Integritetspolicy

Personuppgiftsbehandling vid verksamhetsövergång

 

Denna integritetspolicy uppdaterades senast 2022-02-04.

1. Vem ansvarar för behandlingen av dina personuppgifter?

2. Dataskyddsombud

3. Vad är en personuppgift?

4. Varifrån får Aleris dina personuppgifter?

5. För vilka ändamål och med vilken rättslig grund behandlar Aleris dina personuppgifter?

6. Säkerhet för dina personuppgifter

7. Mottagare som uppgifter kan komma att delas med

8. Var behandlar Aleris dina personuppgifter?

9. Hur länge sparar Aleris dina personuppgifter?

10. Dina rättigheter gällande Aleris behandling av dina personuppgifter

11. Om du har funderingar eller om du vill lämna in ett klagomål

12. Kontaktuppgifter till Aleris

---

1. Vem ansvarar för behandlingen av dina personuppgifter?

Den vårdgivare inom Aleris som du har eller har haft en vårdrelation med är ansvarig för behandlingen av dina personuppgifter (s.k. personuppgiftsansvarig). Du hittar mer information om och kontaktuppgifter till respektive vårdgivare i avsnitt 12 (längst ner).

När vi på den här sidan skriver "Aleris", "vi" eller "oss" menar vi samtliga bolag inom Aleris-koncernen som är verksamma i Sverige.

 

2. Dataskyddsombud

Aleris har ett dataskyddsombud som har till uppgift att övervaka att Aleris följer regelverket i dataskyddsförordningen och annan relaterad lagstiftning.

Det går bra att vända dig till dataskyddsombudet om du har frågor kring Aleris personuppgiftsbehandling eller om du vill utöva någon av dina rättigheter som rör personuppgiftbehandling. Enklast når du dataskyddsombudet via e-post (integritet@aleris.se), genom att ringa 08-690 55 00 (växel) eller skicka brev till:

Aleris
Dataskyddsombudet
Box 6401
113 82 Stockholm

Om ditt meddelande innehåller känsliga personuppgifter (t.ex. uppgifter om din hälsa), rekommenderar vi att du kontaktar dataskyddsombudet per vanlig post eller telefon.

 

3. Vad är en personuppgift?

En personuppgift är all slags information som kan kopplas till en enskild person. Det kan till exempel vara ett namn, foto, adress, telefonnummer eller ljudupptagning. Vissa personuppgifter är känsliga, till exempel uppgifter om etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse och uppgifter som rör en persons hälsa. Känsliga personuppgifter måste vi skydda extra noga från t.ex. obehörig åtkomst.

Uppgifter som rör våra patienter brukar vi kalla för patientuppgifter.

 

4. Varifrån får Aleris dina personuppgifter?

Via remiss från andra vårdgivare

Om du kommer till Aleris från en annan vårdgivare via remiss får vi vissa vårdrelaterade uppgifter från den andra vårdgivaren i remissen.

Från dig

I samband med dina kontakter med Aleris får vi uppgifter direkt från dig. De uppgifter som behövs för att kunna ge dig en god och säker vård och för administrationen av din vård skriver vi in i din patientjournal.

Från ditt försäkringsbolag

Om du kommer till oss via ett försäkringsbolag får vi vissa uppgifter från försäkringsbolaget.

Från folkbokföringsregister

I Aleris journalsystem är det viktigt att dina kontaktuppgifter är korrekta och uppdaterade. Därför inhämtar vi uppgifter om dig (namn och kontaktuppgifter) från offentliga folkbokföringsregistret.

Via sammanhållen journalföring

Med ditt samtycke får Aleris inhämta uppgifter om dig från andra vårdgivare genom sammanhållen journalföring. Detta förutsätter att vi har en patientrelation med dig och att uppgifterna hos den andra vårdgivaren kan antas ha betydelse för den vård som du får hos Aleris. Syftet med sammanhållen journalföring är att kunna ge dig god och säker vård och för att du inte ska behöva förmedla samma information igen varje gång du träffar en ny vårdgivare.

Vissa vårdgivare inom Aleris är anslutna till Nationell Patientöversikt (NPÖ), som är ett webbaserat verktyg för sammanhållen journalföring. Med NPÖ kan behörig vårdpersonal ta del av information som finns i din journal hos andra vårdgivare, oavsett journalsystem. För sådan åtkomst krävs en aktuell patientrelation med dig, att de uppgifter vi inhämtar kan antas ha betydelse för den vård vi ska tillhandahålla dig samt att vi först inhämtar ditt samtycke. Observera att kravet på samtycke för åtkomst genom sammanhållen journalföring inte gäller för minderåriga patienter.

Du har rätt att motsätta dig sammanhållen journalföring genom att spärra dina journaluppgifter. Kontakta då den verksamhet som du har besökt så hjälper de dig. I vissa regioner finns det möjlighet att själv lägga spärr på sin patientjournal via 1177 Vårdguiden.

 

Till toppen.

5. För vilka ändamål och med vilken rättslig grund behandlar Aleris dina personuppgifter?

Personuppgifter får endast behandlas för särskilda, uttryckligt angivna och berättigade ändamål. Det är inte tillåtet att samla in mer personuppgifter än vad som är nödvändigt för ändamålet. Uppgifterna får heller inte sparas längre tid än nödvändigt eller behandlas på ett annat sätt än hur det var tänkt från början.

 

6. Säkerhet för dina personuppgifter

Informationssäkerhet

På Aleris vidtar vi de tekniska och organisatoriska säkerhetsåtgärder som behövs för att skydda dina personuppgifter mot t.ex. obehörigt röjande eller obehörig åtkomst till uppgifterna.

Tystnadsplikt

Aleris anställda omfattas av tystnadsplikt enligt 6 kap. 12 § patientsäkerhetslagen, vilket innebär att personalen inte obehörigen får röja patientuppgifter som de har fått kännedom om i tjänsten. Detta gäller både uppgifter om patienters hälsa och andra personliga förhållanden.

 

Till toppen.

7. Mottagare som uppgifter kan komma att delas med

Andra vårdgivare eller bolag inom Aleris-koncernen

Aleris-koncernen består av moderbolaget Aleris Group AB samt flera dotterbolag. Dotterbolagen är personuppgiftsansvariga i sina respektive verksamheter och finns listade längst ner i denna integritetspolicy. Det förekommer att personuppgifter behöver överföras inom Aleris-koncernen för interna administrativa ändamål. För denna överföring krävs en korrekt rättslig grund. Vanligtvis är den rättsliga grunden att det finns ett berättigat intresse för överföringen (artikel 6.1 f GDPR).

Andra vårdgivare utanför Aleris

Andra vårdgivare som har en aktuell patientrelation med dig och, om du är över 18 år, ditt samtycke, kan ta del av dina journaluppgifter enligt regelverket för sammanhållen journalföring. Syftet med sammanhållen journalföring är att ge dig en god och säker vård och för att du ska slippa förmedla samma information varje gång du träffar en ny vårdgivare.

Du har rätt att motsätta dig sammanhållen journalföring genom att spärra dina journaluppgifter. Kontakta då den verksamhet som du har besökt så hjälper de dig. I vissa regioner finns det möjlighet att själv lägga spärr på sin patientjournal via 1177 Vårdguiden.

Andra myndigheter

Det förekommer att Aleris enligt lag måste lämna ut personuppgifter till andra myndigheter, exempelvis Inspektionen för vård och omsorg (t.ex. vid tillsynsärenden), polis (t.ex. vid utredning av vissa typer av brott) och socialtjänst (t.ex. för utredning av barns behov av skydd). Den rättsliga grunden är då att personuppgiftsbehandlingen är nödvändig för att Aleris ska kunna fullgöra en rättslig förpliktelse (artikel 6.1 c GDPR).

Försäkringsbolag

Skulle du komma till oss i ett försäkringsärende kommer vi behöva vidareförmedla relevanta uppgifter till ditt försäkringsbolag så att de kan fullgöra sina åligganden gentemot dig. All kommunikation med ditt försäkringsbolag förutsätter att du har gett ditt samtycke till detta eller att försäkringsbolaget har fått en fullmakt från dig.

Denna integritetspolicy gäller inte för den personuppgiftsbehandling som sker hos ditt försäkringsbolag. För mer information om hur ditt försäkringsbolag behandlar dina personuppgifter rekommenderar vi att du vänder dig till ditt försäkringsbolag.

Personuppgiftsbiträden

För att Aleris ska kunna tillhandahålla bästa möjliga hälso- och sjukvård förekommer det att vi behöver anlita externa IT-leverantörer som tillhandahåller tekniska lösningar, t.ex. för drift, underhåll och support av ett IT-system eller applikation (t.ex. journalsystem) och lagring av information, inklusive personuppgifter. Dessa leverantörer behandlar personuppgifter på uppdrag av Aleris och enligt Aleris dokumenterade instruktioner och kallas för personuppgiftsbiträden.

När en extern leverantör, för att kunna tillhandahålla en viss tjänst, behöver behandla personuppgifter för Aleris räkning, upprättas ett s.k. personuppgiftsbiträdesavtal. Genom ett sådant avtal säkerställer Aleris att leverantören (personuppgiftsbiträdet) endast behandlar uppgifterna för det specifika ändamålet och under de förutsättningar och instruktioner som fastställs av Aleris. Personuppgiftsbiträdet måste bl.a. behandla personuppgifterna i enlighet med Aleris krav på lämpliga tekniska och organisatoriska säkerhetsåtgärder. Personuppgiftsbiträdet måste också säkerställa att uppgifterna endast behandlas på ett sätt som är förenligt med regelverket om sekretess.

Exempel på Aleris personuppgiftsbiträden är Region Stockholm/Karolinska Universitets-sjukhuset (som tillhandahåller journalsystemet Take Care), Evimeria EMR AB (som tillhandahåller journalsystemet Webdoc) och Kivra* (som tillhandahåller den tjänst med vilken Aleris bl.a. kan skicka ut elektroniska kallelser och påminnelser samt kundnöjdhetsundersökningar till dig).

* Denna tjänst förutsätter att du själv har valt att få elektroniska försändelser genom Kivra. Om du har fått en kallelse eller ett annat brev från Aleris via Kivra, trots att du hellre vill att vi kontaktar dig via vanlig post, kan du logga in på Kivras applikation eller www.kivra.se och ändra dina inställningar för utskick.

 

8. Var behandlar Aleris dina personuppgifter?

Aleris behandling av personuppgifter sker huvudsakligen inom EU/EES. Vid anlitande av IT-leverantörer för t.ex. driftstjänster och support försöker vi så långt som möjligt tillse att leverantörerna och eventuella underleverantörer endast lagrar och behandlar personuppgifter inom EU/EES. Undantagsvis kan personuppgifter komma att överföras till länder utanför EU/EES, t.ex. när vi behöver anlita en leverantör som finns utanför eller behandlar uppgifter i ett land utanför EU/EES. All sådan överföring av personuppgifter måste ske i enlighet med gällande lagstiftning och utan att dina lagstadgade rättigheter åsidosätts. Vid överföring till land utanför EU/EES säkerställs lagligheten primärt genom att vi tillämpar EU-kommissionens standardavtalsklausuler för tredjelandsöverföring samt vidtar kompletterande tekniska och organisatoriska säkerhetsåtgärder som medför en god skyddsnivå likvärdig den som erbjuds inom EU/EES.

 

Till toppen.

9. Hur länge sparar Aleris dina personuppgifter?

Personuppgifter får inte sparas längre tid än vad som är nödvändigt för det ändamål de samlades in för (principen om lagringsminimering). Uppgifterna kan dock behöva sparas under en längre tid om det krävs enligt tillämplig lag. En journalhandling ska bevaras i minst tio år efter det att den sista uppgiften fördes in i handlingen.

Vi minimerar lagringstider i så stor utsträckning som möjligt.

 

10. Dina rättigheter gällande Aleris behandling av dina personuppgifter

Som patient hos Aleris har du flera rättigheter när det gäller vår behandling av dina uppgifter. Rättigheterna varierar något beroende på vilken rättslig grund personuppgiftsbehandlingen baseras på. Detta innebär att vissa rättigheter, till exempel rätten till radering, bara gäller vissa typer av personuppgifter och under vissa förutsättningar.

För att utöva dina rättigheter kontaktar du Aleris dataskyddsombud (integritet@aleris.se / 08-690 55 00). Du kan också vända dig till den verksamhet som du har besökt, så kan de hjälpa dig vidare. Det går också bra att skicka brev till

Aleris
Dataskyddsombudet
Box 6401
113 82 Stockholm

Ange vilken rättighet du önskar utöva. Om din begäran innehåller känsliga personuppgifter (t.ex. uppgifter om din hälsa), rekommenderar vi att du kontaktar oss per vanlig post eller telefon.

• Rätt till tillgång

Du har rätt att få information om huruvida Aleris behandlar personuppgifter om dig och – om så är fallet – en kopia på uppgifterna samt information om bland annat vilken slags personuppgifter som behandlas, för vilket ändamål och lagringstid (registerutdrag).

• Rätt till rättelse

Du har rätt be Aleris om att få felaktiga uppgifter rättade. Du har också rätt att komplettera med sådana personuppgifter som saknas och som är relevanta med hänsyn till ändamålet med personuppgiftsbehandlingen. (För uppgifter i patientjournal gäller särskilda regler i bl.a. patientdatalagen.)

• Rätt till radering

Du har rätt att vända dig till Aleris och be att få uppgifter om dig raderade. Radering kan och får endast ske under vissa specifika förutsättningar. Journalanteckningar får enligt patientdatalagen endast raderas efter att IVO har beviljat en ansökan om journalförstöring.

• Rätt till begränsning

Du har i vissa fall rätt att kräva att behandlingen av personuppgifter begränsas. Med begränsning menas att uppgifterna markeras så att de i framtiden endast får behandlas för vissa avgränsade syften. Rätten till begränsning gäller bland annat om du anser att uppgifterna vi behandlar om dig är felaktiga och har begärt rättelse. I sådana fall kan du begära att behandlingen av uppgifterna begränsas under tiden uppgifternas korrekthet utreds.

• Rätt att göra invändningar

Du har rätt att göra invändningar mot vår behandling av dina personuppgifter. Denna rättighet gäller personuppgifter som behandlas för att utföra en uppgift av allmänt intresse eller för ändamål som rör ett berättigat intresse (se avsnitt 5 ovan)

• Rätt till dataportabilitet

Du har i vissa fall rätt att få ut de personuppgifter som rör dig, som du har tillhandahållit Aleris, i ett strukturerat, allmänt använt och maskinläsbart format, som du kan överföra till en annan personuppgiftsansvarig (s.k. dataportabilitet). Rätten till dataportabilitet gäller för personuppgifter som har samlats in med stöd av ditt samtycke eller för att fullgöra ett avtal. Denna rättighet gäller ej personuppgifter som Aleris behandlar för hälso- och sjukvårdsändamål.

• Rätt att få ta del av dina journalhandlingar

Om du vill ta del av dina journalhandlingar är du välkommen att kontakta den mottagning du har besökt och be om att få en journalkopia. Om det inte föreligger några hinder enligt lag har du rätt att få ta del av din journalkopia så snart som möjligt.

Det förekommer att anställda vid Aleris, av organisatoriska skäl, inte har behörighet att ta del av journalanteckningar tillhörande andra verksamheter inom Aleris, varför du, om du har besökt flera olika Aleris-mottagningar, kan behöva vända dig till respektive mottagning för att få ut journalkopior.

• Rätt till loggutdrag

Du har rätt att få information om vilka åtkomster som har gjorts till din patientjournal (s.k. loggutdrag).

• Rätt att återkalla samtycke

Om vi behandlar dina personuppgifter med stöd av ditt samtycke har du rätt att när som helst återkalla det samtycke du har lämnat. Detta innebär att vi måste upphöra med den aktuella personuppgiftsbehandlingen, men det påverkar inte den behandling vi redan har utfört (innan samtycket återkallades).

 

Till toppen.

11. Om du har funderingar eller om du vill lämna in ett klagomål

Vi på Aleris gör vårt yttersta för att hantera dina personuppgifter på säkrast möjliga sätt och enligt gällande lagstiftning. Om du har funderingar kring vår personuppgiftsbehandling eller innehållet i denna integritetspolicy är du varmt välkommen att ta kontakt med oss, t.ex. via integritet@aleris.se eller genom att du ringer den verksamhet som du har besökt.

Om du inte är nöjd med Aleris behandling av dina personuppgifter eller om du anser att Aleris inte uppfyller lagkraven vill vi gärna att du framför detta till oss. Du har också rätt att lämna in klagomål till Integritetsskyddsmyndigheten (IMY).

 

12. Information och kontaktuppgifter

Moderbolag: Aleris Group AB, organisationsnummer 559210-7550

Telefonnummer till Aleris: 08-690 55 00 (vardagar kl. 8-17)

 

Kontaktuppgifter till dataskyddsombud

E-post: integritet@aleris.se
Telefon: 08-690 55 00

Postadress:
Aleris
Dataskyddsombudet
Box 6401
113 82 Stockholm

Till toppen.