Personvern

Veet Maya Fjellstad

Gestaltterapeut MNGF

Tlf. 98 40 58 30

INNHOLD


1        Om virksomheten.

2        Personvernansvarlig.

3        Vurdering av risiko for personers rettigheter.

4        Personvernerklæring.

5        Kartlegging av behandling.

5.1        Protokoll.

5.2        Rutinebeskrivelser.

5.2.1        Ny klient.

5.2.2        Journalføring.

5.2.3        Fakturering og oppfølging.

5.2.4        Innsyn.

5.2.5        Korrigering.

5.2.6        Retten til begrensning.

5.2.7        Retten til å motsette seg behandling.

5.2.8        Overføring av sine personopplysninger (Dataportabilitet).

5.2.9        Retten til å bli glemt.

6        Databehandlere.

6.1        Regnskap.

7        Arkivering.

8        Informasjonssikkerhet.

8.1        Konfidensialitet.

8.2        Integritet.

8.3        Tilgjengelighet.

9        Innebygd personvern.

10      Varsling av avvik.

10.1       Datatilsynet.

10.2       De berørte.

10.3       Rutine for avvikshåndtering.

11      Internkontroll

11.1        Årlig revisjon.

 

1          Om virksomheten

Veet Maya Fjellstad er en privatpraktiserende gestaltterapeut, medlem av Norsk Gestaltterapeut Forening (NGF) og registrert i Register for Alternativ Behandling. Virksomheten tilbyr individualterapi.

 

Virksomheten er behandlingsansvarlig for sine Klienter, kunder og leverandører.  Virksomheten er ikke databehandler.

 

Generelt lagrer virksomheten få personopplysninger. For hver rullerende 5-årsperiode lagres det opplysninger om ca. 15 personer. Det lagres kun alminnelig kontaktinformasjon og ordinære regnskapsopplysninger. I tillegg kommer journaler, men disse er anonymisert og lagres dessuten separat fra kontaktopplysningene. Lagring av helseopplysninger er også regulert av Lov om alternativ behandling av sykdom mv. og NGFs etiske retningslinjer.

 

Virksomheten benytter one.com som web-hotell for nettsidene. Det lagres her ingen personopplysninger.

 

Det sendes ingen personopplysninger per e-post.

 

Virksomheten benytter ingen eksterne databehandlere. Klientmapper og andre dokumenter lagres i låsbart arkivskap.


2          Personvernansvarlig

Siden virksomheten behandler få personopplysninger om et lite antall personer har virksomheten valgt å ikke ha et personvernombud. Veet Maya Fjellstad er ansvarlig for personvern i virksomheten.


3          Vurdering av risiko for personers rettigheter

Protokollen, se kapittel 5, viser at virksomheten har kontroll på sine behandlinger og at personopplysninger behandles og lagres forsvarlig.

 

Det vurderes at sannsynligheten for at personopplysninger skal komme på avveie, ødelegges eller slettes er lav og at konsekvensen i så fall ville vært liten.

 

Basert på dette mener virksomheten at behandling av personopplysninger utføres slik at det er lav risiko for brudd på enkeltpersoners rettigheter og at det ikke er nødvendig med ytterligere konsekvensutredning.

4          Personvernerklæring

Virksomhetens personvernerklæring i henhold til artikkel 12 finnes i dokumentet «Personvern - Personvernerklæring - Veet Maya Fjellstad.pdf». Personvernerklæringen brukes som vedlegg til informasjon om personvern tilgjengelig på virksomhetens nettsider; https://veetmaya.no/personvern, denne siden.


5          Kartlegging av behandling


5.1         Protokoll

En oversikt over behandlingsaktiviteter i henhold til artikkel 30 finnes i dokumentet «Personvern - Oversikt over personopplysninger som behandles – Veet Maya Fjellstad.pdf».


5.2         Rutinebeskrivelser


5.2.1        Ny klient

Når en potensiell ny klient tar kontakt avtales det et første møte. Om møtet fører til at det inngås en avtale så lagres den signerte avtalen og kontaktopplysninger i låsbart arkivskap, separat fra journal.


5.2.2        Journalføring

Det føres journal etter hver time. Den oppbevares i låsbart arkivskap.


5.2.3        Fakturering og oppfølging

Kunden betaler vanligvis etter hver time eller etter annen avtale, og kvittering skrives på papir.


5.2.4        Innsyn

De registrerte har rett til innsyn i egne personopplysninger. Følgende prosedyre skal følges:


 

 


 

 

 





5.2.5        Korrigering

De registrerte har rett til å få korrigert egne personopplysninger. Følgende prosedyre skal følges:

 










5.2.6        Retten til begrensning

Dette vil være det samme som å avslutte avtaleforholdet og anses som ikke relevant.


5.2.7        Retten til å motsette seg behandling

Virksomheten har ikke behandlinger hvor det er aktuelt å motsette seg behandling.


5.2.8        Overføring av sine personopplysninger (Dataportabilitet)

Virksomheten anser kravet til dataportabilitet å være dekket gjennom rutinen for innsyn.


5.2.9        Retten til å bli glemt

De registrerte har rett til å "bli glemt", dvs. å avslutte avtaleforholdet og få personopplysninger slettet. Følgende prosedyre skal følges:

 








 














6          Databehandlere

Virksomheten bruker følgende eksterne databehandlere:

Til regnskap: Tor Øivind Berg.

 

 6.1         Regnskap

Regnskap for virksomheten utføres av regnskapsfører Tor Øivind Berg.


7          Arkivering

Journaler og kontaktinformasjon arkiveres separat i låsbare arkivskap.


8          Informasjonssikkerhet


8.1         Konfidensialitet

Alle dokumenter med personopplysninger oppbevares i låst arkivskap og er ikke tilgjengelig for uvedkommende.


8.2         Integritet

Alle dokumenter med personopplysninger oppbevares i låst brannsikkert arkivskap og er beskyttet mot skader og ødeleggelser.


8.3         Tilgjengelighet.

Alle dokumenter med personopplysninger er lett tilgjengelig ved behov.


9          Innebygd personvern

Virksomheten har ingen egenutviklede systemer og tilbyr ingen systemer til andre.


10         Varsling av avvik


10.1       Datatilsynet

Ved brudd på personvernet skal alltid Datatilsynet varsles. Varsling til Datatilsynet skal skje innen 72 timer etter at avviket ble oppdaget, via skjema i Altinn:

https://www.altinn.no/skjemaoversikt/datatilsynet/melding-om-avvik-datatilsynet/


10.2       De berørte

Varsling til de berørte skal skje når det er sannsynlig at avviket vil medføre en høy risiko for personvernet til de berørte. Det er virksomheten selv som gjør denne vurderingen. Varsling til de berørte skal skje så snart som mulig ved å bruke skjema i dokumentet "Personvern - Varsling til de berørte ved avvik – Veet Maya Fjellstad.docx".


10.3       Rutine for avvikshåndtering

Følgende prosedyre skal følges:
























 

 






















11        Internkontroll

Virksomheten har ikke behov for et omfattende internkontrollsystem. I tillegg til avviksprosedyren dokumentert over finnes det et egenkontrollskjema, dokumentet "Personvern - Årlig egenkontroll - [åååå] – Veet Maya Fjellstad.docx", og en prosedyre for årlig revisjon, se nedenfor.


11.1       Årlig revisjon

Virksomheten skal en gang i året, basert på egenkontrollskjemaet, gjøre følgende:

  1. Revidere all dokumentasjon av personvern og vurdere om det er behov for endringer.
  2. Dokumentere og gjennomføre eventuelle endringer.
  3. Gå gjennom egenkontrollskjemaet og vurdere om det er behov for endringer.
  4. Dokumentere og gjennomføre eventuelle endringer.
  5. Revidere eventuelle avvik siste år.
  6. Slette historikk det ikke lenger er grunnlag for å beholde.
  7. Signere og arkivere egenkontrollskjemaet.

Akt. Nr.

Hvem

Aktivitet

Hvordan

1.

Den registrerte.

Sender krav om innsyn.

Per epost eller brev.

2.

Terapeut.

Eventuelt: Bekreft mottak og informer om tidsfrist (30 dager).

Per epost eller brev.

3.

Terapeut.

Hent personopplysninger fra arkivskapet og epostsystem.

Ta kopi av opplysninger.

4.

Terapeut.

Levere kopien til klienten

Per brev eller personlig.

Akt. Nr.

Hvem

Aktivitet

Hvordan

1.

Den registrerte.

Send krav om korrigering.

Per epost eller brev.

2.

Terapeut.

Eventuelt: Bekreft mottak og informer om tidsfrist (30 dager).

Per epost eller brev.

3.

Terapeut.

Korriger personopplysninger i arkivskapet.

Noter endring i journal/arkiv.

4.

Terapeut.

Bekreft korrigering.

Per brev eller epost.

Akt. Nr.

Hvem

Aktivitet

Hvordan

1.

Den registrerte.

Send krav om å "bli glemt".

Per epost eller brev.

2.

Terapeut.

Eventuelt: Bekreft mottak og informer om tidsfrist (30 dager).

Per epost eller brev.

3.

Terapeut.

Slett personopplysninger i arkiv. Kan gjøres ved å anonymisere eller pseudonymisere "kundekortet".

Manuelt i arkivet.

4.

Terapeut.

Søk etter den registrerte i epostarkivet og slett all epost. <husk at det er lov til å ta vare på epost som kan tenkes å være nødvendig for å håndtere en reklamasjon eller forsvare et rettskrav>

Manuelt i epostsystemet.

5.

Terapeut.

Søk etter den registrerte i filarkivet og slett, anonymiser eller pseudonymiser alle dokumenter. <husk at det er lov til å ta vare på dokumenter som kan tenkes å være nødvendig for å håndtere en reklamasjon eller forsvare et rettskrav>

Manuelt i arkivet

6.

Terapeut.

Bekreft at avtaleforholdet er avsluttet.

Per epost eller brev.

Akt. Nr.

Hvem

Aktivitet

Hvordan

1.

Den som oppdager eller informeres om avviket.

Informer Terapeut.

Per telefon.

Tilgjengelig dokumentasjon sendes per epost.

2.

Terapeut.

Beskriv omfanget.

Lag en liste over hvor mange:

  1. Personer som er eksponert.
  2. Personer eller virksomheter som har mottatt opplysningene.

Listen skal inneholde kontaktopplysninger, minst navn og enten epostadresse eller telefonnummer.

3.

Terapeut.

Kartlegg mulige konsekvenser.

Basert på omfang og det aktuelle avviket, lag liste over mulige konsekvenser.

4.

Terapeut.

Kartlegg mulige tiltak.

Basert på mulige konsekvenser lages liste over tiltak.

5.

Terapeut.

Iverksett tiltak umiddelbart hvis nødvendig.

Avhengig av situasjonen.

6.

Terapeut.

Vurder om det er sannsynlig at avviket vil medføre en middels eller høy risiko for personvernet til de berørte.

Basert på omfang, konsekvens og sannsynlighet, vurderes risiko.

Hvis ja:

7.

Terapeut.

Fyll ut varslingsskjema til Datatilsynet på Altinn.

Elektronisk skjema på Altinn via nettleser.

8.

Terapeut.

Er det sannsynlig at avviket vil medføre en høy risiko for personvernet til de berørte?

Basert på risikovurderingen i punkt 6.

Hvis ja:

9.

Terapeut.

Fyll ut skjema til de berørte.

Bruk skjema beskrevet under 10.2 "De berørte".

10.

Terapeut.

Send skjemaet til de berørte på listen.

Manuelt per epost.

Og uansett:

11.

Terapeut.

Vurder eventuelle ytterligere tiltak.

Avhengig av situasjonen.

12.

Terapeut.

Evaluer om iverksatte tiltak har lukket avviket.

Vurder om tiltakene var gode nok. Hvis ikke, gå til punkt 11.

13.

Terapeut.

Dokumenter avviket, avviksbehandlingen og eventuelle tiltak for den årlige revisjonen.

Avviksskjema lagres i mappe lokalt på behandlers passordbeskyttede datamaskin.

Telefon: 98 40 58 30

Adresse: Rosenborggata 3, Majorstuen