Nedan är ett utkast på hur VGR:s GDPR-projekt tänkt sig att informera på webben om hur vi registrerar och hanterar personuppgifter. Utöver detta ska förstås information om behandling av personuppgifter ges just när behandling eller insamling sker. Nedan utkast handlar om hur man som medborgare kan återkomma till frågeställningen när man inte längre har kvar en broschyr eller annan lapp om personuppgiftsbehandling.
Inspirerad av arbetet med arbetet bakom PSI-direktivet väckte jag frågan hos PTS:s (Post och Telestyrelsen) referensgrupp för webbriktlinjerna (där jag ingår) om det behövs en namnstandard för hur man når denna typ av information på myndighetssajter. Det lutar åt att innehållet landar på antingen /dataskydd eller /gdprinfo
Argumentet för den första är att den är förklarande, men problemet är att det gör anspråk på en adress som vissa kan vilja använda till något annat. Exempelvis vi som vårdgivare kan ha andra intressen att diskutera gällande dataskydd eftersom vi också lever efter Patientdatalagen (PDL). Det kan också vara så att vissa organisationer har avdelningar som heter just dataskydd och att det innebär ett onödigt intrång i självbestämmandet.
Argumentet för /gdprinfo är att det är specifikt till det frågan gäller. Men samtidigt blir det lite dumt då det är ett direktiv, och inte den svenska lagen, som heter GDPR.
Hur som helst. Nedan är det utkast vi tagit fram för att informera medborgarna när de kommer på att de vill oss något som har med dataskydd att göra. Energin har lagts på att få medborgaren att förstå att de har rättigheter.
Detta är en informerande text, och nej, den har inte manglats igenom av jurister utan är mer av en kommunicerande karaktär (och ett utkast).
Ha därför gärna åsikter!
Information till registrerade (utkast)
Här får du en översikt kring hur Västra Götalandsregionen (VGR) hanterar personuppgifter och jobbar med att skydda dessa uppgifter i enlighet med dataskyddsförordningen. Även om de anställda inom VGR samlas vissa personuppgifter in (kommer länka till annan sida på vår webbplats).
Introduktion
Västra Götalandsregionen använder personuppgifter som en naturlig del av vår verksamhet. Bland annat behöver personal inom vården vissa personuppgifter för att erbjuda god och patientsäker vård. Vi som använder dina personuppgifter har ett stort ansvar att skydda dem. Du som är registrerad har rätt att begära ett registerutdrag för att kunna kontrollera vilken information som finns registrerad om dig. Om vi har felaktiga, ofullständiga eller missvisande uppgifter om dig är vi skyldiga att rätta dessa uppgifter. Dessa frågor tar du direkt med personuppgiftsansvarig (PuA) eller dataskyddsombud (DSO) på den verksamheten, se kontaktuppgifter nedan. Du har också rätt att veta om när vi samlar in dina personuppgifter, det ska vi normalt sett tala om samtidigt som vi samlar in uppgifterna och att lämna ifrån sig uppgifter är frivilligt.
I vissa fall har du rätt att kräva att dina personuppgifter raderas. Exempelvis kan du ta tillbaka ditt samtycke. Även om insamlingen inte behövt ett samtycke har du rätt att få uppgifter om dig raderade om de inte kan motiveras av verksamhetens ändamål.
Dessa generella rättigheter gäller så länge ingen lag ställer specifika krav. Exempelvis går regler om sekretess och tystnadsplikt före vår skyldighet att lämna ut registerutdrag.
I första hand om du vill lämna in klagomål om att VGR agerar i strid med dataskyddsförordningen är det Datainspektionen (blivande Integritetsskyddsmyndigheten) du vänder dig till.
Verksamheter och deras dataskydd
Regionövergripande dataskyddsombud är Namn Namnsson. Hen kontaktar du ifall…
Vården
Vårdens ändamål med behandling av personuppgifter är att bedriva patientsäker vård. Patientuppgifter är bland annat för att identifiera patienten men också sådant som beskriver sjukdomshistorik, blodgrupp och annat som samlats in beroende på vilka ärenden man haft i kontakt med vården.
Vi har också uppgifter om ditt besök i vården, som vilken mottagning du har en bokad tid hos.
Dessa uppgifter delas mellan aktörer som ger dig vård och det finns ett särskilt regelverk om vem som får lov att ta del av dina uppgifter. Mer detaljer om detta finner du i Patientdatalagen.
Sjukhus ett
- Personuppgiftsansvarig är Namn Namnsson, adress, epost, växelnummer.
- Dataskyddsombud är Namn Namnsson, adress, epost, växelnummer.
Sjukhus två
- Personuppgiftsansvarig är Namn Namnsson, adress, epost, växelnummer.
- Dataskyddsombud är Namn Namnsson, adress, epost, växelnummer.
Utbildning och kultur
Skola ett
- Personuppgiftsansvarig är Namn Namnsson, adress, epost, växelnummer.
- Dataskyddsombud är Namn Namnsson, adress, epost, växelnummer.
Övrigt
Regionstyrelsen samt övrig verksamhet
- Personuppgiftsansvarig är Namn Namnsson, adress, epost, växelnummer.
- Dataskyddsombud är Namn Namnsson, adress, epost, växelnummer.
Mer information om dataskydd och dina rättigheter som registrerad:
- Datainspektionen är tillsynsmyndighet
- Om dataskyddsreformen, av Datainspektionen
Hej!
När det gäller namnstandard så tycker jag absolut inte att man ska använda /gdprinfo. Det är förmodligen få av våra besökare som vet vad den förkortningen står för, mitt förslag är att istället använda ett ngt mer beskrivande namn som ex. /persondataskydd.