DMVO / Privatlivspolitik slutbrugere

Privatlivspolitik slutbrugere

Oplysning fra Dansk Medicin Verifikation Organisation ApS til fremstillere, grossister og personer, der har tilladelse eller ret til at udlevere lægemidler til offentligheden (herefter slutbrugere) i forbindelse med EU databeskyttelsesforordning

V. 1.0. maj 2018

Baggrund
I maj 2018 træder en ny EU-forordning om persondatabeskyttelse i kraft (herefter GDPR). Hos Dansk Medicin Verifikation Organisation ApS (herefter DMVO) har vi naturligvis sat os grundigt ind i databeskyttelseslovgivningen og dens krav til os.

Det betyder blandt andet, at DMVO skal leve op til GDPR’s øgede krav om at informere om indsamling, opbevaring og brug af data. Det gælder også, selvom der udelukkende er tale om oplysninger relateret til slutbrugerens professionelle virke.

GDPR omhandler som udgangspunkt kun persondata. Mange apoteker drives imidlertid på grundlag af en personlig bevilling, og derfor kan oplysninger om apoteksvirksomheden ligeledes ses som værende omfattet af lovgivningen.

Hos DMVO er troværdighed og professionalisme kerneværdier. Formålet med denne oplysningstekst er derfor at give alle de lovpligtige informationer om vores brug af data om slutbrugere i forbindelse med vores drift og administrationen af DMVO. Denne oplysningstekst uddyber i detaljer, hvordan vi behandler data i forhold til vores formål: At etablere, administrere og drive et nationalt datalagringssystem, i overensstemmelse med EU-lovgivningens krav herom[1].



Hvilken type data behandler DMVO
DMVO opbevarer og behandler de oplysninger, der er nødvendige for at leve op til vores formål: at etablere, administrere og drive et nationalt datalagringssystem, i overensstemmelse med EU-lovgivningens krav herom. Det drejer sig om data om den kontaktperson hos slutbrugeren, der er tildelt administratorrollen, samt eventuelle øvrige brugere administrator registrerer, slutbrugerens organisation (herunder apotekets navn og adresse), navn, e-mail og eventuelle øvrige nødvendige kontaktoplysninger samt loginoplysninger ift. datalagringssystemet.

Hvad er formålet med DMVOs databehandling
DMVOs virke er at etablere, administrere og drive et nationalt datalagringssystem, i overensstemmelse med EU-lovgivningens krav herom. Vi opbevarer og behandler data til dette lovbestemte formål. I den forbindelse behandler vi data blandt andet for at kunne indgå end-user-kontrakter med slutbrugerne, tildele sikker adgang til datalagringssystemet, administrere systemet og varetage kommunikation med de registrerede. Endvidere kan vi behandle data som led i at gøre det muligt for de kompetente myndigheder at føre kontrol.

Ud over dette formål, skal vi opbevare og behandle data på en måde, der overholder lovgivning på området, som f.eks. databeskyttelsesloven. Vi skal f.eks. kunne dokumentere, at vi har givet denne oplysningstekst. Vi skal kunne påvise, at vi har besvaret visse typer henvendelser inden for bestemte frister.

Vi er forpligtet til at indføre sikkerhedsforanstaltninger, der kan beskytte data. Dvs. forhindre uautoriseret adgang til it-systemer (hacking), stoppe virusangreb, standse overbelastningsangreb (denial-of-service-angreb) mv. Hvis der alligevel skulle ske et sikkerhedsbrud, kan vi være forpligtede til at fortælle det til både Datatilsynet og den/de berørte individer personligt.

Oplysningerne skal også være opbevaret, så vi kan give Datatilsynet og andre offentlige myndigheder de nødvendige oplysninger, hvis de kommer på tilsyn eller inspektion.

Vi skal også opbevare og behandle oplysninger, så de er tilgængelige, hvis der opstår tvister med tredjeparter og/eller apoteksvirksomheder.

Det juridiske grundlag for indsamling, behandling og videregivelse af data i DMVO
Vores indsamling, behandling og videregivelse af oplysningerne skal stemme overens med GDPR. DMVO har derfor fået foretaget en juridisk analyse for at sikre, at vi har hjemmel til brug af data for at overholde DMVO'ens retlige forpligtelser samt at vores øvrige interesser i den forbindelse er legitime.

Vores juridiske grundlag er, at behandlingen er nødvendig for at overholde en retlig forpligtelse, der påhviler DMVO. Denne retlige forpligtelse findes i EU-forordningen (EU/2016/161) der fastsætter de nærmere regler for sikkerhedselementerne på humanmedicinske lægemidlers emballage og etableringen af et nationalt datalagringssystem i den forbindelse.

I henhold til denne forordning er vi blandt andet forpligtet til at give fremstillere, grossister og personer, der har tilladelse eller ret til at udlevere lægemidler til offentligheden, mulighed for at kontrollere ægtheden af lægemidlers entydige identifikatorer ved hjælp af programmeringsgrænseflader i det nationale datalagringssystem, der administreres af DMVO.

Ligeledes er vi forpligtet til at sikre, at de nationale kompetente myndigheder kan få adgang til systemet og data heri blandt andet i tilfælde af tillsyn og efterforskning af potentielle tilfælde af forfalskninger. Vi er i den forbindelse forpligtet til at sikre, at der i datalagringssystemet oprettes rapporter, der gør det muligt for de kompetente myndigheder at kontrollere at slutbrugerne overholder forordningen.

Endelig er vi forpligtet til at indføre sikkerhedsprocedurer, der sikrer, at kun brugere, hvis identitet, rolle og legitimitet er blevet bekræftet, har adgang til datalageret.

Herudover er en del af de data om slutbrugere, som DMVO behandler, nødvendige for, at vi kan følge de legitime interesser, vi har. Vi har i denne vurdering lagt vægt på følgende:

  1. At data er begrænset til det strengt nødvendige for at varetage DMVO's formål.
  2. At DMVO er en non-profit organisation, der behandler data for det formål at etablere, administrere og drive et nationalt datalagringssystem.
  3. At der for apoteksvirksomhederne er tale om data relateret til apoteksvirksomheden og ikke til apotekerens privatsfære, samt at der for de øvrige slutbrugere er tale om data, der relaterer til den registreredes professionelle virke og ikke til den registreredes privatsfære.
  4. At slutbrugerne har en interesse i, at deres data behandles for at sikre dem adgang til datalagringssystemet, korrekt indgåelse af end-user-kontrakter samt kommunikation i den forbindelse som led i efterlevelsen af EU-lovgivningens krav.
  5. Vi har derudover lagt vægt på vores legitime interesser i at sikre data med alle nødvendige sikkerhedsforanstaltninger og kunne kommunikere og samarbejde med registrerede og de relevante offentlige myndigheder.
  6. Endelig har vi lagt vægt på vores legitime interesse i at kunne håndtere eventuelle tvister.

Hvad er DMVOs datakilder
Oplysningerne indsamles hos slutbrugerne og kan suppleres med oplysninger fra slutbrugernes egen organisation bl.a. i forbindelse med kontraktindgåelse.

Hvem kan behandle data
DMVO kan gøre brug af en eller flere databehandlere. Det er typisk virksomheder, der på vegne af DMVO, behandler oplysninger for DMVO. DMVO bruger Dansk Lægemiddel Information A/S i Danmark og deres underleverandør som databehandler ift. IT-drift og –sikkerhed. Endvidere anvender DMVO en systemleverandør, der leverer datalagringssystemet. Der kan anvendes en systemleverandør og juridisk konsulent i forbindelse med kontraktindgåelse samt udvalgte konsulenter, der hjælper os med driften af DMVO og disses underleverandører.

Overføres data til lande uden for EU/EØS
DMVO og vores databehandlere overfører p.t. ikke oplysninger til lande uden for EU/EØS, men vi forbeholder os muligheden for at gøre det fremover. Hvis der i fremtiden skal ske overførsel til lande uden for EU/EØS har DMVO pligt til at oplyse herom.

Hvor længe opbevares data
DMVO opbevarer de angivne oplysninger, så længe vi har brug for dem til vores formål, som er beskrevet herover, til at opfylde de retlige forpligtelser der påhviler DMVO, og til at varetage relationen til slutbrugerne. Derudover opbevarer vi data i henhold til gældende regler om forældelse af straf- og erstatningsansvar.

Hvad er dine rettigheder i forhold til data
Du har, som registreret, visse rettigheder. F.eks. har du ret til at få indsigt i, hvilke oplysninger vi opbevarer dig som slutbruger. Du har ret til at få ændret forkerte eller misvisende oplysninger. Du har ret til at få persondata om dig slettet, bl.a. såfremt de behandles i strid med lovgivningen, eller ikke er nødvendige for de angivne formål. Du har ret til at gøre indsigelse mod vores behandling af personoplysninger. Og endelig har du ret til at klage til Datatilsynet. Du skal dog være opmærksom på, at vi iflg. GDPR kun er forpligtet til at imødekomme sådanne henvendelser på visse betingelser.

Hvem er dataansvarlig
Dansk Medicin Verifikation Organisation ApS, Lersø Park Allé 101, 2100 København Ø

 

[1] Kommissionens delegerede forordning (EU) 2016/161 af 2. oktober 2015 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2001/83/EF i form af de nærmere regler for sikkerhedselementerne på humanmedicinske lægemidlers emballage.

 

Separat indsigelsestekst vedr. interesseafvejning

Version: 1.0, dato: Maj 2018

Du har ret til at - af grunde, der vedrører din særlige situation - at gøre indsigelse mod behandling af personoplysninger, hvor hjemlen er en legitim interesse. Den dataansvarlige må derefter ikke længere behandle personoplysningerne, medmindre den dataansvarlige påviser vægtige legitime grunde til behandlingen, der går forud for dine interesser, rettigheder og frihedsrettigheder, eller behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares.