POLICY FÖR DATASKYDD – VARA VÅRD OCH FASTIGHET AB

  1. SYFTE
    1.1 Syftet med denna policy är att bidra till att den behandling av personuppgifter som sker inom Vara Vård och fastighet AB (nedan ”Vara Vård”) följer tillämplig lagstiftning, skyddar säkerheten för information, inte kränker enskilda individer eller grupper av individer samt inte skadar Vara Vårds anseende.
  2. PERSONUPPGIFTSANSVARIG
    2.1 Vara Vård är personuppgiftsansvarigt för behandling av dels personuppgifter om anställda och andra som arbetar för Vara Vård, dels arbetssökande, dels patienter, dels kunder, leverantörer och samarbetspartners. Vara Vårds kontaktuppgifter är: Vara Vård fastighet AB, org. nr 556652-5985, Maria Bangata 1, 118 63 STOCKHOLM, e-post kvalitet@varav.se.
  3. OMFATTNING
    3.1 Denna policy gäller för alla former av behandling av personuppgifter som sker, t.ex. på intranät och i olika register, e-post, mobiltelefoner samt all ny teknik som kan komma att införas.

    3.2 Policyn gäller personuppgifter om arbetssökande, anställda och andra som arbetar för Vara Vård samt personuppgifter om patienter, kunder, leverantörer och samarbetspartners.

    3.3 Policyn innefattar riktlinjer för hur anställda och andra som arbetar för Vara Vård ska behandla personuppgifter.
  4. DEFINITIONER
    4.1 Behandling: En åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

    4.2 Dataskyddsregler: Europaparlamentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), (härefter ”dataskyddsförordningen”) och lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (härefter ”dataskyddslagen”), patientdatalagen (2008:355), lag (2022:913) om sammanhållen vård- och omsorgsdokumentation, patientsäkerhetslagen (2010:659) samt övriga kompletterande nationella förordningar och föreskrifter.

    4.3 Personuppgifter: Varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

    4.4 Personuppgiftsansvarig: En fysisk eller juridisk person som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.

    4.5 Personuppgiftsbiträde: En fysisk eller juridisk person som behandlar personuppgifter för den personuppgiftsansvariges räkning.

    4.6 Personuppgiftsincident: En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

    4.7 Registrerad: Den fysiska person vars personuppgifter behandlas.

    4.8 Särskilda kategorier av personuppgifter: Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, och genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.
  5. RÄTTSLIG GRUND OCH TYP AV UPPGIFTER
    5.1 Vara Vård behandlar personuppgifter om anställda och andra personer som arbetar för Vara Vård samt om kunder, leverantörer och samarbetspartners för att kunna fullgöra avtal med dessa personer och parter.

    5.2 Uppgifter om anställda innefattar information om namn, adress, telefonnummer, e-post, personnummer, lön, bankkontonummer, sjukdom, ledighet, pension, utbildning och kontaktuppgifter till anhörig i fall av nödsituation.

    5.3 Uppgifter om kunder, leverantörer och samarbetspartners innefattar information om namn, adress, telefonnummer och e-post.

    5.4 I vissa fall behandlar Vara Vård personuppgifter efter en intresseavvägning, t.ex. för marknadsföringsändamål.

    5.5 Vara Vård behandlar personuppgifter om patienter för att fullgöra sina rättsliga förpliktelser och för att kunna erbjuda patienterna en god säker vård, samt för att kvalitetssäkra verksamheten. I de fall Vara Vård tillhandahåller vård på uppdrag av det allmänna behandlar vi även personuppgifterna för att det är nödvändigt för att fullgöra en uppgift av allmänt intresse. Enligt patientdatalagen får personuppgifter behandlas inom hälso- och sjukvården om det till exempel behövs för i) att fullgöra skyldigheten att föra patientjournal, ii) att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten, iii) administration, planering, uppföljning, utvärdering och tillsyn av verksamheten, eller iv) för att framställa statistik. Det behövs i sådana fall inget särskilt medgivande från patienten att behandla personuppgifterna.

    5.6 Uppgifter om patienter innefattar information om namn, adress, telefonnummer, personnummer, kön, hälsotillstånd, sjukdom, undersökningar, behandlingar, information om vilka läkemedel patienten tar och besök på vårdinrättningar.

    5.7 För att systematiskt och fortlöpande utveckla och säkra kvaliteten i Vara Vårds verksamhet och för patientsäkerheten kan Vara Vård komma att spela in telefonsamtal med patienter. Denna rätt följer av patientdatalagen, se ovan i punkten

    5.4. Vid inspelning av telefonsamtal behandlas inte fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålen med behandlingen och personuppgifterna behandlas inte för något annat ändamål som skulle vara oförenligt med de ursprungliga ändamålen.
  6. SAMMANHÅLLEN VÅRDDOKUMENTATION/JOURNALFÖRING
    6.1 Patienten har som regel rätt att själv bestämma om denne vill delta i sammanhållen journalföring. Det innebär att det är patienten som bestämmer om andra vårdgivare ska få ta del av dennes journal hos oss samt om vi ska få ta del av andra vårdgivares journaluppgifter om denne. Vara Vård ansvarar för att fråga patienten om denne vill delta i sammanhållen journalföring och för det fall denne inte vill det – spärra journalen.

    Ospärrade journaler
    6.2 Behandlande medicinsk personal samt verksamhetschef får bereda sig tillgång till information om hos vilka andra vårdgivare det finns uppgifter om en patient. För att få tillgång till dessa uppgifter måste medarbetaren göra ett aktivt val. För att därefter få tillgång till en journal hos en viss vårdgivare måste medarbetaren göra ytterligare ett aktivt val.

    6.3 För att medicinsk personal och verksamhetschef ska få ta del av ovanstående information krävs oftast patientens samtycke. Ett samtycke behövs emellertid inte för att få ta del av information om hos vilka andra vårdgivare det finns uppgifter om en patient om det finns en fara för dennes liv eller en allvarlig risk för dennes hälsa och ett samtycke inte kan inhämtas. Om medicinsk personal, efter att ha tagit del av uppgifter om hos vilka andra vårdgivare det finns journaluppgifter om patienten, bedömer att en journal kan antas ha betydelse för den vård som patienten oundgängligen behöver får den medicinska personalen ta del av journalen.

    Spärrade journaler
    6.4 För att medicinsk personal och verksamhetschef ska få ta del av information om hos vilka vårdgivare det finns spärrade journaluppgifter om en patient, och därefter ta del av dessa journaler, krävs oftast patientens samtycke. Detsamma gäller för att andra vårdgivare ska få ta del av sådan information om patienten hos Vara Vård.

    6.5 Även utan ett samtycke har medicinsk personal och verksamhetschef i vissa fall möjlighet att se att det finns journaluppgifter om en patient hos vårdgivare som patienten ifråga har begärt ska spärra dennes journal. Andra vårdgivare har på samma sätt möjlighet att se att det finns spärrade journaluppgifter om dig hos Vara Vård för det fall patienten har begärt att journalen ska spärras. Dessa möjligheter finns när det finns en fara för patientens liv eller en allvarlig risk för dennes hälsa och patienten saknar förmåga att begära att spärren hävs.

    6.6 Om medicinsk personal, efter att ha tagit del av uppgifter om hos vilka andra vårdgivare det finns spärrade journaluppgifter om en patient, bedömer att en spärrad journal kan antas ha betydelse för den vård som patienten oundgängligen behöver får den medicinska personalen eller verksamhetschefen begära att den andra vårdgivaren häver spärren. För det fall Vara Vård tar emot en begäran om att en spärr ska hävas är det verksamhetschefen som fattar beslut om att häva spärren.
  7. HUR VI SAMLAR IN PERSONUPPGIFTER
    7.1 Vi samlar vanligtvis in information direkt från patienten, från andra vårdinrättningar eller från patientens anhöriga.
  8. OM UPPGIFTER INTE TILLHANDAHÅLLS
    8.1 Om du inte tillhandahåller de uppgifter vi behöver kan vår förmåga att ge dig en god och säker vård påverkas negativt.
  9. ANSTÄLLDA SOM BEHANDLAR PERSONUPPGIFTER
    9.1 Enbart de anställda inom Vara Vård som har behov av personuppgifter för att fullgöra sina arbetsuppgifter behandlar personuppgifter.

    9.2 Samtliga anställda inom Vara Vård som har tillgång till personuppgifter har undertecknat sekretessavtal.
  10. SÄRSKILDA KATEGORIER AV PERSONUPPGIFTER
    10.1 Huvudregeln är att särskilda kategorier av personuppgifter inte får behandlas. Uppgifter om hälsotillstånd, sjukdom, undersökningar, behandlingar, information om vilka läkemedel patienten tar och besök på vårdinrättningar är sådana särskilda kategorier av personuppgifter (s.k. känsliga personliga uppgifter). Inom hälso- och sjukvården får personuppgifter om hälsa behandlas enligt patientdatalagen och dataskyddsförordningen.

    10.2 Ett annat undantag är att uppgifter om hälsa får behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten. Det kan gälla t.ex. när uppgifter om anställdas sjukdom behandlas för att beräkna sjuklön, utreda frånvarorätt eller inleda en rehabiliteringsutredning.
  11. SEKRETESS- OCH SÄKERHETSBESTÄMMELSER
    11.1 Endast den personal som deltar i vården av patienten eller som behöver uppgifterna för att kunna utföra sitt arbete har rätt att ta del av uppgifter om patienten. Vara Vård har strikta regler för åtkomst av särskilda kategorier av personuppgifter och gör regelbundet uppföljningar för att se att ingen obehörig tagit del av uppgifter i patientjournalerna.

    11.2 Alla som kommer i kontakt med patientuppgifter omfattas av tystnadsplikt. Tystnadsplikten regleras i patientsäkerhetslagen och innebär i korthet att uppgifter om patientens hälsotillstånd eller andra personliga förhållanden inte obehörigen får röjas. Sekretessen kan brytas t.ex. om Polismyndigheten begär att få reda på om en patient befinner sig på ett visst boende, om det behövs för en rättsmedicinsk undersökning eller om det finns en misstanke om att en patient har begått ett allvarligt brott. Personal är vidare skyldig att anmäla misstanke om att ett barn far illa.

    11.3 Andra uppgifter om en patient än uppgifter om dennes hälsotillstånd eller andra personliga förhållanden kan komma att lämnas ut för att fullgöra en rättslig förpliktelse eller för att kunna tillvarata rättsliga anspråk.

    11.4 Vara Vård kan vidare komma att lämna ut uppgifter efter ditt samtycke.
  12. REGISTRERADES RÄTTIGHETER
    12.1 Registrerade har flera rättigheter enligt dataskyddsförordningen och dataskyddslagen. Dessa rättigheter följer nedan. För att utöva dessa rättigheter, vänligen kontakta Vara Vård. Läs mer om registrerades rättigheter på Integritetsskyddsmyndighetens (IMY) webbplats: www.imy.se. Patienter har, utöver rättigheterna enligt dataskyddsförordningen och dataskyddslagen, flera rättigheter som patient. Vara Vård redogör även för dem nedan.

    Rätt till information och tillgång
    12.2 Den registrerade har rätt att få bekräftelse på huruvida personuppgifter som rör denne behandlas och i så fall få tillgång till – en kopia av – personuppgifterna (s.k. registerutdrag). Den registrerade har rätt att kostnadsfritt erhålla information och registerutdrag. Registerutdrag kan begäras genom att kontakta Vara Vård.

    12.3 Den registrerade kan även ha möjlighet att ta del av sin journal via 1177 vårdguiden, www.1177.se.

    12.4 Den registrerade har vidare möjlighet att få ut uppgifter ur sin journal på medier för automatiserad behandling. Det är Vara Vårds uppdragsgivare som ansvarar för sådant utlämnande.

    Rätt till rättelse
    12.5 Den registrerade har rätt att utan onödigt dröjsmål få felaktiga personuppgifter som rör denne rättade eller kompletterade. Rättelse kan begäras genom att kontakta Vara Vård.

    Rätt till radering (rätten att bli glömd)
    12.6 Den registrerade har rätt att i vissa fall utan onödigt dröjsmål få sina personuppgifter raderade. Den registrerade har rätt att få sina personuppgifter raderade om personuppgifterna inte längre är nödvändiga för Vara Vård att behandla för det syfte som de samlades in, om den registrerade motsatt sig att uppgifterna behandlas baserat på Vara Vårds berättigade intresse och det saknas berättigade skäl som väger tyngre än dennes intresse av att få ha sina uppgifter skyddade, om personuppgifterna har behandlats på ett olagligt sätt, eller om personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse.

    12.7 I den utsträckning det är nödvändigt att fortsätta behandlingen av den registrerades personuppgifter, till exempel för att uppfylla Vara Vårds rättsliga skyldigheter, är Vara Vård inte skyldiga att ta bort personuppgifterna. Detta gör att vissa uppgifter kan lagras till dess att Vara Vård inte längre är skyldiga att behandla dem. Vara Vård vill särskilt uppmärksamma den registrerade på att bolaget som regel är skyldiga att bevara journaler. Ansökan om journalförstöring görs hos Inspektionen för vård och omsorg. Den registrerade har alltid rätt att få uppgifter om sig som behandlas för direkt marknadsföring raderade.

    Rätt till begränsning
    12.8 Den registrerade har rätt att i vissa fall begära att vår behandling av dina personuppgifter begränsas. En begränsning kan göras av flera anledningar.
    - Om den registrerade anser att personuppgifterna som Vara Vård behandlar om är felaktiga och den registrerade har begärt rättelse kan denne begära en begränsad behandling under den tid Vara Vård arbetar med att kontrollera huruvida personuppgifterna är korrekta eller inte.
    - Behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning.
    - Vara Vård behöver inte längre personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.
    - Om den registrerade har invänt mot behandling baserad på en intresseavvägning (berättigat intresse) kan denne begära begränsad behandling under den tid Vara Vård arbetar med att kontrollera om bolagets berättigade intressen väger tyngre än den registrerades berättigade intressen.

    12.9 För det fall att behandlingen har begränsats enligt någon av situationerna ovan får Vara Vård endast, utöver själva lagringen, behandla uppgifterna för att fastställa, göra gällande eller försvara rättsliga anspråk, för att skydda någon annans rättigheter eller för att den registrerade har lämnat sitt samtycke.

    12.10 Om behandlingen har begränsats får sådana personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat.

    Rätt att invända
    12.11 Om den rättsliga grunden för en behandling är berättigat intresse har den registrerade rätt att när som helst invända emot behandlingen. Vara Vård får då inte längre behandla personuppgifterna såvida bolaget inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. Personuppgifter om den registrerade får aldrig användas för direkt marknadsföring om denne invänder mot det.
  13. JOURNALFÖRSTÖRING
    13.1 På ansökan av patienten eller någon annan som omnämns i en patientjournal får Inspektionen för vård och omsorg besluta att journalen helt eller delvis ska förstöras.

    13.2 Förutsättningarna för detta är att
    1. godtagbara skäl anförs för ansökan,
    2. patientjournalen eller den del av den som ansökan avser uppenbarligen inte behövs för patientens vård, och
    3. det från allmän synpunkt uppenbarligen inte finns skäl att bevara journalen.
  14. RÄTT ATT INGE KLAGOMÅL
    14.1 Registrerad äger rätt att inge klagomål till Integritetsskyddsmyndigheten om personen anser att behandlingen av personuppgifter som avser henne eller honom strider mot Dataskyddsregler.
  15. RÄTT TILL SKADESTÅND
    15.1 Registrerad som har lidit materiell eller immateriell skada till följd av en överträdelse av Dataskyddsregler har rätt till ersättning från Vara Vård eller i förekommande fall av Vara Vård anlitat personuppgiftsbiträde för den uppkomna skadan. Se artikel 82 i dataskyddsförordningen och 7 kap. 1 § i den kompletterande dataskyddslagen.
  16. SKYDD AV PERSONUPPGIFTERNA
    16.1 För att kunna visa att behandlingen av personuppgifter utförs i enlighet med Dataskyddsregler och med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter genomför Vara Vård lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till riskerna. Dessa åtgärder för att skydda personuppgifterna ses över och uppdateras vid behov.
  17. PERSONUPPGIFTSBITRÄDEN
    17.1 Vara Vård anlitar i vissa fall personuppgiftsbiträden som utför behandling av personuppgifter på uppdrag av Vara Vård. Biträdena ska ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller Dataskyddsreglerna krav och säkerställer att den registrerades rättigheter skyddas.

    17.2 Mellan Vara Vård och ett personuppgiftsbiträde tecknas ett personuppgiftsbiträdesavtal i vilket bland annat regleras föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade, samt parternas skyldigheter och rättigheter.
  18. TILLSYNSMYNDIGHET
    18.1 Integritetsskyddsmyndigheten är tillsynsmyndighet avseende behandling av personuppgifter. Det finns mer information om behandling av personuppgifter på Integritetsskyddsmyndighetens webbplats www.imy.se.
  19. GALLRING AV PERSONUPPGIFTER
    19.1 Vara Vård behandlar personuppgifter bara så länge som det är nödvändigt för ändamålet med behandlingen. I vissa fall kan ytterligare lagring krävas för fullgörande av Vara Vårds rättsliga förpliktelser.

    19.2 Personuppgifter om anställda sparas viss tid även efter anställningens upphörande för att Vara Vård ska kunna fullgöra skyldigheter såsom upprättande av arbetsintyg, pensionsinbetalningar, betalning av avgångsvederlag etc. Information om anledning till anställningens upphörande, lön, position, betyg och bedömningar sparas så länge som det är nödvändigt för att fullgöra Vara Vårds skyldigheter.

    19.3 Personuppgifter om anställda sparas vidare så länge som de tidsfrister som anges i lagen om anställningsskydd (LAS) inom vilka krav från en tidigare anställd gällande ersättning eller återanställning löper.

    19.4 Efter anställningens upphörande sparas uppgifter om semesterersättning och semesterdagar i två (2) år räknat från utgången av det senaste semesteråret.

    19.5 Personuppgifter om arbetssökande bevaras under en tid om två år från det att en tjänst har tillsatts om inte den sökande har samtyckt till att uppgifterna bevaras under en längre tid.

    19.6 Personuppgifter om kunder, leverantörer och samarbetspartners sparas så länge som avtal gäller med aktuell part och därefter i ytterligare två (2) år.

    19.7 Personuppgifter som behandlas vid inspelning av telefonsamtal med patient sparas i två (2) år.

    19.8 Uppgifter i patientjournaler sparas i minst tio år.

    19.9 Bokföringslagen och andra lagar kan kräva längre lagringstider. Dessa lagar gäller framför Dataskyddsregler.

    19.10 Vid tvist kan personuppgifter komma att sparas så länge tvisten pågår.
  20. COOKIES
    20.1 Vi använder cookies på vår webbplats för att underlätta ditt besök och för att göra webbplatsen bättre. Cookies som är nödvändiga för funktionen av vår webbplats kräver inte ditt samtycke. För övriga cookies inhämtar vi samtycke från dig i samband med att du besöker vår webbplats första gången, se cookiebannern på vår webbplats. Du ger ditt samtycke genom att välja att klicka på de olika alternativ som visas. Om du inte vill ge ditt samtycke eller om du vill ta tillbaka ett redan givet samtycke måste du ta bort och blockera eller inaktivera cookies via dina webbläsarinställningar. I inställningarna för webbläsaren kan du också radera tidigare lagrade cookies. Om du väljer att stänga av cookies så kan webbplatsens funktion försämras. Läs mer om hur vi använder cookies i dokumentet Cookies som finns längst ner på landningssidan.
  21. ÄNDRINGAR I DENNA POLICY
    21.1 Vara Vård förbehåller sig rätten att ändra i denna policy för att reflektera ändrade lagkrav och/eller Vara Vårds behandling av personuppgifter. Eventuella ändringar kommer att läggas ut på Vara Vårds webbplats.