GDPR og datasikkerhed - Psykolog Dea Franck

Din data og GDPR

Hos Psykolog Dea Franck har vi mere tjek på datasikkerhed end de fleste andre i vores marked. Det har vi fordi vi har tung erhvervserfaring bag os fra tidligere arbejdspladser hos både kommuner, regioner og den private IT-sektor. Vi har således været med til at forstå og implementere GDPR indenfor tre vigtige søjler, som ligger til grund for vores egen politik på området:

Forretningsgang

Vi har styr på den lovgivning som ligger til grund for vores forretningsområde og har indrettet vores daglige procedurer herefter. For at sikre os, at vi overholder disse procedurer, er alle vores arbejdsgange styret af software, vi selv har udviklet, som virker i samspil med vores journalsystem. Herudover har vi taget aktiv stilling til vores dataflow og sørget for at indgå databehandleraftaler med vores underleverandører, så vi sikrer, at både vi og de overholder GDPR. Slutteligt administrerer vi vores egen serverløsning i klinikken og foretager backup ud fra et redundansprincip, der sikrer, vi altid kan reetablere tabt data indenfor et døgn.

Sikkerhed

Vi opbevarer din data fra vores journalsystem i en database på en lokal server i vores klinik på et lukket netværk uden internetadgang, mens data er krypteret at rest med AES-256 som dekrypteres med en fysisk token. Også vores arbejdscomputere er krypteret med AES-256 via TPM 2.0. Vores kommunikation håndteres af vores underleverandør Proton AG, mens Pearson PLC håndterer data fra undersøgelser foretaget med WISC-V. Vi har indgået databehandleraftaler med begge vores leverandører jf. databeskyttelsesfordningens artikel 28 samt Datatilsynets vejdledning om dataansvarlige og databehandlere, afsnit 3.2.1.

Software

Vi benytter os i klinikken af et journalsystem vi udvikler og vedligeholder selv. Det gør vi for at være sikre på, at din data er gemt og struktureret på en måde, som vi selv forstår og kan stå inde for. Det gør os i stand til med sikkerhed at kunne sige, at vi overholder bekendtgørelse 567 af 2017 om autoriserede psykologers pligt til at føre ordnede optegnelser på sine klienter i mindst 5 år, samt databeskyttelsesforordningens artikel 5, stk. 1, der stipulerer, at vi har pligt til at slette vores klienters data når de ikke længere er nødvendige i en behandlingssammenhæng eller i forhold der gør sig gældende under forvaltningsloven.

Vores underleverandører

Mens vi benytter os af vores eget journalsystem og lagrer din data lokalt i klinikken på et lukket netværk, er der tilfælde hvor vi er nødt til at eksponere din data. Det gør sig gældende når du skal have foretaget en test med WISC eller WPPSI og når du udveksler mailkorrespondance med klinikken. I den forbindelse har vi indgået databehandleraftaler med to underleverandører som figurerer herunder.

I klinikken benytter vi testbatterierne WISC-V og WPPSI, hvis resultater samt navn og fødselsdato på testperson udveksles med Pearson PLC via deres programmer Q-Interactive (WISC-V) og Q-Global (WPPSI). Data håndteres af Pearsons egen databehandler, Amazon AWS, med hvem de har indgået en databehandleraftale. Aftalen stipulerer at data til alle tider befinder sig i datacentre i Canada eller Irland. Der har hersket en del diskussion på sociale medier om, hvorvidt Pearson overholder GDPR. Vi har undersøgt dette forhold grundigt hos både Datatilysnet og Pearson og kan bekræfte, at Pearson overholder deres forpligtelser i forhold til GDPR. Læs mere om vores undersøgelse her.

Vi har indgået en databehandleraftale med Pearson PLC, hvor de forpligter sig til at overholde EU-Parlamentets databeskyttelsesforordning (2016/679 af 27. april), almindeligt kendt som GDPR.

Når vi kommunikerer med vores klienter, sker det via mailkorrespondance. Vi betaler vores underleverandør Proton AG for at sikre, at vi altid har mulighed for at kommunikere via en krypteret protokol. Alt efter den mailudbyder som den enkelte klient selv har lagt sig an på, vil denne protokol enten være OpenPGP eller TLS. Proton AG opbevarer endvidere vores korrespondance på en måde, hvor data er krypteret at rest ud fra en zero access politik, der betyder at Proton AG ikke selv har adgang til data. Proton AG håndterer også vores kalendersystem som også er krypteret. Kalendersystemet kan endvidere ikke eksponeres via et API, som f.eks. Google Calendar, hvilket tilføjer et ekstra lag af implicit sikkerhed.

Vi har indgået en databehandleraftale med Proton AG, hvor de forpligter sig til at overholde EU-Parlamentets databeskyttelsesforordning (2016/679 af 27. april), almindeligt kendt som GDPR.

I forbindelse med rådgivning og terapi som ikke foregår i selve klinikken, benytter vi os af tjenesten Signal som er end-to-end krypteret uden en mellemmand, således forstået at data kun gemmes hos de kommunikerende parter. Alle vores arbejdscomputere er krypteret på hardwareniveau (TPM 2.0) med AES-256.