Gå til hovedindhold

60A. CSO Behandling af personoplysninger i forbindelse med forebyggelse og sundhed

Lyngby‑Taarbæk Kommune behandler personoplysninger i forbindelse med forebyggende og sundhedsfremmende indsatser, både borger‑ og patientrettede.

Indhold

    Behandlingen omfatter både generel planlægning, tilrettelæggelse og evaluering af forebyggende sundhedsindsatser samt behandling af personoplysninger i konkrete personsager, herunder i forbindelse med patientsikkerhed og utilsigtede hændelser. 

    Behandlingen sker som led i kommunens myndighedsudøvelse og opgavevaretagelse på sundhedsområdet og har til formål at fremme sundhed, forebygge sygdom samt sikre kvalitet og patientsikkerhed. 

     

    Formål med behandlingen 

    Formålet med behandlingen af personoplysninger er at: 

    • planlægge, gennemføre og evaluere forebyggende og sundhedsfremmende indsatser 

    • varetage borger og patientrettet forebyggelse 

    • sikre patientsikkerhed og kvalitet i sundhedsindsatser 

    • registrere og behandle oplysninger om utilsigtede hændelser 

    • opfylde kommunens dokumentations, indberetnings og tilsynsforpligtelser 

     

    Lovhjemmel 

    Særlovgivning 

    Behandlingen sker med hjemmel i sundhedsloven, herunder bl.a.: 

    • §§ 198199 (forebyggelse og sundhedsfremme) 

    • § 119 (kommunale sundhedsopgaver) 

    • §§ 213213 c (indberetning og behandling af sundhedsdata) 

    • §§ 205 b og 67, stk. 2 

    • bekendtgørelse om kommunale og regionale sundhedsydelser 

    • bekendtgørelse om indberetning af kommunale sundhedsdata 

    • bekendtgørelse om rapportering af utilsigtede hændelser 

    • bekendtgørelse om indretning og drift af medicindepoter 

    Databeskyttelsesretligt grundlag 

    Behandlingen sker i overensstemmelse med: 

    • Databeskyttelsesforordningen artikel 6, stk. 1, litra e 
      (opgave i samfundets interesse / offentlig myndighedsudøvelse) 

    • Databeskyttelsesforordningen artikel 9, stk. 2, litra h 
      (behandling nødvendig for sundhedsformål) 

    • Databeskyttelsesloven §§ 7 og 11 

     

    Kategorier af personoplysninger 

    Kommunen kan behandle følgende kategorier af personoplysninger: 

    Almindelige personoplysninger, fx: 

    • navn, adresse og kontaktoplysninger 

    • CPRnummer 

    Følsomme personoplysninger, herunder: 

    • helbredsoplysninger 

    • oplysninger om livsstil, sygdom og behandlingsbehov 

    Oplysninger vedrørende sundhedsindsatsen, fx: 

    • deltagelse i forebyggende tilbud 

    • sundhedsprofiler og patientsikkerhedsdata 

    • registrering af utilsigtede hændelser 

    • oplysninger om medicinhåndtering og behandlingssteder 

    Oplysninger behandles kun i det omfang, det er nødvendigt for formålet.

     

    Systemer og registrering 

    I forbindelse med behandlingsaktiviteten anvender kommunen digitale systemer til blandt andet: 

    • planlægning og dokumentation af forebyggende indsatser 

    • registrering af sundhedsdata 

    • indberetning til nationale databaser 

    • patientsikkerheds og kvalitetsarbejde 

    Kommunen sikrer, at der er indgået nødvendige databehandleraftaler, og at systemerne lever op til databeskyttelsesreglerne. 

     

    Modtagere af personoplysninger 

    Personoplysninger kan videregives til: 

    • relevante interne enheder i kommunen 

    • statslige myndigheder og registre, herunder Sundhedsdatastyrelsen 

    • andre offentlige myndigheder, når dette følger af lovgivningen 

    • databehandlere, der bistår kommunen med ITdrift og administration

    Modtagere af personoplysninger Understøttet af

    Columna Cura 

    Medarbejdere i LyngbyTaarbæk Kommune, databehandler (Systematic A/S) samt godkendte underdatabehandlere (fx Netic A/S, IT Relation A/S, Alexandra Instituttet A/S, Cherwell Software GmbH m.fl.) 

    Cura / SSO-system (SaaS) til elektronisk omsorgsjournal (EOJ/ESJ) 

    DPSD, Sundhedsdatastyrelsen 

    Certego A/S (databehandler) 

    ASSA ABLOY terminal server (mailopbevaring)  
    ASSA ABLOY Web Manager (CWM/CLIQ system)

    ExorLive 

    Databehandler: ExorLive AS 
    Underdatabehandlere: 
     Microsoft Ireland Operations Ltd (hosting/lagring) 
    Atlassian (supportsystem – Jira) via AWS 

    SaaS-platform (ExorLive) til digital træning og rehabilitering 
    Hosting og datalagring hos Microsoft Azure (Irland) 
    Support- og ticketing via Atlassian (AWS)

    Fælles Medicinkort (FMK) 

    - Sundhedsdatastyrelsen (dataansvarlig for FMK)  
    - Kommuner, regioner og almen praksis  
    - Sundhedsprofessionelle (læger, sygeplejersker m.fl.)  
    - Apoteker  
    - Borgeren selv (egen adgang) 

    National sundheds-it (FMK) 

    Fælleskommunal Gateway 

    Sundhedsdatastyrelsen samt KOMBIT (FLIS) 

    Indsamling og distribution af kommunale sundheds- og ældredata 

    Kommunal PRO 

    Kommunale sundhedsmedarbejdere (fx sygeplejersker, terapeuter, rehabilitering) 
    Praktiserende læger og hospital (hvis de indgår i forløbet) 
    Evt. andre sundhedsfaglige samarbejdspartnere 

    Kommunal PRO-system (fælleskommunal løsning) 
    Spørgeskemaløsning til borger (tablet/web) 
    Den fælles telemedicinske infrastruktur (FUT) 

    OTAP/Center for Innovative OT Solutions (US) 

     Center for Innovative OT Solutions (databehandler, USA) Kommunen (dataansvarlig) Medarbejdere (terapeuter mv.) Borgere (via løsning) 

    OTAP-løsning til træning / rehabilitering / terapeutisk støtte 

    Professionel Hjernetræning /Egede Neuro 

    Egede Neuro (databehandler), kommune, terapeuter, borger 

    Kognitiv træning og rehabilitering

    Overførsel til tredjelande 

    Behandling af personoplysninger sker som udgangspunkt inden for EU/EØS. 
    Eventuel overførsel til tredjelande sker i overensstemmelse med databeskyttelsesforordningens regler. 

    Overførsel til tredjelande Overførselsgrundlag såfremt

    Columna Cura 

    Ja (muligt via underdatabehandlere i tredjelande, fx Cherwell/Azure) 

    EU-Kommissionens tilstrækkelighedsafgørelse eller gyldigt overførselsgrundlag jf. GDPR kap. V 

    DPSD, Sundhedsdatastyrelsen 

    Nej

    Ikke relevant, da der ikke sker overførsel til tredjelande

    ExorLive 

    Ja, muligt i visse tilfælde via underdatabehandlere (fx amerikanske moderselskaber) 

    EU-Kommissionens standardkontraktbestemmelser (SCC) 
    EU-U.S. Data Privacy Framework (tilstrækkelighedsafgørelse 

    Fælles Medicinkort (FMK)

    Nej

    Ikke relevant (kun hvis overførsel sker → GDPR kapitel V) 

    Fælleskommunal Gateway 

    Nej

    Ikke relevant, da der ikke sker overførsel til tredjelande

    Kommunal PRO 

    Ikke eksplicit dokumenteret i offentlige beskrivelser 
    Afhænger af leverandør og hosting (fx Systematic/underleverandører) 

    Ikke konkret angivet 
    Ved evt. overførsel: GDPR kapitel V (fx SCC eller Data Privacy Framework) 

    OTAP/Center for Innovative OT Solutions (US) 

    Ja (USA) 

    EUUS Data Privacy Framework eller SCC (GDPR kapitel V) 

    Professionel Hjernetræning /Egede Neuro 

    Ikke identificeret (kræver DPA-afklaring) 

    Opbevaringsperiode 

    Personoplysninger opbevares i overensstemmelse med regler om journalisering, dokumentation og arkivering, herunder arkivlovgivningen. 

    Opbevaringsperiode

    Columna Cura 

    Hovedaftalens løbetid + op til 5 år 

    DPSD, Sundhedsdatastyrelsen 

    Mailoplysninger: maks. 1–2 uger (afhængig af opgaven), derefter slettes. Adresseoplysninger i Web Manager: opbevares indtil borgeren afleverer udstyr → slettes derefter straks 

    ExorLive 

    Løbende sletning af personoplysninger efter 12 måneder 
    Ved ophør: sletning eller tilbagelevering 
    Behandling ophører ved kontraktophør + 30 dages nedlukning

    Fælles Medicinkort (FMK) 

    2 år

    Fælleskommunal Gateway 

    Efter kommunens journaliserings- og slettepolitik 

    Kommunal PRO 

    PRO-data indgår som en del af sundhedsoplysninger/journaldata 
    Opbevares efter gældende regler for journalføring 
    Data kan også anvendes (i anonymiseret form) til kvalitetsudvikling og forskning 

    OTAP/Center for Innovative OT Solutions (US) 

    Efter kommunens journaliserings- og slettepolitik 

    Professionel Hjernetræning /Egede Neuro 

    Efter kommunens journaliserings- og slettepolitik