Privatlivspolitik for patienter

Privatlivs- og Informationssikkerhedspolitik | Velcare Privathospital

Privatlivs- og Informationssikkerhedspolitik

Velcare Privathospital behandler personoplysninger i overensstemmelse med GDPR, sundhedslovgivningen, ISO/IEC 27001 og relevante krav til cyber- og informationssikkerhed, herunder NIS2.

1. Indledning

Hos Velcare Privathospital (herefter “vi”, “os” eller “vores”) beskytter vi dine personoplysninger med høj grad af fortrolighed, integritet og tilgængelighed. Denne politik forklarer, hvilke oplysninger vi behandler, hvorfor vi behandler dem, og hvordan vi beskytter dem.

Vi behandler personoplysninger i overensstemmelse med gældende databeskyttelseslovgivning, sundhedslovgivningen samt vores interne krav til informationssikkerhed og risikostyring.

2. Dataansvar

Den relevante afdeling eller kliniske enhed hos Velcare Privathospital, hvor du modtager behandling, er dataansvarlig for behandlingen af dine personoplysninger.

  • Vi har etableret en informationssikkerhedsorganisation.
  • Vi arbejder med klare roller og ansvar for databeskyttelse og informationssikkerhed.
  • Vi vedligeholder interne politikker, procedurer og kontroller for sikker behandling af data.

3. Hvilke oplysninger indsamler vi?

3.1 Almindelige personoplysninger

  • Navn, adresse og fødselsdato
  • Telefonnummer og e-mail
  • Oplysninger fra kontaktformularer og andre henvendelser
  • Foto, hvis det er relevant for identifikation eller behandling

3.2 Fortrolige oplysninger

  • CPR-nummer

3.3 Særlige kategorier af personoplysninger

  • Helbredsoplysninger, journaloplysninger, diagnoser og prøvesvar
  • Røntgenbilleder, scanninger og andre kliniske registreringer
  • Oplysninger om medicin og behandlingsforløb
  • Oplysninger modtaget fra andre sundhedspersoner, hvor det er relevant og lovligt

4. Formål med behandlingen

Vi behandler dine oplysninger med henblik på at:

  • (A) Udføre behandling og føre journal
  • (B) Administrere betaling og afregning
  • (C) Indberette til myndigheder, forsikringer og andre relevante instanser
  • (D) Identificere dig korrekt
  • (E) Kommunikere med dig, herunder sende relevante påmindelser og servicemeddelelser
  • (F) Håndtere henvendelser
  • (G) Administrere booking og patientforløb
  • (H) Dele oplysninger med relevante sundhedspersoner som led i behandlingen
  • (I) Foretage lovlig markedsføring og målretning, hvor det er tilladt
  • (J) Kvalitetssikre og udvikle vores ydelser
  • (K) Sikre drift, logning, overvågning, risikostyring og cyber-/informationssikkerhed

5. Frivillighed

Du er ikke forpligtet til at give os dine personoplysninger. Hvis du ikke giver de nødvendige oplysninger, kan det dog betyde, at vi ikke kan gennemføre behandling, journalføring eller administrative processer korrekt.

6. Retsgrundlag for behandling

6.1 Behandlingsgrundlag

Personoplysninger Formål Behandlingsgrundlag
Oplysninger jf. pkt. 3.1, 3.2 og 3.3 Behandling og journalføring, jf. pkt. 4(A) GDPR art. 6(1)(c) og art. 9(2)(h): Behandlingen er nødvendig for at overholde retlige forpligtelser og for at levere sundhedsbehandling.
Helbredsoplysninger jf. pkt. 3.3 Medicinsk vurdering og behandling, jf. pkt. 4(A) GDPR art. 9(2)(h): Behandlingen er nødvendig med henblik på forebyggende sundhedspleje, medicinsk diagnose og behandling.
Identitets- og kontaktoplysninger Betaling, afregning og administration, jf. pkt. 4(B) og 4(C) GDPR art. 6(1)(b) og 6(1)(f): Behandlingen er nødvendig for opfyldelse af en aftale og for vores legitime interesse i korrekt administration og afregning.
Foto Identifikation, jf. pkt. 4(D) GDPR art. 6(1)(a): Samtykke.
Kontaktoplysninger Kommunikation og påmindelser, jf. pkt. 4(E) GDPR art. 6(1)(f): Vores legitime interesse i at kunne kommunikere om aftaler, behandlingsforløb og serviceoplysninger.
Kontaktoplysninger og indhold i henvendelser Håndtering af henvendelser, jf. pkt. 4(F) GDPR art. 6(1)(b) og 6(1)(f): Behandlingen er nødvendig for at besvare din henvendelse og administrere dialogen med dig.
Identitets- og kontaktoplysninger Booking og patientadministration, jf. pkt. 4(G) GDPR art. 6(1)(b): Behandlingen er nødvendig for at administrere aftaler og patientforløb.
Helbredsoplysninger og øvrige relevante patientoplysninger Deling med sundhedspersonale, jf. pkt. 4(H) GDPR art. 6(1)(c) og 9(2)(h), samt relevant sundhedslovgivning: Behandlingen er nødvendig som led i patientbehandling og journalføring.
Kontaktoplysninger Markedsføring, jf. pkt. 4(I) GDPR art. 6(1)(f) og, hvor nødvendigt, samtykke efter gældende markedsføringsregler.
Kontaktoplysninger og feedback Kvalitetssikring og udvikling, jf. pkt. 4(J) GDPR art. 6(1)(f): Vores legitime interesse i at forbedre kvaliteten af vores ydelser og patientoplevelse.
Logdata, adgangsdata, enhedsdata og systemhændelser IT-sikkerhed, driftsovervågning og hændelseshåndtering, jf. pkt. 4(K) GDPR art. 6(1)(c) og 6(1)(f): Retlig forpligtelse og legitim interesse i at beskytte systemer, netværk og personoplysninger.
Alle relevante data, afhængigt af sikkerhedsbehov og lovkrav Risikostyring, compliance og informationssikkerhed, jf. pkt. 4(K) GDPR art. 6(1)(c): Behandlingen er nødvendig for at overholde krav til informationssikkerhed, dokumentation og risikostyring.
Velcare Privathospital behandler desuden tekniske og sikkerhedsrelaterede data, herunder logdata, adgangsdata og systemhændelser, for at sikre netværks- og informationssikkerhed, forebygge sikkerhedsbrud og understøtte hændelseshåndtering i overensstemmelse med ISO 27001 og relevante krav under NIS2.

7. Risikostyring

Vi arbejder systematisk med risikostyring for at beskytte patientoplysninger og kritiske informationsaktiver. Dette omfatter identifikation af trusler, vurdering af sårbarheder, implementering af kontroller samt løbende overvågning og forbedring.

8. Tekniske og organisatoriske sikkerhedsforanstaltninger

Tekniske foranstaltninger

  • Adgangskontrol og rollebaserede rettigheder
  • Multifaktorautentifikation, hvor relevant
  • Kryptering og sikker dataoverførsel
  • Logning, overvågning og backup

Organisatoriske foranstaltninger

  • Need-to-know princip for adgang til data
  • Interne politikker og procedurer
  • Uddannelse og awareness for medarbejdere
  • Styring af leverandører og databehandlere

9. Hændelseshåndtering

Vi har etableret procedurer for identifikation, registrering, undersøgelse, afhjælpning og rapportering af sikkerhedshændelser. Hvis et brud på persondatasikkerheden medfører høj risiko for dig, vil du blive underrettet uden unødig forsinkelse i overensstemmelse med gældende regler.

10. Deling af oplysninger

Vi deler kun dine oplysninger, når det er nødvendigt og lovligt, herunder med:

  • Relevante sundhedspersoner og behandlingssteder
  • Myndigheder og offentlige instanser
  • Forsikringsselskaber og betalingsformidlere
  • IT-leverandører og andre databehandlere under passende aftaler

11. Opbevaring

  • Journaloplysninger opbevares som minimum i den periode, lovgivningen kræver.
  • Økonomiske oplysninger opbevares i overensstemmelse med bogføringsreglerne.
  • Data slettes eller anonymiseres, når de ikke længere er nødvendige.

12. Forretningskontinuitet og beredskab

Vi arbejder med beredskabs- og gendannelsesforanstaltninger for at sikre fortsat drift ved hændelser som systemnedbrud, cyberangreb eller datatab. Dette understøtter beskyttelsen af både patienter, data og kritiske sundhedsydelser.

13. Dine rettigheder

Du har efter gældende databeskyttelsesregler en række rettigheder, herunder ret til indsigt, rettelse, begrænsning, indsigelse og dataportabilitet, når betingelserne er opfyldt. Hvis behandlingen er baseret på samtykke, kan du til enhver tid trække dette tilbage.

14. Klage

Hvis du er utilfreds med vores behandling af dine personoplysninger, kan du klage til Datatilsynet.

Kontakt

Velcare Privathospital
Tagtækkervej 8.1 5230 Odense M
+4522227505
kontakt@velcare-privathospital.dk

Opdatering

Denne politik opdateres løbende i takt med ændringer i lovgivning, sikkerhedskrav, drift og trusselsbillede.

Close