Syfte & bakgrund

Syftet med gällande Personuppgiftspolicy är att beskriva hur Nova Psykiatri Sverige AB (hädanefter ”Företaget”) arbetar med och behandlar personuppgifter på ett sätt som garanterar integriteten och skyddet för dessa i enlighet med Dataskyddslagstiftningen. Det föreligger även ett syfte att beskriva vilka som får ta del av personuppgifter, under vilka förutsättningar samt hur de registrerade kan ta säkerställa sina rättigheter.

Företaget behandlar löpande personuppgifter såväl om patienter och om personal som andra, exempelvis samarbetspartners. Vår utgångspunkt är att inte behandla fler personuppgifter än vad som behövs för aktuellt ändamål. Som registrerad vårdgivare behandlar vi Patientdata (dvs känsliga personuppgifter) såväl enligt Patientdatalagen (2008:355) som enligt Dataskyddsförordningen ((EU) 2016/679, GDPR).

Personuppgiftsansvarig i företaget

För företagets räkning svarar den vid var tid utsedde verksamhetsansvarige för behandling och hantering av personuppgifter. Denne person är alltså även personuppgiftsansvarig.

Rättslig grund och ändamål för personuppgiftsbehandlingen

 Företaget behandlar personuppgifter om patienter för att fullgöra sitt uppdrag att genomföra neuropsykiatriska utredningar och psykologiska behandlingar samt även övriga psykiatriska tjänster. Personuppgifter om personal, samarbetspartners m.fl. behandlas för att uppgifterna behövs för att fullgöra åtaganden enligt aktuella avtal och lag.

Företaget kan komma att behandla personuppgifter för att uppfylla skyldigheter enligt lagar, domar eller myndighetsbeslut (till exempel avseende krav från Inspektionen för Vård och Omsorg (IVO) eller Socialstyrelsen). Detta sker med stöd av den rättsliga grunden rättslig förpliktelse.

Varje enskild behandling av personuppgifter ska ha ett av företaget uttryckligt angivna och berättigade ändamål. Personuppgifterna får inte behandlas på ett sätt som är oförenligt med dessa. De särskilda ändamål som personuppgifterna behandlas för ska vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in. Att begränsa ändamålet för behandlingen av personuppgifter framgår av de grundläggande principerna (principen om ändamålsbegränsning). Ändamålet med att samla in patientuppgifter är att tillhandahålla vård och fullgöra företagets rättsliga skyldigheter som åligger vårdgivare. Personuppgifter används därvid för att genomföra neuropsykiatriska utredningar och psykologiska behandlingar samt övriga psykiatriska tjänster, vilket innefattar att göra bedömningar och ge rådgivning och behandling, samt att föra journal.

Insamling av personuppgifter

Företaget samlar varken in fler eller färre personuppgifter än vad som behövs i relation till ändamålet med behandlingen. Det ska vara möjligt att förklara varför de olika uppgifterna behövs för att uppfylla ändamålen med behandlingen.

Avseende patienter samlar företaget in dels kontaktuppgifter (exempelvis namn, personnummer, adress och mejladress), dels uppgifter som behövs för att genomföra neuropsykiatriska utredningar och behandlingar. Informationen lämnas huvudsakligen av den registrerade, men kan också komma från exempelvis annan vårdgivare, sammanhållen journalföring (NPÖ), Region eller liknande. För att ta del av uppgifter genom NPÖ fordras dels att det föreligger en patientrelation, dels att journaluppgifterna kan vara relevanta för den aktuella vården, samt dels att patienten lämnat sitt samtycke. Adressuppgifter kan samlas in från offentliga register för att säkerställa uppgifterna.

Andra personuppgifter såsom uppgifter om personal, samarbetspartners och liknande samlas dels in från personen själv, dels från tredje parter såsom exempelvis myndigheter och företag.

Skyddet av personuppgifter

För företaget är säkerhet och skyddet av personuppgifter viktigt. Därför har lämpliga tekniska, organisatoriska och administrativa säkerhetsåtgärder vidtagits för att skydda personuppgifter från obehörig åtkomst och annan otillåten behandling. Vi analyserar och utvärderar regelbundet åtgärderna i syfte att vid var tid ha ett adekvat och ändamålsenligt skydd för personuppgifterna. Detta i enlighet med Socialstyrelsen föreskrifter om systematiskt kvalitetsarbete.

Personal inom företaget har endast rätt att ha tillgång till och hantera sådana personuppgifter som vederbörande behöver för att utföra sina arbetsuppgifter.
I fråga om känsliga personuppgifter har företaget särskilda behörighetskontroller på plats vilket innebär ett högre skydd för dessa personuppgifter.

Våra säkerhetssystem är utvecklade med integritet i fokus och skyddar i mycket hög grad mot intrång, förstöring samt andra förändringar som kan innebära en risk för enskilds integritet. Därtill säkerställer företaget löpande att anställd personal har tillgång till rätt kunskap och utbildning inom området.

Utlämning av personuppgifter

Företagen lämnar huvudsakligen inte ut personuppgifter om det inte följer av lag eller är nödvändigt för att utföra företagets lagstadgade eller avtalsenliga förpliktelser gentemot den registrerade.

Företaget kan behandla personuppgifter i IT-system där leverantörer eller underleverantörer av IT-systemet kan komma att hantera personuppgifterna. I sådana fall säkerställer företaget genom personuppgiftsbiträdesavtal behandlingen av personuppgifter.

Företaget kan också komma att dela person- och patientuppgifter med andra vårdgivare vid sammanhåller journalföring, NPÖ. Detta innebär att annan vårdgivare, under vissa förutsättningar, kan få tillgång till journalinformation, på sätt som anges ovan. Patient har rätt att alltid motsätta sig sammanhållen journalföring och begära att journaluppgifter spärras från att ingå i sammanhållen journalföring.

Behandling

All data kopplad till journalföring behandlar vi alltid inom EU/EES samt även andra personuppgifter inom EU/EES om annat inte informeras om.

För personuppgifter som överförs till tredje land vidtar företaget alla rimliga legala, organisatoriska och tekniska åtgärder som krävs för att säkerställa att skyddsnivån för behandlingen motsvarar den inom EU/EES. Detta kan säkerställas bland annat om landet ifråga redan säkerställer en adekvat skyddsnivå enligt beslut från EU-kommissionen, eller genom att använda standardavtalsklausuler tillsammans med andra lämpliga skyddsåtgärder.

Lagring

Personuppgifterna ska vara relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (principen för uppgiftsminimering). Företaget behandlar och lagrar personuppgifter endast så länge det är nödvändigt för de ändamål uppgifterna i fråga behandlas (se avsnittet Rättslig grund och ändamål för personuppgiftsbehandlingen). Detta innebär att vi sparar uppgifterna så länge vi utför tjänsterna eller genomför utredningarna och behandlingar, samt den ytterligare tid som behövs för att företaget ska kunna uppfylla sina avtalsenliga eller rättsliga skyldigheter. Avseende patientinformation finns en skyldighet att spara patientjournaler under en viss tid.

Marknadsföring

Företaget kan komma att behandla personuppgifter för att möjliggöra marknadsföring av tjänster, bland annat genom utskick och annan direktmarknadsföring avseende information och marknadsföring av företagen, företagets tjänster mm. I samband med detta kan personuppgifter i form av e-postadress och namn för personer som prenumererar på företagets nyhetsbrev föras över till land utanför EU/EES. Företaget vidtar i sådant fall adekvata åtgärder för att skydda uppgifterna. Registrerade har rätt att när som helst motsätta sig användning av deras personuppgifter för att skicka allmän information eller marknadsföring.

Den registrerades rättigheter

Den vars personuppgifter företaget behandlar har flera rättigheter. Varje person kan alltid kontakta företaget på info(at)novapsykiatri.se. Företaget förbehåller sig rätten att vidta lämpliga skydds- och säkerhetsåtgärder i syfte att säkerställa att personen är den denne utger dig för att vara. Om identiteten inte kan säkerställas på ett trovärdigt sätt är det inte säkert att företaget kan tillmötesgå begäran. Detta eftersom de rättigheter som stadgas i Dataskyddsförordningen endast tillkommer den person som uppgifterna avser.

Tillgång till personuppgifter

En hos företaget registrerad person har rätt att få veta vilka personuppgifter som behandlas om denne. Man har därvid rätt till ett sammanställt registerutdrag som innehåller de personuppgifter företaget behandlar, samt kopia på personuppgifterna.

Tillgång till journal

Som huvudregel har en hos företaget registrerad person rätt att ta del av sina journalhandlingar. Emellertid kommer en förfrågan om tillgång till journalhandling att bedöms av ansvarig vårdgivare för att säkerställa att detta inte är skadligt för personen att ta del av sin journalhandling. Om denna bedömning görs får den enligt lag inte lämnas ut.

Spärra journaluppgifter

Patient har rätt att spärra journaluppgifter exempelvis vid sammanhållen journalföring, vilket medför att andra vårdgivare inte får åtkomst till den journalinformationen.

Rättelse och radering

Den hos företaget registrerade personen har rätt att få felaktiga personuppgifter rättade. Om behandlingen av personuppgifter görs på ett felaktigt sätt eller om det inte längre finns behov av uppgifterna kan den registrerade ha rätt att få dem raderade. Om uppgifterna är ofullständiga kan den registrerade ha rätt att få dem kompletterade. Denna rätt gäller dock inte ovillkorligt, utan undantag förekommer.

Dataportabilitet

Under vissa omständigheter har den hos företaget registrerade personen rätt att få de uppgifter som företaget behandlar om denne i ett allmänt, skriftligt, maskinläsbart och strukturerat format. Denne kan även ha rätt att överföra sådana uppgifter till annan personuppgiftsansvarig (portera uppgifterna). Detta kan exempelvis gälla beträffande personuppgifter som personen själv har lämnat till företaget och som vi behandlar med stöd av ditt samtycke eller när personuppgifterna krävs för att ingå eller fullföra avtal med personen.

Begränsning av behandling

En hos företaget registrerad person kan i vissa fall begära att behandlingen av personuppgifterna begränsas. Exempelvis kan behandlingen komma att begränsas under tid då personuppgifters korrekthet säkerställs.

Rätt att göra invändningar mot behandling av personuppgifter

En hos företaget registrerad person har också under vissa omständigheter rätt att invända mot behandlingen av personuppgifter. Den vars personuppgifter företaget behandlar kan alltid vända sig till info(at)novapsykiatri.se och framföra klagomål mot aktuell vårdkontakt.

Information till den registrerade

Enligt Dataskyddsförordningen ska information lämnas till den hos företaget registrerade personen om bl.a. den lagliga grunden för behandlingen av personuppgifterna. Detta gäller oavsett om personuppgifterna kommer från den registrerade själv eller inte, dvs. om de har erhållits från någon annan.

Information ges bland annat på företagets hemsida, i denna Personuppgiftspolicy, i vissa fall i tillämpligt avtal, och i eventuella informationsmeddelanden.

Systematiskt kvalitetsarbetet

Att säkerställa att behandling av personuppgifter görs på ett sätt som följer vid var tid gällande lagstiftning utgör en del av företagets löpande kvalitetsarbete. Det innebär att denna Personuppgiftspolicy, samt andra policys, rutiner och processer löpande ses över och hålls uppdaterade. Vidare ingår det i det systematiska kvalitetsarbetet att säkerställa att de grundläggande principerna efterlevs.