For å lese om informasjonskapslene på denne siden, trykk her.
Personvernerklæring. Dette dokumentet beskriver hvordan gestaltterapeuten Per Terje Naalsund oppfyller kravene i personopplysningsloven og EUs personvernforordning, GDPR.
Dokumentet er sist oppdatert 2. september 2019
1. Om virksomheten
Jeg, Per Terje Naalsund er en privatpraktiserende gestaltterapeut, medlem av Norsk Gestaltterapeut Forening (NGF) og registrert i Register for Alternativ Behandling.
Virksomheten tilbyr individualterapi og terapi for par og grupper og har ansvaret for behandling av personopplysninger for sine klienter.
Jeg er også ansvarlig for personvernet i virksomheten. Som terapeut lagrer jeg få personopplysninger. For hver klient lagres kontaktinformasjon i henhold til Helsepersonelloven (navn, adresse, telefonnummer, navn på fastlege og opplysninger om eventuell medisinering). I tillegg kommer anonymiserte journaler.
2. Databehandling
Virksomheten bruker Apples icloud som databehandler. Systemet krever tofaktors pålogging og kommunikasjonen over internett er kryptert. Du kan lese mer om Apples sikkerhetsteknologi her: https://support.apple.com/no-no/HT202303.
Programmene som brukes er pages for kontaktinformasjon og numbers for journalføring. Alle filer som jeg lagrer i icloud er passordbeskyttet.
For kommunikasjon med klienten bruker virksomheten i tillegg programmet mail for fakturering og appen meldinger (sms) via en Android-telefon for kommunikasjon med klienter om avtaler.
Dersom klienten ikke ønsker bruk av mail for fakturering og bruk av meldinger i kommunikasjonen, inngås avtale om bruk av post for fakturering i stedet og direkte telefonsamtale i kommunikasjonen.
3. Vurdering av risiko for personers rettigheter
Jeg vurderer det som at det er lav risiko for brudd på enkeltpersoners rettigheter.
Virksomhetens eget datautstyr og alle eksterne systemer er passordbeskyttet for å hindre uvedkommende i å få tilgang til personopplysninger og annet. Kommunikasjon over internett er kryptert. Trådløse nett på arbeidssted og hjemmekontor er lukket og passordbeskyttet. Det lagres ikke personopplysninger lokalt på virksomhetens datautstyr.
Det er kun jeg, Per Terje Naalsund, som har tilgang til å registrere, endre og slette personopplysninger i egne systemer.
4. Rutiner for personopplysninger
Ved første møte inngås en eventuell avtale mellom klient og terapeut. Kunden får en papirkopi av avtalen, mens kontaktopplysningene fra avtalen lagres i icloud. Terapeutens kopi av avtalen makuleres.
Det føres journal etter hver konsultasjon. Journalen lagres passordbeskyttet på Apples icloud, som også er passordbeskyttet og kryptert. Journalen er anonymisert.
Klienten kan betale via Vipps eller egen bank. Faktura sendes til kunden via epost.
5. Klientens rettigheter til innsyn, korrigering og sletting
De registrerte har rett til innsyn i egne personopplysninger. Dersom klienten ber om innsyn, vil jeg bekrefte mottak av begjæringen og informere om at virksomheten har 30 dager på seg til å levere personalopplysninger. Jeg vil da oversende alle opplysninger som er lagret i icloud, i henholdsvis programmene numbers (journal), pages (kontaktinformasjon) og mail (epost) i tillegg til sms-meldinger sammen med et dokument om virksomhetens personvern. Opplysningene vil bli sendt på epost i form av en zip-fil som kan åpnes ved hjelp av et passord som klienten får på sms. Virksomhetens zip-fil vil bli slettet etter 14 dager.
De registrerte har rett til å få korrigert egne personopplysninger. Etter korrigering, vil de motta en bekreftelse.
De registrerte har også rett til å få slettet sine personopplysninger. Som medlem i NGF må jeg oppbevare opplysningene i minimum 5 år. Dersom klienten krever å få slettet sine personopplysninger før den tid, vil jeg først konferere med NGF om saken, før jeg eventuelt kan etterkomme kravet. Klienten skal få skriftlig bekreftelse om at personopplysningene er slettet dersom klienten har begjært sletting.
6. Varsling av avvik
Hvis det er svikt i rutinene for databehandlingen og avviket viser at det er middels eller høy risiko for lekkasje av personopplysninger, så skal det varsles til Datatilsynet innen 72 timer etter at avviket ble oppdaget. Varsling til de berørte skal skje så snart som mulig og tiltak for å avverge ytterligere lekkasje, settes i verk.
7. Virksomhetens internkontroll.
Virksomheten skal en gang i året revidere all dokumentasjon av personvern, vurdere om det er behov for endringer og gjennomføre eventuelle endringer.
Virksomheten skal en gang i året slette historikk knyttet til klienter som ikke har vært aktive siste 5 år.
Gestaltterapeut Per Terje Naalsund 