GDPR a terápiás gyakorlatban — Útmutató pszichológusoknak és terapeutáknak
Terapeutaként különleges személyes adatokat kezelsz — egészségügyi és pszichológiai információkat, amelyekre a legszigorúbb adatvédelmi szabályok vonatkoznak. De pontosan mit kell tenned? Milyen dokumentumokra van szükséged? És milyen hibákat kerülj el mindenáron?
Miért érint téged különösen a GDPR?
A GDPR (General Data Protection Regulation — Általános Adatvédelmi Rendelet) 2018 óta érvényes az EU-ban. A rendelet megkülönböztet „általános" és „különleges" személyes adatokat. Terapeutaként szinte kizárólag különleges adatokkal dolgozol:
Különleges személyes adatok a terápiás gyakorlatban:
- Egészségügyi adatok: diagnózisok, tünetek, gyógyszerszedés, korábbi kezelések
- Pszichológiai adatok: terápiás jegyzetek, rajzok, teszteredmények, trauma-történet
- Szexuális orientáció, vallási meggyőződés: ha a terápia során felmerül
- Gyermekek adatai: kiskorú kliensek esetén fokozott védelem
Ezekre az adatokra a GDPR 9. cikke vonatkozik, amely kimondja, hogy különleges adatokat kizárólag kifejezett, írásbeli hozzájárulás alapján kezelhetsz. Ez nem opcionális — ez törvényi kötelezettség.
Az 5 dokumentum, amit minden terapeutának használnia kell
1. Adatkezelési tájékoztató
Részletezi, hogy milyen adatokat kezelsz, miért, meddig, és milyen jogai vannak a kliensnek (hozzáférés, törlés, hordozhatóság). Ezt az első ülés előtt meg kell kapnia a kliensnek.
2. Különleges adatkezelési hozzájárulás
Kifejezett, írásbeli hozzájárulás a pszichológiai és egészségügyi adatok kezeléséhez. A GDPR 9. cikke ezt kötelezővé teszi — egy általános hozzájáruló nyilatkozat nem elég.
3. Terápiás szerződés
A terápia kereteit rögzíti: ülések gyakorisága, díjszabás, lemondási feltételek, titoktartás határai. Ez nem azonos az adatkezelési hozzájárulással.
4. Szülői/gondviselői hozzájárulás
16 év alatti kliens esetén a szülő vagy gondviselő írásbeli hozzájárulása szükséges mind a terápiához, mind az adatkezeléshez.
5. Adatfeldolgozói szerződés (DPA)
Ha bármilyen szoftvert használsz (számlázó, naptár, email), az adott cég az adatfeldolgozód. A GDPR 28. cikke szerint írásbeli szerződésre van szükség velük. A legtöbb SaaS szolgáltató (Billingo, Google) biztosít ilyet — de ellenőrizned kell.
A SKEMALOG-ban mind az 5 dokumentum elérhető
10 beépített magyar nyelvű sablon, amelyeket jogászokkal készítettünk. A kliens digitálisan aláírja, a dokumentum titkosítva tárolódik, és bármikor letölthető PDF-ben. Nem kell ügyvédhez fordulnod a sablonokért.
A 7 leggyakoribb GDPR-hiba a terápiás gyakorlatban
WhatsApp-on vagy Messengeren kommunikálsz a kliensekkel
A WhatsApp és Messenger titkosított ugyan, de a Meta (Facebook) hozzáfér a metaadatokhoz (ki, kinek, mikor írt). Ez egészségügyi adatkezelés szempontjából nem elfogadható.
Titkosítatlan e-mailben küldesz terápiás jegyzeteket
A hagyományos e-mail nem titkosított. Ha terápiás jegyzeteket, összefoglalókat vagy dokumentumokat küldesz e-mailben, bárki lehallgathatja — ez adatvédelmi incidens.
A kliens adatait papíron, nyitott szekrényben tárolod
A GDPR megköveteli a „megfelelő technikai és szervezési intézkedéseket". A zárt szekrény minimum — de a papíralapú tárolás önmagában kockázatos (tűz, lopás, elvesztés).
Nincs adatkezelési hozzájáruló nyilatkozatod
Ha nincs írásbeli hozzájárulás, jogalap nélkül kezeled a kliens különleges adatait. Ez a legsúlyosabb GDPR-szabálysértés.
A Google Drive-on vagy Dropboxon tárolod a jegyzeteidet
A Google és a Dropbox nem EU-ban tárolja az adatokat, és a személyzetük hozzáférhet a fájlokhoz. Egészségügyi adatok esetén ez nem GDPR-kompatibilis.
Nem tudod, meddig őrizheted az adatokat
Az adatmegőrzési időt előre meg kell határozni és közölni a klienssel. A terápia befejezése után nem tarthatod korlátlan ideig az adatokat.
Nincs terved adatvédelmi incidensre
Ha elveszik a füzeted, ellopják a laptopodat, vagy feltörik a fiókodat — 72 órán belül értesítened kell a NAIH-ot (Nemzeti Adatvédelmi és Információszabadság Hatóság). Ha nincs terved erre, már késő akkor kidolgozni.
Mit jelent a végponttól végpontig titkosítás (E2EE)?
A legtöbb szoftver „titkosítja" az adatokat — de ez általában csak annyit jelent, hogy a szerveren titkosítva tárolódnak. A szoftver üzemeltetője azonban hozzáfér a kulcshoz, tehát el tudja olvasni az adataidat.
Szerver oldali titkosítás
Az adatok a szerveren titkosítottak, de a szoftver üzemeltetője birtokolja a kulcsot. Elméletileg bármikor elolvashatja a kliens adatait.
A legtöbb szoftver ezt használja.
Végponttól végpontig titkosítás (E2EE)
Az adatok a te eszközödön titkosítódnak, mielőtt elhagynák a gépedet. A szerveren csak titkosított adat van — a kulcs kizárólag nálad van.
A SKEMALOG ezt használja (AES-256-GCM).
A végponttól végpontig titkosítás azt jelenti, hogy még a SKEMALOG csapata sem tudja elolvasni a kliensed adatait — sem a nevét, sem a jegyzeteket, sem a dokumentumokat. Ez a GDPR szempontjából a lehető legerősebb technikai intézkedés.
A kliens jogai — és hogyan biztosítsd őket
A GDPR 15-20. cikkei szerint a klienseidnek a következő jogaik vannak:
Ha papíron vagy Excelben tartod a kliensadatokat, ezeket a jogokat nagyon nehéz biztosítani. Egy dedikált rendszerben (mint a SKEMALOG) egy kattintással exportálhatod vagy törölheted egy kliens összes adatát.
GDPR Ellenőrző Lista terapeutáknak
GDPR-kompatibilis praxiskezelés
10 magyar GDPR sablon, E2E titkosítás, EU adattárolás — a SKEMALOG-ban az adatvédelem nem utólag jön, hanem alapból benne van.
Ingyenes Próba Indítása