Personuppgiftspolicy

1. Introduktion

Nova Psykiatri tar din integritet och dataskydd på högsta allvar. Denna integritetsskyddspolicy riktar sig till dig som besöker och kontaktar oss på vår webbplats, får nyhetsbrev/marknadsföringsutskick eller använder dig av våra tjänster (exempelvis genomföra neuropsykiatriska utredningar och psykologiska behandlingar). Policyn förklarar hur vi samlar in och använder din personliga information. Den beskriver också vilka rättigheter du har och hur du kan använda dem.

2. Personuppgiftsansvarig

Nova Psykiatri [559361-8332] (hädanefter ”Företaget”), är personuppgiftsansvarig för behandling av personuppgifter och ansvarar för att personuppgifter behandlas i enlighet med gällande lagstiftning. Har du frågor gällande integritet och dataskydd kan du kontakta oss via info@novapsykiatri.se alternativt skicka ett brev till följande adress: Sankt Eriksgatan 48 A, 112 34, Stockholm.

Nova Psykiatri  har ett externt Dataskyddsombud, om du vill komma i kontakt med dataskyddsombudet kan du skicka ett e-postmeddelande eller ett brev till ovanstående e-postadress och adress.

3. Integritetsskyddspolicy

3.1 Vad är en personuppgift och en behandling?

En personuppgift är all slags information som kan kopplas till en enskild fysisk person. Kan informationen kopplas till en levande person, antingen direkt eller indirekt, enskilt eller i kombination med andra uppgifter så är det att betraktas som en personuppgift. Det kan exempelvis vara namn, adress, personnummer, fotografier och ljudupptagningar. Vissa personuppgifter räknas som känsliga och dessa ska skyddas extra noga. Exempel på känsliga personuppgifter kan vara uppgifter om religiös och filosofisk övertygelse, politiska åsikter, hälsa och fackmedlemskap. 

Behandling av personuppgifter är allt som sker med personuppgifterna. Varje åtgärd som vidtas med personuppgifter utgör en behandling, oberoende av om den utförs automatiserat eller ej. Exempel på vanliga behandlingar är insamling, registrering, organisering, strukturering, lagring, bearbetning, överföring och radering.

3.2.1 När du besöker oss och kontaktar oss via vår webbplats

Syfte/ändamål: Vi behandlar dina uppgifter i syfte att kommunicera med dig och besvara frågor från dig när du interagerar med oss, exempelvis om vi får en fråga från dig gällande vårt tjänsteutbud.

Kategorier av personuppgifter: Vi samlar in namn, e-postadress, adress, telefonnummer och annan information som du lämnar till oss.

Laglig grund: Den lagliga grunden för denna behandling är en intresseavvägning för att tillgodose vårt berättigade intresse av att kunna kommunicera med dig och hantera frågor från dig.

Lagringstid och/eller kriterier: Vi behandlar dina personuppgifter så länge det är nödvändigt för att uppfylla vårt syfte och kommer därefter gallra personuppgifterna.

3.2.2 Marknadsföring och insamling av kakor (Cookies)

Syfte/ändamål: Vid besök på vår webbplats kan information från webbläsare/enhet hämtas och lagras, vanligtvis genom cookies, i syfte att optimera både funktion och upplevelse av webbplatsen. Du informeras vilka cookies som samlas in när du besöker vår hemsida.

Företaget kan komma att använda sociala medier såsom Facebook och Instagram (Meta) för marknadsföring, kommunikation och information. Vid sådan behandling kan personuppgifter, såsom användarbeteenden (exempelvis vilka inlägg eller annonser man klickar på) eller kontaktinformation, komma att behandlas.

Företaget kan även använda analys- och spårningsverktyg (exempelvis Facebook-pixeln) för att mäta räckvidd och effektivitet av vår annonsering. Detta kan innebära att viss data överförs till Meta. I de fall där denna överföring skulle innebära en överföring av personuppgifter till tredjeland (utanför EU/EES), vidtar vi lämpliga tekniska och organisatoriska skyddsåtgärder (exempelvis standardavtalsklausuler) för att säkerställa samma skyddsnivå som inom EU/EES

Kategorier av personuppgifter: Informationen består av besökarens preferenser och information om från vilken enhet besöket sker. Sådan information kan vara uppgifter om användning av webbplatsen, trafikdata (exempelvis IP-adress och enhetsmodell) och datatrafikkälla (till exempel om du klickat dig vidare till vår webbplats genom kampanjer).

Laglig grund: Denna personuppgiftsbehandling grundar sig på samtycke. Du kan närsomhelst motsätta dig denna behandling genom att anpassa dina cookiepreferenser genom att återta ditt samtycke.

Lagringstid och/eller kriterier: Såvida du inte justerat dina cookiepreferenser, behandlar vi dina personuppgifter så länge det är nödvändigt för att uppfylla vårt syfte och kommer därefter gallra personuppgifterna.

4. Hur vi behandlar dina personuppgifter vid användning av tjänster vi erbjuder inom ADHD och Autism-utredning samt medicinering 

Företaget behandlar personuppgifter om patienter för att fullgöra sitt uppdrag att genomföra neuropsykiatriska utredningar och psykologiska behandlingar samt även övriga psykiatriska tjänster.

Företaget är en registrerad vårdgivare och lyder under Patientdatalagen (2008:355) och Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40) samt andra relevanta lagstiftningar som exempelvis Dataskyddsförordningen (GDPR). Hantering av dina personuppgifter sker främst med stöd av den rättsliga grunden rättslig förpliktelse (artikel 6.1 c och 9.2 h i GDPR)  samt allmänt intresse (artikel 6.1 e GDPR).

Varje enskild behandling av personuppgifter ska ha ett av företaget uttryckligt angivna och berättigade ändamål. Personuppgifterna får inte behandlas på ett sätt som är oförenligt med dessa. De särskilda ändamål som personuppgifterna behandlas för ska vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in. Att begränsa ändamålet för behandlingen av personuppgifter framgår av de grundläggande principerna (principen om ändamålsbegränsning). Ändamålet med att samla in patientuppgifter är att tillhandahålla vård och fullgöra företagets rättsliga skyldigheter som åligger vårdgivare. Personuppgifter används därvid för att genomföra neuropsykiatriska utredningar och psykologiska behandlingar samt övriga psykiatriska tjänster, vilket innefattar att göra bedömningar och ge rådgivning och behandling, samt att föra journal.

Insamling av personuppgifter

Företaget samlar varken in fler eller färre personuppgifter än vad som behövs i relation till ändamålet med behandlingen. Det ska vara möjligt att förklara varför de olika uppgifterna behövs för att uppfylla ändamålen med behandlingen.

Avseende patienter samlar företaget in dels kontaktuppgifter (exempelvis namn, personnummer, adress och mejladress), dels uppgifter som behövs för att genomföra neuropsykiatriska utredningar och behandlingar. Informationen lämnas huvudsakligen av den registrerade, men kan också komma från exempelvis annan vårdgivare, sammanhållen journalföring (NPÖ), Region eller liknande. För att ta del av uppgifter genom NPÖ fordras dels att det föreligger en patientrelation, dels att journaluppgifterna kan vara relevanta för den aktuella vården, samt dels att patienten lämnat sitt samtycke. Adressuppgifter kan samlas in från offentliga register för att säkerställa uppgifterna.

Andra personuppgifter såsom uppgifter om personal, samarbetspartners och liknande samlas dels in från personen själv, dels från tredje parter såsom exempelvis myndigheter och företag.

Skyddet av personuppgifter

För företaget är säkerhet och skyddet av personuppgifter viktigt. Därför har lämpliga tekniska, organisatoriska och administrativa säkerhetsåtgärder vidtagits för att skydda personuppgifter från obehörig åtkomst och annan otillåten behandling. Exempelvis används Kaddio för att säkerställa hög säkerhetsstandard och effektiv hantering av data. Vi analyserar och utvärderar regelbundet åtgärderna i syfte att vid var tid ha ett adekvat och ändamålsenligt skydd för personuppgifterna. Detta i enlighet med Socialstyrelsen föreskrifter om systematiskt kvalitetsarbete.

Personal inom företaget har endast rätt att ha tillgång till och hantera sådana personuppgifter som vederbörande behöver för att utföra sina arbetsuppgifter. I fråga om känsliga personuppgifter har företaget särskilda behörighetskontroller på plats vilket innebär ett högre skydd för dessa personuppgifter.

Våra säkerhetssystem är utvecklade med integritet i fokus och skyddar i mycket hög grad mot intrång, förstöring samt andra förändringar som kan innebära en risk för enskilds integritet. Därtill säkerställer företaget löpande att anställd personal har tillgång till rätt kunskap och utbildning inom området.

Utlämning av personuppgifter

Företaget lämnar huvudsakligen inte ut personuppgifter om det inte följer av lag eller är nödvändigt för att utföra företagets lagstadgade eller avtalsenliga förpliktelser gentemot den registrerade.

Företaget kan behandla personuppgifter i IT-system där leverantörer eller underleverantörer av IT-systemet kan komma att hantera personuppgifterna. I sådana fall säkerställer företaget genom personuppgiftsbiträdesavtal behandlingen av personuppgifter. Företagets leverantörer får endast behandla personuppgifter i enlighet med våra instruktioner. En lista över våra IT-leverantörer och personuppgiftsbiträden finns tillgänglig på begäran.

Företaget kan också komma att dela person- och patientuppgifter med andra vårdgivare vid sammanhållen journalföring, NPÖ. Detta innebär att annan vårdgivare, under vissa förutsättningar, kan få tillgång till journalinformation, på sätt som anges ovan. Patient har rätt att alltid motsätta sig sammanhållen journalföring och begära att journaluppgifter spärras från att ingå i sammanhållen journalföring.

Behandling

All data kopplad till journalföring behandlar vi alltid inom EU/EES samt även andra personuppgifter inom EU/EES om annat inte informeras om.

För personuppgifter som överförs till tredje land vidtar företaget alla rimliga legala, organisatoriska och tekniska åtgärder som krävs för att säkerställa att skyddsnivån för behandlingen motsvarar den inom EU/EES. Detta kan säkerställas bland annat om landet ifråga redan säkerställer en adekvat skyddsnivå enligt beslut från EU-kommissionen, eller genom att använda standardavtalsklausuler tillsammans med andra lämpliga skyddsåtgärder.

Lagring

Personuppgifterna ska vara relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (principen för uppgiftsminimering). Företaget behandlar och lagrar personuppgifter endast så länge det är nödvändigt för de ändamål uppgifterna i fråga behandlas (se avsnittet Rättslig grund och ändamål för personuppgiftsbehandlingen). Detta innebär att vi sparar uppgifterna så länge vi utför tjänsterna eller genomför utredningarna och behandlingar, samt den ytterligare tid som behövs för att företaget ska kunna uppfylla sina avtalsenliga eller rättsliga skyldigheter. Journalhandlingar sparas i minst tio år efter den sista uppgiften i journalen, enligt Patientdatalagen (2008:355). Kontaktuppgifter till patienter och anhöriga lagras så länge en vårdrelation föreligger och därefter upp till fem år, om det inte finns rättsliga skyldigheter som kräver längre lagring. Kunduppgifter som inte omfattas av journalföring, såsom administrativa uppgifter och faktureringsunderlag, lagras i minst sju år enligt Bokföringslagen (1999:1078).

Den registrerades rättigheter

Den vars personuppgifter företaget behandlar har flera rättigheter. Varje person kan alltid kontakta företaget på info@novapsykiatri.se. Företaget förbehåller sig rätten att vidta lämpliga skydds- och säkerhetsåtgärder i syfte att säkerställa att personen är den denne utger dig för att vara. Om identiteten inte kan säkerställas på ett trovärdigt sätt är det inte säkert att företaget kan tillmötesgå begäran. Detta eftersom de rättigheter som stadgas i Dataskyddsförordningen endast tillkommer den person som uppgifterna avser.

Tillgång till personuppgifter 

En hos företaget registrerad person har rätt att få veta vilka personuppgifter som behandlas om denne. Man har därvid rätt till ett sammanställt registerutdrag som innehåller de kategorier av personuppgifter som behandlas, vad personuppgifterna används till, hur länge personuppgifter kommer att sparas, vilka personuppgifterna potentiellt delas med samt varifrån uppgifterna kommer.

Tillgång till journal

Som huvudregel har en hos företaget registrerad person rätt att ta del av sina journalhandlingar. Emellertid kommer en förfrågan om tillgång till journalhandling att bedöms av ansvarig vårdgivare för att säkerställa att detta inte är skadligt för personen att ta del av sin journalhandling. Om denna bedömning görs får den enligt lag inte lämnas ut.

Spärra journaluppgifter

Patient har rätt att spärra journaluppgifter exempelvis vid sammanhållen journalföring, vilket medför att andra vårdgivare inte får åtkomst till den journalinformationen.

Rättelse och radering

Den hos företaget registrerade personen har rätt att få felaktiga personuppgifter rättade. Om behandlingen av personuppgifter görs på ett felaktigt sätt eller om det inte längre finns behov av uppgifterna kan den registrerade ha rätt att få dem raderade. Om uppgifterna är ofullständiga kan den registrerade ha rätt att få dem kompletterade. Denna rätt gäller dock inte ovillkorligt, utan undantag förekommer. Observera att journalhandlingar inte kan raderas i enlighet med Patientdatalagen (2008:355), men felaktiga uppgifter kan korrigeras.

Dataportabilitet

Under vissa omständigheter har den hos företaget registrerade personen rätt att få de uppgifter som företaget behandlar om denne i ett allmänt, skriftligt, maskinläsbart och strukturerat format. Denne kan även ha rätt att överföra sådana uppgifter till annan personuppgiftsansvarig (portera uppgifterna). Detta kan exempelvis gälla beträffande personuppgifter som personen själv har lämnat till företaget och som vi behandlar med stöd av ditt samtycke eller när personuppgifterna krävs för att ingå eller fullföra avtal med personen. Dataportabilitet gäller inte för journalhandlingar, men patienten har rätt att få en kopia av sin journal enligt lag.

Begränsning av behandling

En hos företaget registrerad person kan i vissa fall begära att behandlingen av personuppgifterna begränsas. Exempelvis kan behandlingen komma att begränsas under tid då personuppgifters korrekthet säkerställs.

Rätt att göra invändningar mot behandling av personuppgifter

En hos företaget registrerad person har också under vissa omständigheter rätt att invända mot behandlingen av personuppgifter. Du har möjlighet att invända mot personuppgiftsbehandling som sker för att utföra en uppgift av allmänt intresse, som ett led i myndighetsutövning eller efter en intresseavvägning. Den vars personuppgifter företaget behandlar kan alltid vända sig till info@novapsykiatri.se och framföra klagomål mot aktuell vårdkontakt.

Information till den registrerade

Enligt Dataskyddsförordningen ska information lämnas till den hos företaget registrerade personen om bl.a. den lagliga grunden för behandlingen av personuppgifterna. Detta gäller oavsett om personuppgifterna kommer från den registrerade själv eller inte, dvs. om de har erhållits från någon annan.

Information ges bland annat på företagets hemsida, i denna Personuppgiftspolicy, i vissa fall i tillämpligt avtal, och i eventuella informationsmeddelanden.

Systematiskt kvalitetsarbete

Att säkerställa att behandling av personuppgifter görs på ett sätt som följer vid var tid gällande lagstiftning utgör en del av företagets löpande kvalitetsarbete. Det innebär att denna Personuppgiftspolicy, samt andra policys, rutiner och processer löpande ses över och hålls uppdaterade. Vidare ingår det i det systematiska kvalitetsarbetet att säkerställa att de grundläggande principerna efterlevs.