• Hantering av personuppgifter

    Policy för behandling av personuppgifter

Policy för behandling av personuppgifter

Syfte

Vi värnar om den registrerades integritet som skall kunna känna sig trygg och anförtro oss sina personuppgifter. Därför har vi upprättat den här policyn. Den utgår från gällande dataskyddslagstiftning och förtydligar hur vi jobbar för att ta tillvara registrerades rättigheter och integritet. 

Syftet med den här policyn är att förtydliga hur vi behandlar personuppgifter, vad vi använder dem till, vilka som får ta del av dem och under vilka förutsättningar samt hur vi tar tillvara den registrerades rättigheter.

Bakgrund

Vår utgångspunkt är att inte behandla fler personuppgifter än vad som behövs för ändamålet.

Riktlinjer

Vilka personuppgifter behandlar vi?
Vi behandlar endast personuppgifter när vi har laglig grund.
Hur får vi tillgång till personuppgifter?
Personuppgifter tillhandahålls från:

  • Anslutna arbetsgivare i samband med uppstart av tjänst samt löpnade uppdateringar av register
  •  Löpande försäljningsarbete
  • Anställning av ny medarbetare
  • Personer som anmäler sig för nyhetsbrev och sociala medier
  • Personer som svarar på enkäter och undersökningar eller deltar i utbildningar och evenemang
  • Personer som kontaktar oss, söker anställning hos oss, besöker oss eller på annat sätt tar kontakt med oss

Behandla personuppgifter på ett betryggande sätt
Vi utarbetar rutiner och arbetssätt för att alla personuppgifter ska hanteras på ett säkert sätt. Utgångspunkten är att endast arbetstagare och andra personer inom organisationen som behöver personuppgifterna för att utföra sina arbetsuppgifter ska ha tillgång till dem samt i de fall det är aktuellt vårdgivaren då rådgivning kommer att ske. Data lagras i Sverige och uppfyller krav på lagring av känsligt data.

TakeNote uppfyller dataskyddsförordningens krav på tystnadsplikt.
I kommunikation med arbetsgivare och vårdgivare vad gäller support av tjänsten så verifierar TakeNote anställda och ärende via ärendenummer och skickar aldrig känsliga uppgifter via e-post eller andra osäkra tekniska lösningar. Säkra lösningar definieras av personuppgiftsansvarig.

Våra system ska utvecklas med integritet i fokus och skydda i en mycket hög grad mot intrång, förstöring samt andra förändringar som kan innebära en risk för den personliga integriteten.
Vi överför inte personuppgifter i andra fall än de som uttryckligen anges i denna policy.

När lämnar vi ut personuppgifter?
Vi lämnar inte ut personuppgifter till tredje part om inte den registrerade samtyckt till det eller om det inte är nödvändigt för att uppfylla våra förpliktelser enligt avtal eller lag. I de fall vi lämnar ut personuppgifter till tredje part upprättar vi sekretessavtal samt säkerställer att personuppgifterna behandlas på ett betryggande sätt.

Ansvar

TakeNote är personuppgiftsbiträde, vilket innebär att vi har ett ansvar för hur personuppgifter behandlas och den registrerades rättigheter tas tillvara. 

Dataskyddsförordningen 
Ändamålet med att vi hanterar och samlar in personuppgifter är att tjänsten förutsätter att all personal finns registrerad och är en förutsättning för brukande av tjänsten. Enligt Patientdatalagen SFS 2008:355 krävs personnummer för journalföring rörande rådgivning av legitimerad sjukvårdspersonal samt för att unikt identifiera en ansluten.

1. Rutiner för insamling och hantering av personuppgifter

Då en ny kund tecknar avtal med TakeNote eller via återförsäljare att ansluta organisationen till någon av TakeNotes tjänster sammanställer kunden en personallista som lämnas till TakeNote via en SFTP area. Okrypterade personuppgifter som skickas på annan elektronisk väg accepteras ej.
Exempel på personuppgifter:

  • Kundens namn och organisationsnummer
  • Kundens utsedda kontaktperson
  • Enheter/avdelningar inom organisationen
  • För och efternamn, personnummer, telefonnummer och i vissa fall adressuppgifter rörande anställda, enhets/avdelningstillhörighet
  • Datum för sjukfrånvaroperiod och sjukfrånvaroorsak
  • Av kundens förutbestämde regler för hur e-mail och SMS skickas satt på enhet

Uppdatering av anställda
Hanteras av arbetsgivaren eller TakeNote på uppdrag av arbetsgivaren.

Rättning av uppgifter
Hanteras av arbetsgivaren eller TakeNote på uppdrag av arbetsgivaren.

Radering av uppgifter
Kan ske manuellt av arbetsgivaren eller TakeNote på uppdrag av arbetsgivaren alternativt enligt överenskommen gallringsrutin.

Hantering av data
TakeNote får inte ta fram information utan att det är på uppdrag av kund.

I de fall TakeNote på begäran av kund ombeds att ta fram information och lagra på extern enhet, skall denna enhet vara krypterad och informationen raderas, så snart informationen överlämnats till kund eller färdig hanterats.

2. Ansvarig för personuppgifter

Organisationens personuppgiftsansvarige är ytterst ansvarig för hantering av personuppgifter och TakeNote är personuppgiftsbiträde i rollen leverantör. 
TakeNote som personuppgiftsbiträde är ansvarigt för att förordningen följs i de delar som reglerar ansvar och skyldigheter för dessa samt att efterfölja givna direktiv. 

Varje person som har lidit skada till följd av en överträdelse av dataskyddsförordningen ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. Dessa kan således bli solidariskt skadeståndsansvariga gentemot de registrerade.  

Det är viktigt hur du reglerar ett avtal mellan ett personuppgiftsbiträde och en personuppgiftsansvarig. Personuppgiftsbiträdet får t.ex. i regel inte anlita ett annat personuppgiftsbiträde utan att ett särskilt eller allmänt skriftligt förhandstillstånd har erhållits av den personuppgiftsansvarige.

3. Laglig grund

TakeNote har enligt Patientdatalagen SFS 2008:35 skyldighet att hantera personuppgifter för lagring av medicinsk journal.

Genom dataskyddsförordningen införs ett förstärkt skydd för barns personuppgifter vid erbjudande av ”informationssamhällets tjänster” direkt till barn. TakeNote betraktar inte sina tjänster som riktade direkt till barn under 16 år. I de fall rådgivning i samband med VAB efterfrågas sker detta via barnets vårdnadshavare.

4. Information till registrerade

Dataskyddsförordningen innehåller utökade krav på vilken information som ska lämnas till de registrerade i jämförelse med PuL. Det görs en skillnad mellan vilken information som ska lämnas till den registrerade om personuppgifterna samlas in från den registrerade eller om uppgifterna inte har erhållits från den registrerade utan från ett annat håll. 

TakeNote understryker vikten av att personuppgiftsansvarig informerar registrerade om bl.a. hur länge personuppgifterna lagras alternativt de kriterier som används för att fastställa detta, om olika rättigheter som den registrerade har och möjligheten att lämna klagomål till Integritetsskyddsmyndigheten om han eller hon anser att personuppgifter har hanterats felaktigt.

5. Registrerades rättigheter till data

Dataskyddsförordningen ger en registrerad flera rättigheter som innebär att han eller hon kan begära: 
1. rätt till registerutdrag (tillgång) 
2. rätt till rättelse 
3. rätt att få sina personuppgifter raderade, rätten att bli bortglömd 
4. rätt till begränsning av behandlingen av personuppgifterna (att inte använda alla uppgifter du har om en viss person) 
5. rätt till s.k. dataportabilitet (att överföra uppgifterna till en annan personuppgiftsansvarig)  
6. rätt att göra invändningar 

Begäran rörande medicinskjournal skall ske till vårdgivare för bedömning. Vårdgivare lämnar efter detta begäran till TakeNote. 

TakeNote önskar att begäran rörande arbetsagivarens information går via organisationens personuppgiftsansvarige.

6. IT-säkerhet

TakeNote genomför lämpliga tekniska och organisatoriska åtgärder genom att bygga in dataskydd i IT-systemen, ”data protection by design” och även ha dataskydd som standard ”data protection by default”.
TakeNote har arbetat fram rutiner och handlingsplaner och vem/vilka som är ansvariga för att dessa rutiner följs.

7. Gallring

Bilagt till kundavtal finns en mall där organisations personuppgiftsansvarig definierar regler för automatisk gallring. Manuell gallring kan i förekommande fall ske.

Har du ytterligare frågor så är du välkommen att kontakt oss och vår personuppgiftsansvarige så skall vi hjälpa till och svara på eventuella frågor.
Frågor skickas till info@takenote.se

Kontakta oss

Hör av dig så berättar vi gärna mer!

Önskar du komma i kontakt med oss oavsett om du redan idag samarbetar med oss eller är nyfiken på våra verktyg – hör av dig.