Psykolog: Åh nej, er jeg nu også dataansvarlig!

Du kan lige så godt lære at elske det: DU har ansvaret for, at dine klienters personlige data ikke kommer i de forkerte hænder.

Som det hedder i den nye persondataforordning, der træder i kraft den 25. maj, så er psykologen at betragte som “dataansvarlig”. Og det forpligter. Det er med andre ord behandlerens ansvar at sikre klientens personoplysninger. Personoplysninger kan optræde mange steder, men her vil vi beskæftige os med, hvad man skal tænke på i sin e-mail-kommunikation. 

De fleste behandlere kommunikerer med deres klienter over e-mail. Kan man fortsætte med det efter den 25. maj? Ja, det kan man godt, men man skal tage sine forholdsregler.

“Jamen, det er jo bare et navn – det er da ikke personfølsomt?”

Indholdet i en e-mail mellem behandler og klient vil typisk indeholde navn, måske cpr-nummer, e-mail-adresse – disse data kaldes “personoplysninger”, og der er ikke krav om kryptering (selv om Datatilsynet anbefaler det).

Men indeholder kommunikationen for eksempel oplysninger om, at personen skal deltage i en psykologisk undersøgelse bliver der tale om “personfølsomme oplysninger”. Her er det den klare anbefaling fra både Datatilsynet og Dansk Psykolog Forening at kryptere.

“Hvornår er noget ellers personfølsomt?”

En personfølsom oplysning er en oplysning om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold og oplysninger om helbredsmæssige og sexuelle forhold.

Med den nye forordning omfattes også genetiske og biometriske data (personoplysninger om fysiske karakteristika, såsom ansigtsbillede eller fingeraftryksoplysninger).

”Hvad hvis klienten skal skrive til mig?”

Hvis en person retter henvendelse på en almindelig e-mail, bør du lade være med at svare direkte, men i stedet flytte dialogen over i en krypteret mail-kommunikation (eller svare krypteret, hvis du for eksempel har RMail installeret).

Det er ikke tilstrækkeligt at indhente samtykke fra klienten til at fortsætte en ikke-krypteret dialog.

”Hvorfor skal vi overhovedet det her?”

Hvis man synes, at det hele er lidt besværligt, kan det være en god ide at minde sig selv om det oprindelige formål med EU’s persondataforordning: at beskytte den enkelte borgers ret til privatliv. Det er ikke sjovt, at se sine diagnoser ligge og flyde på nettet (og det er ikke sjovt at være den behandler, der er skyld i det).

Dansk Psykolog Forening har lavet en fin vejledning til, hvornår man som behandler bør bruge en sikker mail – altså en krypteret e-mail.

Om samme emne
sikker mail datatilsynet
Kryptering

Hvad er en sikker mail?

Her svarer vi på alle de mest almindelige spørgsmål om sikker mail, og hvordan man sender og modtager. Også hvis man bruger Outlook eller Gmail.