Hvis du er behandler så er der en del krav til dit online bookingsystem. Du skal bl.a. have en databehandleraftale med udbyderen, som Datatilsynet skriver på deres hjemmeside: ”Ved brug af en ekstern databehandler til håndtering af oplysninger om klienter, skal persondatalovens § 42 om skriftlig databehandleraftale mv. følges. Det gælder eksempelvis, når der anvendes et eksternt dokumentarkiv, tidsbestillingssystem e.l. på internettet.” I nedenstående tabel kan du sammenligne 8 bookingsystemer og se hvorvidt de lever op til kravene i Persondataforordningen. Forbehold: Tabellen viser kun hvad udbyderen selv har oplyst på deres hjemmeside eller via e-mail. Vi har ikke forholdt os til om eksempelvis deres databehandleraftale er god nok. Tabellen er senest opdateret 22. December 2017.

Terapeut booking CBit – terapeut Cyber booking Gecko booking Onlinebooq Klikbook Timecenter SuperSaas
Databehandleraftalea Ja Ja Nej Ja Ja Nej2 Nej Nej2
Privatlivspolitikb Ja Ja Nej Ja Ja Ja Ja Ja
Salgsbetingelserc Ja Ja Ja Ja Ja Ja Ja Ja
Data i EUd DK DK ? DK Ja DK UK1 Ja
TLS Krypteringe Ja Ja Ja Ja Ja Ja Ja Ja
Backupf Ja Ja ? Ja Ja Ja ? Ja
Logning af journal adgangg Ja Ja ? Ja Ja Nej Nej na4
Styring af journal adgangh Ja Ja ? Ja ? ? ? na4
Data gemmes kryptereti Ja3 Nej ? ? Ja Ja Nej na4
Export af journalj Ja Ja ? ? Ja Nej Nej na4
Søgning på gamle recordsk Ja Ja ? Ja Ja Ja ? na4

 

Bemærkninger

  1. Databehandleraftalen er lovpligtig og bestemt i Persondataloven §42 og i artikel 28 stk. 3 i forordningen. Datatilsynet skriver på deres hjemmeside: ”Ved brug af en ekstern databehandler til håndtering af oplysninger om klienter, skal persondatalovens § 42 om skriftlig databehandleraftale mv. følges. Det gælder eksempelvis, når der anvendes et eksternt dokumentarkiv, tidsbestillingssystem e.l. på internettet.
  2. Udbyderen bør have en privatlivspolitik. Heri skal det bl.a. fremgå hvilke data de indsamler, hvad de bruger data til og hvilke cookies de benytter. (forordningen art. 5, stk. 1a)
  3. Ligeledes bør udbyderen have nogle generelle salgs og leveringsbetingelser. Her skal det fremgå under hvilke vilkår du køber deres produkt.
  4. Data skal ligge indenfor EU eller i et EØS land, jvnf. §27 i persondataloven. Efter Brexit er Englands status usikker
  5. Datatransmission over internettet er usikkert og skal derfor krypteres
  6. Iflg. Journalføringsbekendtgørelsen §18 stk 3, er du forpligtiget til at tage backup af data
  7. Hvis flere personer har adgang til journalen, så er det vigtigt at i kan spore hvem der har læst i hvilke journaler
  8. Adgangen til journalen skal kunne begrænses således at en medarbejder/vikar ikke har adgang til flere journaler end nødvendigt, jvnf. punkt 1 i vejledning fra Datatilsynet
  9. Data bør gemmes krypteret på disken og i backup, gerne således at udbyderen ikke selv har adgang
  10. Hele journalen skal kunne eksporteres (krav om dataportabilitet, artikel 20 i forordningen). Ligeledes skal det være muligt at eksportere journal for en enkelt person (ret til indsigt, artikel 15 i forordningen)
  11. Gamle data skal slettes, typisk 5 år efter sidste behandling. Systemet skal derfor give mulighed for at fremsøge klienter der har være inaktive

 

Noter

  1. England er på vej ud af EU. I følge Timecenter vil data blive flyttet til Frankfurt inden forordningen træder i kraft.
  2. Har lovet at være klar inden maj 2018 når persondataforordningen træder i kraft. Bemærk dog at man også efter nuværende regler skal have en databehandleraftale med sine databehandlere.
  3. Data er krypteret, men udbyder har adgang
  4. Har ikke journal

Har du selv prøvet et af ovenstående bookingsystemer? Så hører vi gerne fra dig. Opret en kommentar herunder og fortæl om dine erfaringer mht. til service, priser, features m.v.