Personuppgiftshantering
Personuppgiftspolicy
Sammanfattningsvis gäller för Clarahälsans kundföretag att vi inte behöver teckna ett sk personuppgiftsbiträdesavtal eftersom vi endast hanterar kundföretags personuppgifter i syfte att föra medicinsk journal (i enlighet med patientdatalagen). Även privata kunders personuppgifter hanteras i enlighet med patientdatalagen och den nya dataskyddsförordningen/GDPR. Då vi som vårdgivare är skyldiga att föra patientjournal hanterar vi uppgifter såsom namn, adress, personnummer, telefonnummer, mailadress liksom relevanta medicinska uppgifter i syfte att föra patientjournal i enlighet med patientdatalagen.
Hur lämnar Clarahälsan information?
När vi skickar information (som innehåller personuppgift) via mail eller papperspost sker det alltid direkt till den berörda individen. Uppgifter som rör personens hälsa (sk känsliga personuppgifter såsom provsvar, intyg, remissvar mm) skickas via papperspost eller SMS med Mobilt bank-ID.
Om vi lämnar journaluppgifter till tredje part (ej direkt till patient och ej remiss till sjukvården) skall patientens samtycke finnas. Denna hantering skall även journalföras (tex att en journalkopia översänts till försäkringsbolag, Afa m fl). Vid en ev rättelse, begränsning eller beslut av IVO om förstöring av journalhandlingar, skall den organisation som man överfört journalhandlingar till informeras (vid rättelse/begränsning behöver underrättelse ej ske om det är omöjligt eller medför en oproportionell ansträngning). Likaså skall Clarahälsan kunna ta emot information från en annan organisation om rättelse, begränsning eller förstöring av journal. Det åligger i sådant fall Clarahälsans dataskyddsombud och medicinskt ledningsansvarig att i samråd verkställa en sådan hantering i vårt journalsystem.
En journaluppgift skall sparas i 10 år och kan enbart korrigeras i enlighet med ovanstående exempel och på beslut från IVO.
Detta innebär vidare att vi i mailkorrespondens uppmanar att inte inkludera personuppgifter vid patientärende och att vi genomför direkt radering vid sådana uppgifter i inkommande mail liksom att vi regelbundet gallrar övriga personuppgifter som inte krävs för upprätthållande av rättslig förpliktelse (upprätthållande av avtal, bokföring mm).
Registerhantering
Vår patientdatahantering sker i ett datoriserat journaldatasystem med sk stark autentisering och med avtalade support- och driftsäkerhetsavtal (liksom personuppgiftsbiträdesavtal). Inkommande personuppgifter (tex via post såsom remissvar, provsvar mm) och som är en journaluppgift skall skyndsamt överföras digitalt till vårt journalsystem (scanning av oss eller direkt via leverantör av tex provsvar). Personuppgifter inkl journaluppgifter som inte är inscannade i vår journal förvaras i låst utrymme (tex äldre pappersjournaler eller om vi hanterar en patient med skyddad identitet).
Register över våra kundföretag finns i vårt journalsystem samt i affärssystemet. Personuppgifter till kontaktpersoner kan snabbt raderas vid upphörande av avtal eller byte av kontaktperson. Uppgifter som hanteras i vårt kundregister är hämtade från tecknat kundavtal och innehåller uppgifter om kundföretagets namn, organisationsnummer, faktureringsadress, antal anställda, namn, mailadress och telefon till kontaktperson.
Fakturaunderlag innehåller personuppgifter för att koppla utförd tjänst till rätt person. Åtkomst till fakturaunderlag sker endast genom behörig inloggning till fakturaportal.
Vi skickar regelbundet digitala nyhetsbrev till våra kunder. Syftet med utskicken är att informera kundföretag om nya regler inom arbetsmiljö och företagshälsovård liksom för att informera om vår verksamhet (personalinformation, öppettider, kontaktinformation och liknande). Dessa utskick sker utan att mottagaren kan läsa andra mottagares personuppgifter såsom mailadress. Dessa uppgifter är således inte ren marknadsföring utan i första hand uppgifter som ingår i vårt avtal med kundföretaget (med syfte att uppdatera kunden i området arbetsmiljö och hälsa). Möjlighet att avregistrera sig finns via länk på varje nyhetsbrev.
Rättighet att korrigera och radera en personuppgift
Alla som finns i våra register skall ha rätt att bli helt borttagna med undantag av journaluppgifter där patientdatalagen gäller framför GDPR. Vi kan inte heller radera de uppgifter som utgör allmänna handlingar eller då det föreligger ett lagstadgat krav på lagring, som exempelvis bokföringsregler, eller när det finns andra legitima skäl till varför uppgifterna måste sparas, till exempel obetalda skulder. När man begär en rättelse eller radering i vårt registersystem (utanför journalsystemet) skall detta kunna ske enligt ”Rätten till rättelse eller radering”. Verksamhetsansvarig vid Clarahälsan ansvarar för att en sådan förfrågan verkställs. Den enskilde har rätt att vända sig till oss för att få felaktiga personuppgifter rättade/raderade liksom att få uppgifter kompletterade. När Clarahälsan har rättat/raderat en uppgift skall den registrerade meddelas att denna ändring är gjord.
Du har rätt att när som helst (kostnadsfritt en gång om året) begära information om vilka personuppgifter vi har sparat om dig. Din begäran ska vara skriftlig och egenhändigt undertecknad samt innehålla uppgift om namn och personnummer. Innan journaluppgift kan lämnas ut sker dock en sk menprövning (när man prövar om personuppgifter kan röjas utan att det är till men för den som uppgifterna rör eller dennes närstående).
Begäran om registerutdrag, information eller rättning av felaktiga uppgifter skickas till:
Clarahälsan AB
Gustaf Anders gata 15B
653 40 Karlstad
Uthämtning av register/journaluppgift sker på vår mottagning i Fanfaren i Karlstad och efter uppvisande av legitimation.
Det finns möjlighet att i förkommande fall inge klagomål till Datainspektionen som är tillsynsmyndighet för behandling av personuppgifter.