Hoppa till innehåll

Dataskyddspolicy

Skapad:  2018-05-20
Reviderad:
2022-03-16

Mottagning Bergmästaren är en registrerad vårdgivare som står under tillsyn av Inspektionen för Vård och Omsorg (IVO). Som vårdgivare inom Hälso- och Sjukvårdsområdet är vi skyldiga att på ett säkert sätt samla in och spara viss information om dig och enligt lag uppfylla kriterier inom patientjournallagen samt bokföringslagen. För att värna om din personliga integritet och informera om vilken information vi kan komma att samla in om dig har denna dataskyddspolicy upprättats. Den beskriver hur vi samlar in och använder dina personuppgifter, dina rättigheter gentemot oss samt hur du kan göra dina rättigheter gällande. Vi rekommenderar att du läser denna dataskyddspolicy noggrant.

  1. Allmänt
  2. Hur vi samlar in personuppgifter och varför
  3. Vilken information samlar vi in?
  4. Vad använder vi personuppgifter till?
  5. Vem får tillgång till dina personuppgifter?
  6. Organisation för personuppgiftshantering
  7. Rätt att begära information, rättelse, radering med mera
  8. Hur länge finns uppgifterna kvar?
  9. Kontaktinformation
  10. Ändringar
  11. Bilaga 1: Viktiga begrepp
  12. Bilaga 2: Personuppgifter
  13. Bilaga 3: Förutsättningar vid behandling av personuppgifter



1. Allmänt

Genom att använda våra tjänster eller genom att tillhandahålla din information accepterar du denna dataskyddspolicy och vår behandling av dina personuppgifter i enlighet med villkoren som anges häri. Du godkänner också att vi förutom post, kan använda elektroniska kommunikationskanaler för att skicka information och kallelser till dig.  

Vi vill uppmärksamma dig på att vi enligt lag är skyldiga att föra patientjournal för varje patient. Därför har vi rätt att registrera dina personuppgifter i vår patientjournal även om du inte givit ditt samtyckte till det.

Du kan alltid kontakta oss vid frågor kring integritets- och dataskydd genom att skicka ett e-postmeddelande till oss på info@mottagningbergmastaren.se

För närmare kontaktinformation, se längre ned i denna dataskyddspolicy.



2. Hur vi samlar in personuppgifter och varför

För att kunna erbjuda en trygg och säker vård och få en bild av ditt hälsotillstånd behöver vi dina personuppgifter. Dina personuppgifter behövs även för uppföljning av verksamhetens arbete samt för att säkerställa att vi levererar hälsovård och andra tjänster av hög kvalitet. Vi arbetar kontinuerligt med kvalitetssäkring och därför används dina personuppgifter även för att vi internt ska kunna följa upp, utveckla och förbättra vår verksamhet.

Vi kan även ta emot dina personuppgifter och relevant journalinnehåll från samarbetspartners, som arbetsgivare, myndigheter samt remitterande vårdgivare (remittent).

Informationen du, samarbetspartners eller remittenten ger oss är generellt sett nödvändig för att ingå en kundrelation med oss, för att vi ska kunna utföra våra tjänster och fullgöra våra rättsliga förpliktelser som vårdgivare. Viss övrig information vi samlar in är generellt sett nödvändig för andra syften, såsom beskrivet i denna dataskyddspolicy.

Vår verksamhet regleras av bland annat Dataskyddsförordningen (GDPR) och Patientdatalagen (PDL) och vi behandlar dina personuppgifter i enlighet med dessa lagar. PDL kräver att vi registrerar dina personuppgifter och vi är skyldiga att föra patientjournal. Därför har vi rätt att registrera dina personuppgifter i vår patientjournal även om du inte lämnat ditt samtycke till det.



3. Vilken information samlar vi in? 

Du kan direkt eller indirekt komma att ge oss information om dig själv på ett antal olika sätt, såsom när du kontaktar oss via telefon, e-post eller på plats på mottagningen. Sådan information kan exempelvis bestå av namn, kontaktinformation, personnummer, e-postadress, mobiltelefonnummer och så vidare.

Informationen kan även innehålla beskrivningar av ditt hälsotillstånd och anledningen till att du eller annan part tar kontakt med oss, dessa personuppgifter är i delar så kallade känsliga personuppgifter eftersom uppgifterna normalt avslöjar hälsa. 

Vissa mer begränsade uppgifter kan även samlas in när du använder vår webbplats, exempelvis IP-adress, webbläsarinställningar, tidszon, operativsystem, och din geografiska placering.



Webbplats och cookies

Mottagning Bergmästarens webbplats använder så kallade cookies för att spara statistik om hur många besökare vi har och vilka sidor de besöker. Syftet är att förbättra webbplatsen och besökarens upplevelse. För detta förs statistik över tid och analys av webbplatsdata genomförs kontinuerligt för att utveckla våra tjänster. Rättsligt stöd för hanteringen är berättigat intresse, IP-numer behandlas ytterst momentant (kortvarigt, övergående).

En cookie är en liten textfil som lagras på användarens dator. Cookies används normalt för att förbättra webbplatsen för användaren, till exempel för att anpassa en webbplats efter besökarens önskemål och val. Det är upp till dig som besökare om du vill acceptera cookies och du kan när som helst stänga av cookies i din webbläsare eller välja att informeras varje gång en webbplats begär att få lagra en cookie. Genom webbläsaren kan också tidigare lagrade cookies raderas.

Du kan använda vår webbplats även utan Cookies. 

Mer information om Cookies

Se din webbläsarens hjälpsidor för mer information om hur du kan begränsa användningen av Cookies.

Vad säger lagen? För att lära dig mer om hur du hanterar cookies.
Läs mer om lagen på Post- och Telestyrelsens webbplats (pts.se)

Vår ambition är att följa Vägledning för webbutveckling som publiceras av Myndighet för digital förvaltning.
Läs mer på webbriktlinjer.se 



4. Vad använder vi personuppgifter till?

Dina personuppgifter behövs för att vi ska kunna erbjuda trygg och säker vård, administrera din betalning och kundförhållandet, för våra analyser och intern verksamhet, samt för att följa upp, utveckla och förbättra vår verksamhet med tillhörande tjänster. Utöver detta måste vi i vissa fall rapportera en del av dina personuppgifter till myndigheter, samarbetspartners och andra avtalsparter.

Vi behöver också använda dina personuppgifter för att föra patientjournal. Bestämmelser om vad skyldigheten att dokumentera och föra patientjournal innebär, finns i Patientdatalagen. Bland annat ska en patientjournal innehålla de uppgifter som behövs för en god och säker vård av patienten; uppgifter om patientens identitet; väsentliga uppgifter om bakgrunden till vården; uppgift om ställd diagnos och anledning till mera betydande åtgärder och så vidare. Vi för patientjournal i ett elektroniskt patientjournalsystem (CGM J4). För din säkerhet registreras anrop som går genom vårt elektroniska patientjournalsystem i så kallade loggar. Loggarna gör det möjligt att bland annat utläsa information om vem som har haft tillgång till dina personuppgifter och tid för detta.

Ändamålen och syftena med behandlingen av dina personuppgifter är sammantaget att vi som vårdgivare ska kunna (i) fullgöra våra avtalsenliga och lagenliga förpliktelser, (ii) tillhandahålla, administrera och följa upp din tillgång till våra tjänster, (iii) besvara remisser, (iv) skicka dig information som exempelvis kallelse, genom brev, via e-post eller på annat sätt, (v) analysera efterfrågan, (vi) samt vidareutveckla våra tjänster. Vi använder inte automatiserat beslutsfattande.



5. Vem får tillgång till dina personuppgifter?

Uppgifter om hälsotillstånd klassificeras av dataskyddsförordningen som känsliga personuppgifter. Inom Hälso- och Sjukvårdsområdet råder sekretess för behandling av dessa typer av uppgifter. Vi lämnar därför inte ut sådana personuppgifter om vi inte är skyldiga att göra det enligt lagar och föreskrifter eller om vi erhåller ditt uttryckliga samtycke till detta.  

Vi kan komma att dela dina personuppgifter till avtalspartners för utförandet av våra åtaganden gentemot dig och för andra syften som framgår i den här dataskyddspolicyn.

Leverantörer och underleverantörer

Med ovanstående menas att vi kan komma att dela dina personuppgifter med avtalsparter såsom leverantör av elektroniskt patientjournalsystem och leverantör av elektronisk kommunikationsplattform. Vi vill om än framhålla att avtalspartners inte får någon rätt att använda dina personuppgifter för andra syften än vad som krävs för att uppfylla sitt avtal gentemot oss.

Vi kan även komma att överföra till, eller dela din information med, underleverantörer inom verksamhetsområden som berörs av särskilda ramavtal (uppdragsavtal). Vi vidtar dock alla rimliga legala, tekniska och organisatoriska åtgärder för att säkerställa att din data hanteras säkert och med en adekvat skyddsnivå vid överföring till eller delning med sådana underleverantörer. Vi strävar alltid efter att begränsa tillgång till personuppgifter och endast dela information som skäligen behövs för att underleverantör ska kunna göra sitt arbete eller tillhandahålla sina tjänster.

För att bättre förstå hur Mottagningen behandlar personuppgifter kan du läsa vidare om dataskyddspolicyn under organisation för personuppgiftshantering.

Myndigheter eller liknande 

Vi kan komma att lämna nödvändig information till myndigheter om vi är skyldiga att göra det enligt lag eller om du har godkänt att vi gör det.

Avyttring 

För det fall vi säljer eller köper verksamhet eller tillgångar, kan vi komma att lämna dina personuppgifter till en potentiell säljare eller köpare av sådan verksamheteller sådana tillgångar.



6. Organisation för personuppgiftshantering

Vi arbetar kontinuerligt med att säkerställa att all information samlas in med största möjliga hänsyn till din integritet och patientsäkerhet samt enligt de krav som ställs i lagen. Personuppgifter lagras i huvudsak elektroniskt och raderas löpande i våra system. Personuppgifter som förekommer i verksamheten i form av pappersdokument, exempelvis det arbetsmaterial som används i utredningsarbete, förstörs direkt efter det att du avslutat din utredning hos oss.

Vi vidtar alla lämpliga tekniska och organisatoriska säkerhetsåtgärder som krävs för att skydda dina personuppgifter mot otillbörlig åtkomst, förändring eller förstörelse. Alla personuppgifter hanteras med lämpliga säkerhetsåtgärder som är anpassade utifrån uppgifternas känslighet. Tillgång till dina personuppgifter begränsas till endast personer som är direkt involverade i ditt ärende.

Våra digitala system skyddas av tekniska lösningar såsom funktioner för intrångs- och skalskydd samt åtkomstskydd med personliga inloggningar och lösenord.

Fysiska dokument och pappersburen information förvaras i låsta dokumentskåp, vi tillämpar bland annat nedanstående säkerhetsåtgärder för att skydda dina personuppgifter mot otillbörlig åtkomst.

Behörighetsstyrning

Bara de som har behov av uppgifter får behandla dem.

Delningsplattformar 

För att förhindra att obehöriga tar del av information som delas, exempelvis genom e-post, delas och lagras dokument i verksamhetens interna molntjänst. Vilket möjliggör för att tillgången till informationen kan styras, även i efterhand.

Stark autentisering

Valda tjänster inom vår IT-miljö har stark autentisering, exempelvis genom 2FA (multifaktorautentisering), SSL-certifikat (elektronisk legitimation) och Bank-ID verifiering.

Anonymisering och maskning

Data som presenteras i många av våra system är anonymiserad för att undvika att visa personuppgifter på en individuell nivå.

Krypteringsskydd

Vår molnbaserade delningsplattform lagrar information krypterat.

Skyddade personuppgifter

Särskild dokumentation för hantering av skyddade personuppgifter finns tillgängligt för medarbetare och underleverantörer via det interna nätverket.



7. Rätt att begära information, rättelse, radering med  mera

Vill du veta om vi behandlar personuppgifter om dig kan du skicka en skriftlig och undertecknad begäran till oss, för närmare kontaktinformation, se längst ned i denna dataskyddspolicy.

Notera att det kan finnas begränsningar enligt lag och andra bestämmelser som påverkar dina rättigheter. Du har rätt att kostnadsfritt en gång per kalenderår begära information om vilka personuppgifter vi behandlar om dig och dessutom få eventuellt felaktiga uppgifter rättade.  

Radering

Du har rätt att begära radering av dina personuppgifter för de fall uppgifterna inte längre är nödvändiga för det syfte de blev insamlade för, rätten att bli bortglömd. Beroende på vilken eller vilka personuppgifter som raderas är det inte säkert att vi längre kan tillhandahålla vissa tjänster till dig. Var uppmärksam på att du, för att få en uppgift borttagen i din patientjournal, måste vända dig till Inspektionen för vård och omsorg (IVO) på www.ivo.se. Efter beslut av IVO att journalen helt eller delvis ska förstöras raderas din data av oss. Det kan dock finnas legala skyldigheter för oss som hindrar oss från att omedelbart radera delar av din data. Dessa skyldigheter kommer från bokförings- och skattelagstiftningen samt från konsumenträttslagstiftningen.

Invända mot behandling av uppgift av allmänt intresse och myndighetsutövning 

När personuppgifter behandlas för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning kan du ha rätt att invända mot att personuppgifter behandlas. Du måste då specificera vilka typer av uppgifter som du invänder mot.

Återkalla ditt samtycke

Om du återkallar ditt samtycke till behandling av personuppgifter får ytterligare uppgifter inte behandlas. Du kan när som helst återkalla ditt samtycke. Detta gör du genom att kontakta oss.

Klagomål och skadestånd

Du har rätt att när som helst framföra ett klagomål avseende vår behandling av dina personuppgifter till oss eller till Integritetsskyddsmyndigheten (IMY). Om personuppgifter om dig har behandlats så att de strider mot PDL och/eller GDPR kan du ha rätt till skadestånd.

Rättelse

Du har rätt att när som helst ta kontakt med oss för att kontrollera att uppgifter kring dig är korrekta och rätt att få felaktiga uppgifter kring dig rättade eller kompletterade.

Dataportabilitet

Du har rätt till dataportabilitet, vilket innebär en rätt att få personuppgifterna i ett strukturerat, allmänt använt och maskinläsbart format.  

Ibland lämnas journalen inte ut

Det finns tillfällen då du kan du bli nekad att läsa din journal. Det kan till exempel vara om den ansvarige läkaren bedömer att det finns starka medicinska skäl till det.

Ibland sekretessbeläggs delar i journalen. Det är ofta när det finns uppgifter i journalen som kommer från någon annan person som kan påverkas negativt om uppgifterna lämnas ut.

Att läsa barns journaler

Som vårdnadshavare får du som regel ta del av ditt barns journal, men när barnet blir äldre krävs oftast att barnet först godkänner det. Det brukar vara när barnet är i tonåren.

Journalen lämnas inte ut till en vårdnadshavare om personalen inom sjukvården misstänker att barnet far illa hos vårdnadshavaren.

Du kan överklaga om du inte får läsa din journal

Du kan överklaga om du inte får läsa hela eller delar av din journal. Begär att få beslutet skriftligt så kan du sedan överklaga det. Du överklagar till kammarrätten om journalen finns inom regionen eller kommunen.

Vårdpersonal inom den privata hälso- och sjukvården som säger nej till att lämna ut hela eller delar av journalen måste meddela det till Inspektionen för vård och omsorg. IVO gör då en egen bedömning av om journalen kan lämnas ut. Om även IVO beslutar att journalen eller delar av den inte ska lämnas ut kan du överklaga till kammarrätten.  



8. Hur länge finns uppgifterna kvar?

Vi behåller dina personuppgifter så länge det behövs för att vi ska kunna fullgöra vårt åtagande det vill säga tillhandahålla tjänster, fakturera, hantera klagomål med mera och fullgöra våra förpliktelser enligt de regelverk som gäller för vårdgivare. En journalhandling ska bevaras minst tio år efter det att den sista uppgiften fördes in i handlingen vilket innebär att vi normalt behöver spara dina uppgifter i minst tio år.



9. Kontaktinformation

Frågor om vår dataskyddspolicy eller information om hur vi hanterar personuppgifter kan ställas till vår verksamhetschef. Du når oss via vår växel på telefon 023 – 210 90 eller +46 (23) 210 90 om du ringer från utlandet.

Du kan även nå oss via e-post på:

info@mottagningbergmastaren.se

Har du klagomål på hur dina personuppgifter behandlas och/eller skyddas ber vi dig att skriftligen skicka detta till:

Mottagning Bergmästaren, Dataskyddsombud, Kaserngården 4, 791 40, Falun.

Du kan också vända dig till Integritetsskyddsmyndigheten om du anser att dina personuppgifter har hanterats felaktigt.

http://www.imy.se/



10. Ändringar

Vi har rätt att ändra eller göra tillägg till denna dataskyddspolicy. Sådan ändring eller tillägg träder i kraft när vi avsänt meddelande till dig härom eller annars gjort den uppdaterade dataskyddspolicyn tillgänglig, exempelvis genom publicering på vår webbplats.



Bilaga 1:  Viktiga begrepp

Dataskyddsförordningen

Dataskyddsförordningen (GDPR) började gälla från och med den 25 maj 2018 som lag inom EU och ersatte då personuppgiftslagen (PuL) i Sverige. GDPR syftar till att skydda människors personliga integritet när personuppgifter behandlas och gäller för både manuell- och elektronisk hantering av uppgifter, så länge som uppgifterna är sökbara.

Personuppgiftsbehandling

Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämnande genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Personuppgiftsansvarig

Den som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter (det vill säga varför och hur personuppgifter ska behandlas). Personuppgiftsansvarig är nästan alltid en juridisk person, ett företag eller en organisation.

Dataskyddsombud

En fysisk person som, efter att ha utsetts av den personuppgiftsansvarige, självständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt.

Remiss

En remiss är en handling som utgör beställning av en tjänst eller begäran om övertagande av vårdansvar för en patient. Remissen redogör för symtom och tidigare sjukdom och ska vara av sådan kvalitet att mottagande vårdgivare kan bedöma det medicinska behovet.

Remisser kan utfärdas av all legitimerad vårdpersonal, AT-läkare samt vikarierande underläkare och även av patienten själv (Egenremiss).



Bilaga 2: Personuppgifter

Personuppgifter är all slags information som, direkt eller indirekt, kan knytas till en fysisk person som är i livet. Personuppgifter kan därför vara allt ifrån uppgifter om namn och adress till sociala förhållanden eller medicinsk information. En utgångspunkt för Mottagning Bergmästarens dataskydd är att personuppgifterna tillhör den enskilde och behandlas därefter. 

Alla personuppgifter ska således behandlas med samma lämplighet, säkerhet och respekt som vi visar våra patienter och kunder. Desto känsligare personuppgifterna är ur ett integritetsperspektiv, än högre krav ställer vi på skydd och säkerhet. Vid behandling av personuppgifter sker därför alltid en kontinuerlig bedömning av hur integritetskänsliga uppgifterna som behandlas är för den enskilde. För detta syfte delas personuppgifterna in följande 3 säkerhetskategorier:

Okänsliga personuppgifter

Normalt sett är uppgifter om namn, adress, arbetsgivare och kundförhållande harmlösa personuppgifter.

Känsliga personuppgifter

Känsliga personuppgifter utgör en särskild kategori i dataskyddsförordningen och ska behandlas med särskild varsamhet. Känsliga personuppgifter definieras som personuppgifter som avslöjar uppgift om följande:

1. ras eller etniskt ursprung
2. politiska åsikter
3. religiösa eller filosofiska uppfattningar
4. fackligt medlemskap
5. genetiska uppgifter
6. biometriska uppgifter
7. hälsa
8. sexualliv
9. sexuell läggning

Integritetskänsliga personuppgifter

Det finns ett antal personuppgifter som inte nödvändigtvis faller under dataskyddsförordningens definition av känsliga personuppgifter ovan, men som fortfarande är integritetskänsliga. Det kan exempelvis avse uppgifter om personnummer, hemförhållanden, ekonomi, beteendeproblematik och kränkande behandling. Vi likställer dessa uppgifter som känsliga personuppgifter och behandlar dessa med extra varsamhet och bara om det är nödvändigt i det enskilda ärendet.



Bilaga 3: Förutsättningar vid behandling av personuppgifter

Dataskyddsförordningen ställer krav på bland annat hur, var, när, hur länge och av vem personuppgifter får behandlas. Nedan anges centrala förutsättningar för behandling av personuppgifter.

Rättslig grund

Vi måste ha stöd i GDPR för att hantera personuppgifter. Så länge vi behandlar uppgifter för att utföra vårt uppdrag enligt Hälso- och sjukvårdslagstiftningen kan vi hänvisa till den rättsliga grunden att vi utför uppgift av allmänt intresse som ett led i vårduppdraget. Andra rättsliga grunder relevanta för personuppgiftsbehandling i vår verksamhet är:

Rättslig förpliktelse

Vi är till exempel skyldiga att behandla personuppgifter för att uppfylla vår skyldighet att föra patientjournal, i enlighet med PDL. Journalhandlingar sparas enligt lag i 10 år och raderas därefter.

Informerat samtycke

Är ett alternativ där vi ber den enskilda individen att få behandla uppgifter om denne. Det kallas för att få samtycke. Ett samtycke måste vara en frivillig och tydlig viljeyttring, genom vilken den registrerade godtar behandling av personuppgifter som rör denne. För att kunna erhålla samtycke måste den enskilda individen få tydlig information om vilka uppgifter som samlas in och vad de ska användas till, för att legalt kunna ge sitt godkännande. Vi måste genom skriftlig dokumentation kunna visa att vi fått ett samtycke. Vi använder bara samtycke när ingen av de ovan nämnda rättsliga grunderna är tillämpliga.

Särskilt om rättslig grund vid behandling av känsliga personuppgifter 

Huvudregeln i GDPR är att behandling av känsliga personuppgifter är förbjuden. Det finns dock undantag till denna huvudregel. Känsliga personuppgifter får behandlas om det finns särskild rättslig grund för sådan behandling. De rättsliga grunderna för behandling av känsliga personuppgifter är något färre och strängare jämfört med de för andra personuppgifter.

I vår verksamhet behandlas en omfattande mängd känsliga personuppgifter, exempelvis inom ramen för hälso- och sjukvårdsuppdraget. Den rättsliga grunden för vår behandling av känsliga personuppgifter kan, i de flesta fall, stödjas på den rättsliga grunden att det är nödvändigt av hänsyn till ett viktigt allmänt intresse.