptert. Det lagres ikke sensitive opplysninger. Ut over allmenn kontaktinformasjon sendes det ingen personopplysninger ukryptert per epost. 2 Personvernansvarlig Siden virksomheten behandler få personopplysninger om et lite antall personer har virksomheten valgt å ikke ha et personvernombud. er ansvarlig for personvern i virksomheten. 3 Vurdering av risiko for personers rettigheter Protokollen, se kapittel 5, viser at virksomheten har kontroll på sine behandlinger og at personopplysninger behandles og lagres forsvarlig. Det vurderes at sannsynligheten for at personopplysninger skal komme på avveie, ødelegges eller slettes er lav og at konsekvensen i så fall ville vært liten. Basert på dette mener virksomheten at behandling av personopplysninger utføres slik at det er lav risiko for brudd på enkeltpersoners rettigheter og at det ikke er nødvendig med ytterligere konsekvensutredning. 4 Personvernerklæring Virksomhetens personvernerklæring i henhold til artikkel 12 finnes i dokumentet «Personvern - Personvernerklæring - MNGF.pdf». Personvernerklæringen brukes som vedlegg til klientavtalen og er tilgjengelig på virksomhetens WEB-side https://www.gestaltterapi.me. Dokumentasjon av personvern Side 3 av 8

5 Kartlegging av behandling 5.1 Protokoll En oversikt over behandlingsaktiviteter i henhold til artikkel 30 finnes i dokumentet "Personvern - Oversikt over personopplysninger som behandles - MNGF.pdf". 5.2 Rutinebeskrivelser 5.2.1 Ny klient Når en potensiell ny klient tar kontakt avtales det et første møte. Om møtet fører til at det inngås en avtale så lagres den signerte avtalen kryptert og kontaktopplysninger registreres i Tripletex. 5.2.2 Journalføring Det føres journal etter hver konsultasjon. Journalen lagres passordbeskyttet (128bit AES) på Microsoft Onedrive, passordbeskyttet og kryptert. 5.2.3 Fakturering og oppfølging Kunden belastes via izettle terminal. I etterkant opprettes kunden i Tripletex med fornavn. Faktura sendes ikke til kunden. 5.2.4 Innsyn De registrerte har rett til innsyn i egne personopplysninger. Følgende prosedyre skal følges: Akt. Nr. Hvem Aktivitet Hvordan 1. Den Send krav om innsyn. Per epost eller brev. registrerte 2. Terapeut Eventuelt: Bekreft mottak og informer Per epost. om tidsfrist (30 dager). 3. Terapeut Hent personopplysninger fra Exceljournal Excel 4. Terapeut Søk etter den registrerte i epostarkivet. Gmail 5. Terapeut Søk etter den registrerte i filarkivet. Excel 6. Terapeut Legg alt, pluss dokumentet " Personvern Gmail - Oversikt over personopplysninger som behandles", i et ZIP-arkiv som passordbeskyttes. 7. Terapeut Send ZIP-fil til den registrerte per epost. Gmail 8. Terapeut Send passord til den registrerte per SMS. iphone 9. Terapeut Slett ZIP-fil etter <nn> dager. Gmail/Onedrive 5.2.5 Korrigering De registrerte har rett til å få korrigert egne personopplysninger. Følgende prosedyre skal følges: Akt. Nr. Hvem Aktivitet Hvordan Dokumentasjon av personvern Side 4 av 8

1. Den Send krav om korrigering. Per epost eller brev. registrerte 2. Terapeut Eventuelt: Bekreft mottak og informer Per epost. om tidsfrist (30 dager). 3. Terapeut Korriger personopplysninger i Word Opprette nytt korrigert dokument og lagre passordbeskyttet/kryptert 4. Terapeut Bekreft korrigering. Per epost. 5.2.6 Retten til begrensning Dette vil være det samme som å avslutte avtaleforholdet og anses som ikke relevant. 5.2.7 Retten til å motsette seg behandling Virksomheten har ikke behandlinger hvor det er aktuelt å motsette seg behandling. 5.2.8 Overføring av sine personopplysninger (Dataportabilitet) Virksomheten anser kravet til dataportabilitet å være dekket gjennom rutinen for innsyn. 5.2.9 Retten til å bli glemt De registrerte har rett til å "bli glemt", dvs å avslutte avtaleforholdet og få personopplysninger slettet. Følgende prosedyre skal følges: Akt. Nr. Hvem Aktivitet Hvordan 1. Den Send krav om å "bli glemt". Per epost eller brev. registrerte 2. Terapeut Eventuelt: Bekreft mottak og informer Per epost. om tidsfrist (30 dager). 3. Terapeut Slett personopplysninger i OneDrive. Kan gjøres ved å anonymisere eller pseudonymisere "kundekortet". Manuelt i Word/Onedrive 4. Terapeut Søk etter den registrerte i epostarkivet og slett all epost. <husk at det er lov til å ta vare på epost som kan tenkes å være nødvendig for å håndtere en reklamasjon eller forsvare et rettskrav> 5. Terapeut Søk etter den registrerte i filarkivet og slett, anonymiser eller pseudonymiser alle dokumenter. <husk at det er lov til å ta vare på dokumenter som kan tenkes å være nødvendig for å håndtere en reklamasjon eller forsvare et rettskrav> Manuelt i epostsystemet. Word/OneDrive 6. Terapeut Bekreft at avtaleforholdet er avsluttet. Per epost eller brev. 6 Databehandlere Virksomheten bruker følgende eksterne databehandlere: Dokumentasjon av personvern Side 5 av 8

6.1 Domeneshop Domeneshop leverer Eposttjenester og WEB-hotell for Virksomhetens WEB-sider. Domeneshop har ingen separat databehandleravtale men har alle krav til dokumentasjon i henhold til GDPR i sin generelle avtale. 6.2 Tripletex Tripletex utfører alle økonomi og regnskapstjenester for virksomheten. 7 Arkivering Klientavtaler og journaler lagres på separate OneDrive-konti. SMS lagres på iphone. Epost lagres i Gmail 8 Informasjonssikkerhet 8.1 Konfidensialitet Virksomhetens eget datautstyr og alle eksterne systemer er passordbeskyttet for å hindre uvedkommende i å få tilgang til personopplysninger og annet. Kommunikasjon over internett er kryptert. Trådløse nett på arbeidssted og hjemmekontor er lukket og passordbeskyttet. 8.2 Integritet Det er kun som har tilgang til å registrere, endre og slette personopplysninger i egne systemer. Alle databehandlere oppdaterer personopplysninger kun etter instruks fra. Alle databehandlere har rutiner for sikkerhetskopiering og gjenoppretting av data. 8.3 Tilgjengelighet. Det lagres ikke personopplysninger lokalt på virksomhetens datautstyr. Alle databehandlere har reservesystemer tilgjengelig i tilfelle det skulle oppstå problemer med tilgang til hovedsystemene. 9 Innebygd personvern Virksomheten har ingen egenutviklede systemer og tilbyr ingen systemer til andre. 10 Varsling av avvik Om det skal varsles eller ikke avhenger av risikoen ved avviket. Virksomheten må selv vurdere om det er sannsynlig at avviket vil medføre ingen risiko, lav risiko, middels risiko eller høy risiko for brudd på personvernet til de berørte. Hvis vurderingen viser at det er ingen eller lav risiko er det ikke nødvendig å varsle, men avviket skal uansett dokumenteres i henhold til rutinen nedenfor. Dokumentasjon av personvern Side 6 av 8

10.1 Varsling til Datatilsynet Hvis vurderingen viser at avviket sannsynligvis medfører middels eller høy risiko skal det varsles til Datatilsynet, innen 72 timer etter at avviket ble oppdaget, via skjema i Altinn: https://www.altinn.no/skjemaoversikt/datatilsynet/melding-om-avvik-datatilsynet/ 10.2 Varsling til de berørte Varsling til de berørte skal skje når det er sannsynlig at avviket vil medføre en høy risiko for brudd på personvernet til de berørte. Varsling til de berørte skal skje så snart som mulig ved å bruke skjema i dokumentet "Personvern - Varsling til de berørte ved avvik Ketil Øyesvold Melhus.docx ". 10.3 Rutine for avvikshåndtering Følgende prosedyre skal følges: Akt. Hvem Aktivitet Hvordan Nr. 1. Den som oppdager eller informeres Informer personvernansvarlig (PVA) og styret så raskt som mulig. Per telefon eller epost. om avviket. 2. PVA Start avvikshåndtering. 3. PVA Lag en liste over hvem som er berørt. 4. PVA Kartlegg mulige konsekvenser. 5. PVA Kartlegg mulige tiltak og iverksett umiddelbart om mulig. 6. PVA Vurder om det er sannsynlig at avviket vil medføre en middels eller høy risiko for personvernet til de berørte. Hvis ja, starte varsling: 7. PVA Fyll ut varslingsskjema til Datatilsynet på Altinn. 8. PVA Vurder om det er sannsynlig at avviket vil medføre en høy risiko for personvernet til de berørte. Hvis ja, varsle til de berørte: 9. PVA Fyll ut skjema til de berørte. 10. PVA Send skjemaet per epost til de berørte på listen. Og uansett: 11. PVA Iverksett eventuelle ytterligere tiltak. 12. PVA Evaluer om iverksatte tiltak har lukket avviket. 13. PVA Dokumenter avviket, avviksbehandlingen og eventuelle tiltak for den årlige revisjonen. Dokumentasjon av personvern Side 7 av 8

11 Internkontroll Virksomheten har ikke behov for et omfattende internkontrollsystem. I tillegg til avviksprosedyren dokumentert over finnes det et egenkontrollskjema, dokumentet "Personvern - Årlig egenkontroll - 2019.docx", og en prosedyre for årlig revisjon, se nedenfor. 11.1 Årlig revisjon Virksomheten skal en gang i året, basert på egenkontrollskjemaet, gjøre følgende: 1. Revidere all dokumentasjon av personvern og vurdere om det er behov for endringer. 2. Dokumentere og gjennomføre eventuelle endringer. 3. Gå gjennom egenkontrollskjemaet og vurdere om det er behov for endringer. 4. Dokumentere og gjennomføre eventuelle endringer. 5. Revidere eventuelle avvik siste år. 6. Slette historikk det ikke lenger er grunnlag for å beholde. 7. Signere og arkivere egenkontrollskjemaet. Dokumentasjon av personvern Side 8 av 8

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding