Redegørelse af GDPR-roller for Health Groups ydelser

Link til aftale vedr. fælles dataansvar

Link til databehandleraftale

I henhold til GDPR (General Data Protection Regulation) er det vigtigt at identificere og klarlægge rollerne som enten dataansvarlig, databehandler eller fælles dataansvar, særligt når det kommer til behandling af personoplysninger.

Det skal bemærkes, at den endelige vurdering af, hvilken rolle der gælder for de enkelte ydelser, skal det baseres på den konkrete aftale mellem Health Group og den pågældende kunde. Nedenstående er en generel vurdering baseret på den almindelige måde ydelserne leveres på og skal revurderes ved tilpasning af ydelsen.

Når vi vurderer de almindelige ydelser fra Health Group, kan følgende gruppering foretages:

Health Group som dataansvarlig

I denne rolle er det Health Group, der afgør formålet og midlerne til behandling af personoplysninger.

Hvis kunden, typisk arbejdspladsen, vælger at oprette medarbejdere hos Health Group via stamdata vil der være tale om en videregivelse af personoplysningerne til Health Group. Dette kan fx være en liste med navn, e-mail adresser, telefonnumre, afdeling og andre ”tags” på de medarbejdere, der skal modtage ydelserne. Denne videregivelse vurderes ikke at være en databehandling på jeres vegne, men en videregivelse fra jer som dataansvarlig til Health Group som dataansvarlig, med formålet at vi kan oprette korrekte brugerkonti til medarbejderne til de ydelser I har bestilt.

Hjemlen for jer som arbejdsplads vil være Databeskyttelseslovens § 12, stk. 1 eller stk. 2, såfremt I giver ydelserne til medarbejderne, som del af en overenskomst eller GDPR Art.6(1)(f) ”interesseafvejningsreglen”, såfremt I giver ydelserne til medarbejderne som del af jeres arbejdsmiljøtilbud.

Health Group vil herefter selv gennemføre oplysningspligten overfor den registrerede (medarbejderen) og sørge for en gyldig behandlingshjemmel (oftest samtykke).

Her kan følgende ydelser falde under denne kategori:

Sundhedstjek

Hos Health Group tilbyder vi sundhedstjek med fokus på at forbedre livsstil og sundhed hos medarbejderne i din virksomhed.

Et sundhedstjek hos Health Group indeholder blandt andet:

• Sundhedsscreening indeholdende spørgsmål om medarbejdernes sundhed, trivsel og motivation.
• Fysiologiske målinger – herunder måling af kolesterol, fedtprocent, blodsukker, kondital m.m.
• En motiverende samtale med fokus på personlige målsætninger.
• Opfølgning via samtale og sundhedsportal.
• Virksomheden får en detaljeret anonymiseret rapport over gennemsnitsresultater.

Health Groups er dataansvarlig da Health Group definerer spørgsmålene i sundhedsscreeningen og sundhedskonsulenten sammen med medarbejderen definerer det videre forløb.

Health Group står for IT driften af DigiHealth herunder løbende drift og udvikling af løsningen, beslutninger om hvilke personoplysninger der er nødvendige at behandle for at sikre en god oplevelse, oplysningspligttekster, indhentning af eventuelt samtykke, cybersikkerhed mv.

Psykologisk krisehjælp

Health Group leverer via vores landsdækkende netværk af krisepsykologer hjælp indenfor 24 timer. Alle medarbejdere kan komme til at stå i en situation, hvor det kan være nødvendigt at få professionel hjælp til at kunne håndtere arbejdsmæssige eller familiemæssige problematikker.

Ydelsen leveres af Health Group som står for valget af autoriseret psykolog jf. psykologloven.

Health Group er dataansvarlig for den behandling, der sker frem til tidspunktet for henvisningen til psykologen (formidlingen) som sker ved direkte kontakt mellem den enkelte medarbejder og krisenetværket af psykologer, hvorefter den enkelte psykolog er dataansvarlig for det videre behandlingsforløb herunder journalføring jf. Bekendtgørelse om autoriserede psykologers pligt til at føre ordnede optegnelser.

Ønsker arbejdsgiver oplysninger retur, fx rapport, indhentes det direkte hos psykologen på baggrund af samtykke mellem arbejdspladsen og medarbejderen.

Ergonomisk gennemgang

Health Group sørger for, at de fysiske arbejdsvilkår er tilrettelagt på en måde, så medarbejdere har de bedste forudsætninger for ikke at få smerter og gener – og i værste konsekvens langvarige skader. Vores fysioterapeut kommer ud på jeres arbejdsplads, og gennemgår konkrete øvelser, indstiller arbejdsstationer og rådgiver om sunde arbejds- og livstilsvaner. Gennemgangen kan også foregå online, hvis det foretrækkes.

Health Group er dataansvarlig for den behandling, der sker frem til tidspunktet for henvisningen til fysioterapeuten (formidlingen), hvorefter den enkelte fysioterapeut er dataansvarlig, som autoriseret sundhedsperson under autorisationsloven og træffer beslutninger om hvilke personoplysninger, der er nødvendige at behandle, herunder eventuel journalføring jf. Journalføringsbekendtgørelsen.

Health Group står for IT driften af DigiHealth herunder løbende drift og udvikling af løsningen, beslutninger om hvilke personoplysninger der er nødvendige at behandle for at sikre en god oplevelse, oplysningspligttekster, indhentning af eventuelt samtykke, cybersikkerhed mv.

Online træning

Health Group tilbyder kompetente og energiske undervisere, som tager udgangspunkt i jeres virksomheds mål med træningen. De er trænet i at guide og skalere øvelser online, så alle kan deltage uanset niveau og vil lægge hjerte og kræfter i at motivere alle medarbejdere. Onlinetræningen foregår gennem jeres foretrukne online kommunikationsplatform, eksempelvis Teams eller Zoom og kan oprettes som enten åbne links eller en invitation i medarbejdernes kalender.

Health Group er dataansvarlig, da det er Health Groups undervisere der interagerer med medarbejderne og vælger, hvilke personoplysninger der er nødvendige at behandle for at sikre et godt træningsforløb under hensyntagen til hver medarbejders individuelle behov.

Kombinationsbehandling

Health Groups kombinationsbehandling indebærer 4 elementer:

• Hands on

Manuel behandling. Ledmanipulationer, fysiurgisk massage, akupunktur, kinesiologi mv.

• Information og rådgivning

Oplysning og gode råd om skadesforebyggelse, sundhed og skadesindsigt samt en motiverende samtale med alle medarbejderne.

• Ergonomi

Ergonomisk gennemgang og indstilling af hver enkelt arbejdsstationen, så smerter og skader forebygges.

• Træning

Træningsterapi og træningsvejledning enten hjemme, i fitnesslokalet eller sammen med fysioterapeuten.

Health Group er dataansvarlig for den behandling, der sker frem til tidspunktet for henvisningen til fysioterapeuten (formidlingen), hvorefter den enkelte fysioterapeut er dataansvarlig, som autoriseret sundhedsperson under autorisationsloven og træffer beslutninger om hvilke personoplysninger, der er nødvendige at behandle, herunder eventuel journalføring jf. Journalføringsbekendtgørelsen.

Health Group står for IT driften af DigiHealth herunder løbende drift og udvikling af løsningen, beslutninger om hvilke personoplysninger der er nødvendige at behandle for at sikre en god oplevelse, oplysningspligttekster, indhentning af eventuelt samtykke, cybersikkerhed mv.

Proceskonsultation

Health Group A/S tilrettelægger og gennemfører en bred vifte af aktiviteter og processer rettet mod et særligt behov i virksomheden. Vores proceskonsulent arbejder professionelt med at skabe balance imellem vores kunders forretningsmæssige vækst og lederens- og medarbejdernes personlige udvikling.

Oftest vil Health Groups dataansvar begrænses til det tidspunkt proceskonsulenten går i gang med opgaven. Health Group vil forud herfor efter aftale med kunden videregive anonymiseret data i form af APV eller MTU (medarbejdertrivselsundersøgelse) resultater.

Psykomotorisk terapi – Relaxation treatment

Den grundlæggende behandlingsform der udføres i Health Groups koncept ’Relaxation Treatment’ er psykomotorisk terapi. Psykomotorisk terapi er et evidensbaseret behandlingskoncept, som sikrer bedre samspil mellem krop, psyke og sundhed

Relaxation Treatment skal ses som en pendant til andre terapeutiske behandlinger fx fysioterapi. Der er dog den forskel, at medarbejderen ikke nødvendigvis behøver at have smerter i bevægeapparatet for at modtage Relaxation Treatment. Det kan være medarbejdere, som har et højt stressniveau, eller har brug for at finde ro via afspændende øvelser. Det kan også være medarbejdere som oplever fysiske udfordringer fx at være muskulært anspændt, har gentagne hovedpine eller oplever hjertebanken.

Health Groups behandlere træffer beslutninger om hvilke personoplysninger, der er nødvendige at for at sikre en god terapi og derigennem bliver Health Group dataansvarlig.

Health Group står for IT driften af DigiHealth herunder løbende drift og udvikling af løsningen, beslutninger om hvilke personoplysninger der er nødvendige at behandle for at sikre en god oplevelse, oplysningspligttekster, indhentning af eventuelt samtykke, cybersikkerhed mv.

Firma Fitness

Health Group tilbyder Firma Fitness som inkluderer løsninger til alle former for fysisk aktivitet, der kan foregå på en arbejdsplads, dvs. alt fra oprettelse og drift af nye eller eksisterende motionsrum til aktive pauser, personlig træning, holdtimer, mm.

Personlig træning og holdtimer gennemføres af kompetente og energiske undervisere, som tager udgangspunkt i jeres virksomheds mål med træningen. De er trænet i at guide og skalere øvelser, så alle kan deltage uanset niveau og vil lægge hjerte og kræfter i at motivere alle medarbejdere.

Health Group er dataansvarlig, da det er Health Groups undervisere der interagerer med medarbejderne og vælger, hvilke personoplysninger der er nødvendige at behandle for at sikre et godt træningsforløb under hensyntagen til hver medarbejders individuelle behov.

Health Group står for IT driften af DigiHealth herunder løbende drift og udvikling af løsningen, beslutninger om hvilke personoplysninger der er nødvendige at behandle for at sikre en god oplevelse, oplysningspligttekster, indhentning af eventuelt samtykke, cybersikkerhed mv.

Som del af løsningen kan der også gives adgang til MyWelness appen fra Technogym, i den forbindelse har Health Group indgået databehandleraftale med Technogym.

Firma Massage

Health Groups massør træffer beslutninger om hvilke personoplysninger, der er nødvendige at behandle for at sikre en god massagebehandling og derigennem bliver Health Group dataansvarlig.

Health Group står for IT driften af DigiHealth herunder løbende drift og udvikling af løsningen, beslutninger om hvilke personoplysninger der er nødvendige at behandle for at sikre en god oplevelse, oplysningspligttekster, indhentning af eventuelt samtykke, cybersikkerhed mv.

Helbredskontrol af natarbejdere

Helbredskontrollen skal tilbydes til alle medarbejdere, der udfører mindst tre timer af deres daglige arbejde i tidsrummet 22.00 – 05.00, eller som arbejder mindst 300 timer i dette tidsrum inden for en periode på 12 måneder.

GDPR vurderingen er den samme som sundhedstjek.

Health Group som databehandler

I denne rolle behandler Health Group alene personoplysningerne på vegne af en dataansvarlig, der afgør formålet og midlerne til behandling af personoplysninger.

Kunden, typisk arbejdspladsen, vil i den situation indgå en databehandleraftale med Health Group der indeholder en præcis instruks om databehandlingen der skal foretages. Kunden vil have ansvaret for en tydelig hjemmel for behandlingen og i øvrigt have hovedparten af forpligtelserne under GDPR.

Som udgangspunkt falder Heath Groups ydelser ikke i denne kategori, men særaftaler med jer kan medføre at vi er databehandler og i disse tilfælde indgår vi en databehandleraftale med jer.

Health Group og kunden har et fælles dataansvar

I denne rolle deler både den dataansvarlige og databehandleren ansvaret for nogle aspekter af databehandlingen. Der indgås en aftale om fælles dataansvar baseret på skabelonen fra det Danske datatilsyn hvor ansvarsområderne fordeles.

Her kan følgende ydelser falde under denne kategori:

Arbejdspladsvurdering

Udgangspunktet for behandlingen af personoplysningerne er en komplet løsning hvor Health Group har designet spørgeskemaet og dermed definerer, hvilke personoplysninger der skal behandles og hvilke formål oplysningerne indsamles til, fx overordnet kvalitetssikring af APV-undersøgelsen.

Da kunden deltager i beslutning om tilpasning af spørgsmål, herunder om der skal ændres i spørgerammen samt om der skal tilføjes ekstra spørgsmål for at leve op til eventuelle CSR-krav (fx diversitetsansættelser og -trivsel), vil der som udgangspunkt være tale om et fælles ansvar mellem Health Group og kunden.

Health Group står for IT driften af det anvendte IT-system DigiHealth herunder løbende drift og udvikling af løsningen, beslutninger om hvilke personoplysninger der er nødvendige at behandle for at sikre en god oplevelse, oplysningspligttekster, indhentning af eventuelt samtykke, cybersikkerhed mv.

I enkelte tilfælde kan der anvendes et alternativt IT-system Enalyzer. Enalyzer anvendes efter aftale med kunden i tilfælde af at DigiHealth ikke findes kompatibel med kundens behov.

Trivselsundersøgelse

En trivselsundersøgelse vil som oftest tage udgangspunkt i Health Groups standardspørgeramme, hvormed Health Group definere hvilke personoplysninger der skal behandles og til hvilket formål. Da kunden vil bistå med tilpasning/tilføjelse af spørgsmål, vil udgangspunktet være et fælles dataansvar mellem Health Group og kunden.

Health Group står for IT driften af det anvendte IT-system DigiHealth herunder løbende drift og udvikling af løsningen, beslutninger om hvilke personoplysninger der er nødvendige at behandle for at sikre en god oplevelse, oplysningspligttekster, indhentning af eventuelt samtykke, cybersikkerhed mv.

I enkelte tilfælde kan der anvendes et alternativt IT-system Enalyzer. Enalyzer anvendes efter aftale med kunden i tilfælde af at DigiHealth ikke findes kompatibel med kundens behov.