1. Databeskyttelsesprincipper
Dedalus Healthcare Limited er forpligtet til at behandle data i overensstemmelse med sit ansvar under GDPR (Databeskyttelsesforordningen).
Afsnit 5 i GDPR kræver, at persondata skal:
a. behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til individet b. indsamles til specifikt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål; viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, skal ikke anses for at være uforenelig med de oprindelige formål; c. være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles; d. være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges; e. opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles; f. personoplysninger kan opbevares i længere tidsrum, hvis personoplysningerne alene behandles til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål, under forudsætning af, at der implementeres passende tekniske og organisatoriske foranstaltninger, som denne forordning kræver for at sikre individets rettigheder og frihedsrettigheder; behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger."
2. Generelle bestemmelser
a. Denne politik gælder for alle persondata der behandles af Dedalus Healthcare Limited.
b. Den ansvarlige person skal tage ansvar for virksomhedens løbende overholdelse af denne politik.
c. Denne politik skal evalueres mindst én gang årligt.
d. Virksomheden skal være registreret hos Information Commissioner’s Office (ICO), som en organisation der behandler persondata.
3. Lovlig, fair og transparent behandling
a. For at sikre, at behandlingen af data er lovlig, fair og transparent, skal virksomheden vedligeholde et systemregister.
b. Dette systemregister skal evalueres mindst én gang årligt.
c. Individer har ret til at tilgå deres persondata, og alle anmodninger til virksomheden angående dette, skal behandles inden for en rimelig frist.
4. Lovlige formål
a. Alle data som behandles af virksomheden skal ske på grundlag af en af følgende lovlige formål: samtykke, kontrakt, lovlig forpligtelse, vitale interesser, offentlig opgave eller juridiske interesser (se vejledning fra ICO for flere oplysninger).
b. Virksomheden skal angive det relevante, lovlige grundlag i systemregisteret.
c. Hvor et samtykke bruges som et lovligt grundlag til behandling af data, skal bevis på deres samtykke opbevares sammen med dette persondata.
d. Hvor der sendes kommunikation til individer, hvis behandling er baseret på deres samtykke, skal muligheden for at individet kan tilbagekalde samtykket være tydelig og tilgængelig, og der skal være systemer, der sikrer, at denne tilbagekaldelse afspejles nøjagtigt i virksomhedens systemer.
5. Dataminimering
a. Virksomheden skal sikre, at persondata er tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvor de behandles.
6. Nøjagtighed
a. Virksomheden skal tage rimelige forholdsregler for at sikre, at persondata er nøjagtige.
b. Om nødvendigt for behandling af disse data kan ske på et lovligt grundlag, skal der tages skridt til at sikre, at persondata er opdaterede.
7. Arkivering / fjernelse
a. For at sikre at persondata ikke opbevares længere end nødvendigt, skal virksomheden have implementeret en arkiveringspolitik for hvert område, hvor persondata behandles. Denne proces skal evalueres årligt.
b. Arkiveringspolitikken skal angive, hvilke data der bør/skal gemmes, samt hvor længe og hvorfor.
8. Sikkerhed
a. Virksomheden skal sikre at persondata opbevares sikkert ved hjælp af moderne software, der altid er opdateret.
b. Adgang til persondata skal begrænses til personale som har brug for denne adgang, og passende sikkerhedsforanstaltninger skal finde anvendelse for at undgå uautoriseret deling af disse oplysninger.
c. Når persondata slettes skal det gøres sikkert og på en måde, så disse data ikke kan gendannes.
d. Passende backup og gendannelsesløsninger skal være integreret.
9. Indtrængen I tilfælde af et sikkerhedsbrud, som resulterer i en utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret offentliggørelse af, eller adgang til persondata, skal virksomheden omgående vurdere risikoen for personernes rettigheder og frihed, og hvis det findes relevant, skal den rapportere dette brud til ICO (flere oplysninger på ICO-hjemmesiden).