Please enable Javascript!

Dataskyddsförklaring CGM ANALYTIX

Click here for Data Protection Declaration for CGM ANALYTIX in English

1. Organisering av dataskydd och tilldelning av ansvar för dataskydd

Affärsenheten CompuGroup Medical LAB AB (i det följande CGM LAB) ser på skyddet av personuppgifter och att behandla dessa ansvarsfullt som en huvudprincip. CGM LAB förbinder sig till strikt regelefterlevnad av alla relevanta lagar och förordningar beträffande lagringen och behandlingen av personuppgifter.

Koncernen CGM SE har etablerat ett centralt verksamhetssystem för dataskydd som säkerställer en konsekvent hög nivå av skydd av personuppgifter och regelefterlevnad av motsvarande dataskyddslagar av alla företag inom CGM SE.

Denna dataskyddsförklaring tjänar till att uppfylla den rättsliga informationsskyldigheten genom att tillhandahålla information om behandlingen av uppgifter inom CGM SE. Denna dataskyddsförklaring refererar specifikt till CGM LAB:s produkt CGM ANALYTIX.

Kund som använder CGM ANALYTIX är personuppgiftsansvarig för all information som lagras i CGM ANALYTIX (CGM LAB lagrar inga uppgifter i kunds installation av CGM ANALYTIX).

CGM LAB uppmanar sina kunder att upprätta rutiner för den egna verksamheten som säkerställer att de personuppgifter som kunden lagrar i CGM ANALYTIX administreras på ett sätt som lever upp till kraven i Dataskyddsförordningen (GDPR). CGM LAB vill i detta sammanhang påpeka att hälso- och sjukvårdsdata är en särskild kategori av personuppgifter och omfattas av högre skydd genom dataskyddsbestämmelser.

2. CGM ANALYTIX

CGM ANALYTIX är ett administrativt processtöd för kliniska laboratorier eller laboratorieorganisationer inom kemi, mikrobiologi och histologi/cytologi (i det följande refererat till som "kund"). CGM ANALYTIX stödjer verksamheten för kunder som i sitt arbete har att följa lagkrav, har strukturerad dokumentation, kontorshantering, fakturering etcetera och följer ytterligare krav som kan uppfyllas med hjälp av valbara tillbehör till CGM ANALYTIX .

CGM ANALYTIX innehåller stöd för hantering av användarrättigheter och begränsar åtkomst till programvara och valbara tillbehör till behöriga personer. Utöver kontroll av åtkomst till programvara och modulära programvarutillägg kontrollerar åtkomsthanteringen också hanteringen av läs- och skrivåtkomst till data som lagrats och behandlats inom systemet.

CGM ANALYTIX innehåller stöd för administration av personuppgifter i enlighet med Dataskyddsförordningen (GDPR) inklusive gallring, radering och export.

Vid användning av CGM ANALYTIX lagras följande typer av information som kan innehålla personuppgifter på kunds server:

• Information om patienter

• Information om personal

• Information om beställare

• Teknisk Information från behandling

3. CGM LAB:s behandling av personuppgifter

Personuppgifter innebär all information som rör en identifierad eller identifierbar fysisk person; en identifierbar fysisk person är en person som kan identifieras, direkt eller indirekt, särskilt genom hänvisning till en identifierare såsom ett namn, ett identifikationsnummer, platsdata, en online-identifierare eller till en eller flera faktorer som är specifika för den fysiska, fysiologiska, genetiska, mentala, ekonomiska, kulturella eller sociala identiteten hos den fysiska personen.

I enlighet med dataskyddslagar förpliktar vi oss att radera alla avtalsuppgifter, loggdata och data från teknisk verksamhet efter att ditt avtal har avslutats.

Vi är emellertid också skyldiga enligt aktiebolagslagstiftning och skattelagstiftning att respektera rättsliga arkiveringsperioder som kan sträcka sig till efter det att ditt avtal avslutats. Data från teknisk verksamhet lagras så länge som tekniskt nödvändigt och tas bort senast efter det att ditt avtal avslutats.

3.1 Avtal- och registreringsuppgifter

Avtal- och registreringsuppgifter identifierar och behandlar det avtalsliga förhållandet mellan kunden och CGM LAB. Dessa uppgifter inkluderar:

• Uppgifter om kunden
- Namn
- Adress
- Telefonnummer
- E-postadress
- Kundens identifierare/identifikationsnummer

• Uppgifter om verksamhetschef/kontaktperson
- Titel
- Förnamn/efternamn
- Namnsuffix
- Adress
- Telefonnummer
- E-postadress
- Personens identifierare/identifikationsnummer

Lagring och behandling av personuppgifter som utlämnas till CGM LAB under affärs- och avtalsförhållandet tjänar och är begränsat till syftet att uppfylla avtalet, särskilt orderhantering och kundsupport.

Endast om tillåtelse genom en samtyckedeklaration mottagits kan dessa uppgifter även komma att användas för produktrelaterade kundundersökningar och marknadsföringsändamål.

Uppgifter kommer inte att överlämnas eller säljas till någon tredje part såvida det inte krävs för att uppfylla avtalet eller om uttrycklig tillåtelse lämnats i form av samtyckesdeklaration. Som exempel kan det vara nödvändigt för CGM LAB att överlämna din adress och orderinformation till en försäljnings- och servicepartner då en order lagts. Vi kommer att informera dig om mottagarna av dina uppgifter i orderbekräftelsen.

Avtalsuppgifter lagras i vårt koncerngemensamma CRM-system vars servrar finns inom EU.

Du har rätt att bli informerad om när dina personuppgifter lagras, rätt till rättelse, rätt att begränsa behandling och rätt till radering av dessa uppgifter.

3.2 Data från teknisk verksamhet

Data från teknisk verksamhet krävs för tillhandahållande av avtalsgaranterade tjänster, t.ex. support och systemuppdateringar. CGM samlar data från teknisk verksamhet endast för detta ändamål. CGM undersöker regelbundet att endast uppgifter som krävs för att tillhandahålla och förbättra den tekniska verksamheten för din produkt/dina tjänster kommer att samlas in, lagras och behandlas.

Uppgifter från kundens verksamhetssystem samlas endast in efter att kunden lämnat sitt samtycke.

Vid användning av våra onlinetjänster, t.ex. supportportal, lagras följande data tillfälligt för att upprätthålla systemintegritet och säkerhet:

• Domännamn

• IP-adress på kundens dator

• Tid och datum för åtkomst

• Filbegäran på kundens dator (filnamn och URL)

• Antalet bytes som överförts under anslutningen.

Data från teknisk verksamhet lagras i vårt koncerngemensamma CRM-system vars servrar finns inom EU.

3.3 Anonymiserade uppgifter

Anonymiserade uppgifter används endast om detta krävs för att CGM LAB ska kunna fullfölja supportuppdrag gentemot kund. Anonymiseringen genomförs i dessa fall av kunden; CGM LAB hanterar endast redan anonymiserade uppgifter som tillhandahållits av kunden.

4. Behandling av personuppgifter med hjälp av CGM ANALYTIX på kunds server

Personuppgifter används i flera program i CGM ANALYTIX. Klicka här för att se en lista.

De personuppgifter som behandlas i CGM ANALYTIX innefattar:

• Teknisk data om kunden, kundens anställda och affärspartners

• Patientuppgifter
- Personlig teknisk data
- Känsliga uppgifter (hälso- och sjukvårdsuppgifter)

Dessa uppgifter lagras och behandlas i databasen på kunds server. CGM LAB uppmanar sina kunder att upprätta rutiner för den egna verksamheten som säkerställer att de personuppgifter som kunden lagrar i CGM ANALYTIX administreras på ett sätt som lever upp till kraven i Dataskyddsförordningen (GDPR).

5. Dataöverföring

Elektronisk dataöverföring baserad på juridiskt, avtalsenligt eller föregående samtycke utförs av CGM LAB endast efter användarinteraktion eller, om tillstånd för detta har beviljats, automatiskt.

6. Sekretessåtagande, utbildningar om dataskydd

Anställda på CGM LAB skriver under ett sekretessavtal som bl.a. reglerar hanteringen patientdata. Utgångspunkten för CGM LAB i detta sammanhang är att vi inte tar del av, ändrar, raderar eller på annat sätt behandlar de uppgifter våra kunder lagt in i våra system om detta inte efterfrågats särskilt av kunden eller är nödvändigt för att vi ska kunna fullgöra våra åtaganden gentemot kunden (t.ex. att lämna support, migrera uppgifter eller liknande). Anställda på CGM LAB förbinder sig att noga tillse att allt material och alla uppgifter av sekretessbelagd natur förvaras på angivet sätt, och iakttaga fullständig tystnadsplikt gentemot obehöriga. Anställda på CGM LAB genomgår utbildning i dataskydd.

7. Säkerhetsåtgärder/Undvikande av risker

CGM vidtar alla nödvändiga tekniska och organisatoriska säkerhetsåtgärder för att skydda dina personuppgifter såväl som dina patienters personuppgifter mot obehörig åtkomst, förändring, utlämnande, förlust, förstörelse och andra former av missbruk. Dessa åtgärder inkluderar interna kontroller och kontroller av våra processer för datainsamling, lagring och behandling samt säkerhetsåtgärder för att skydda IT-system där vi lagrar avtalsuppgifter och data från teknisk verksamhet från obehörig åtkomst.

8. Tekniska och organisatoriska åtgärder

För att säkerställa datasäkerheten bevakar CGM löpande utvecklingen inom säkerhetsteknik. Detta innefattar bland annat genomförandet av konsekvens-, risk- och sårbarhetsbedömningar.

Vidare utförs regelbundet tester särskilt anpassade för att bedöma och utvärdera effektiviteten av de tekniska och organisatoriska åtgärder som säkerställer säkerheten i de olika kategorier av personuppgiftsbehandling som vi utför eller som våra kunder utför i våra produkter.

Följande riktlinjer styr införandet av lämpliga tekniska och organisatoriska åtgärder.

8.1 Backup av data

För att förhindra förlust säkerhetskopieras data kontinuerligt.

8.2 Dataskydd genom design

CGM beaktar dataskydds- integritets- och datasäkerhetsprinciper i hela design- och utvecklingsprocesser av våra IT-system.

Åtgärder för att uppnå inbyggt dataskydd, som exempelvis säker autentisering eller kryptering beaktas vid början av utvecklingsprocessen.

8.3 Dataskydd som standard

CGM:s produkter levereras med fabriksinställningar som är optimerade för att uppnå dataintegritet.

8.4 Kommunikation via e-post (mellan kund och CGM)

Om ni vill kontakta CGM via e-post bör ni vara medvetna om att sekretess för överförd information inte kan garanteras då innehållet i e-postmeddelanden inte kan ses som en säker kommunikationsform. Vi rekommenderar att ni använder annat kommunikationssätt, som telefon, video eller post om ni behöver överföra konfidentiell information.

8.5 Fjärrstyrning

Anställda eller underleverantörer till CGM kan ibland behöva tillgång till patient- eller kunduppgifter. Sådan åtkomst styrs av CGM:s allmänna regler.

• Som standard finns inte åtkomst för fjärrstyrning, sådan åtkomst kan endast beviljas av kunden.

• Lösenord för åtkomst till kundens IT-system utfärdas endast för fjärrstyrning.

• Kritiska ingrepp säkras genom "4-ögon-principen" med minst två kvalificerade personer från CGM.

• Vi använder fjärrstyrningsverktyg som kräver att kunden aktivt beviljar åtkomst och låter kunden spåra insatser.

• Vid åtkomst för fjärrstyrning loggas data i CGM:s CRM-system. Följande data loggas: Ansvarig person, datum och tid, varaktighet, målsystem, fjärrstyrningsverktyg, kortfattad beskrivning av det uppdrag som utförts och vid kritiska ingripanden även namnet på den/de ytterligare personer som konsulterats vid tillämpning av "fyra-ögon-principen".

• Inspelning av fjärrstyrningssessioner är förbjuden.

9. Den registrerades rättigheter

Dataskyddsförordningen (GDPR) slår fast ett antal rättigheter för den registrerade gentemot personuppgiftsansvarig och personuppgiftsbiträde:

• Rätt till information om lagring av sina personuppgifter, och rätt till tillgång till dessa uppgifter.

• Rätt till rättelse, att radera, att begränsa behandling, till dataportabilitet och rätt att invända mot behandling av sina personuppgifter.

• Rätt att återkalla sitt samtycke närsomhelst. Återkallelsen får framtida effekt.

• Rätt att lämna in ett klagomål hos den ansvariga tillsynsmyndigheten om registrerade tror att personuppgiftsansvarig eller personuppgiftsbiträde behandlar den registrerades personuppgifter olämpligt.

Den registrerade ska i första hand vända sig till den personuppgiftsansvarige för att utöva dessa rättigheter. Förhållandet mellan CGM LAB och kund avseende ställningen som personuppgiftsansvarig eller personuppgiftsbiträde regleras i separata avtal.

10. Tillämpning

Regelefterlevnad av dataskyddsreglerna beskrivna häri granskas regelbundet och kontinuerligt av CGM.

Om CGM LAB skulle få ett formellt klagomål kommer företaget att kontakta klagomannen för att lösa eventuella problem i samband med behandlingen av personuppgifter.

CGM LAB förbinder sig att samarbeta med den behöriga förvaltningen, inklusive tillsynsmyndigheten.

11. Ändringar av denna dataskyddsförklaring

Notera att denna dataskyddsförklaring kan komma att rättas och kompletteras. Vid väsentliga ändringar publicerar vi ett detaljerat meddelande. Varje version av denna dataskyddsförklaring kan identifieras genom dess versionsnummer och datum som anges med kursiv text inom parentes sist i texten. Dessutom arkiveras alla tidigare versioner av denna dataskyddsförklaring och görs tillgängliga av den dataskyddsansvarige på begäran.

12. Ansvarig för CGM LAB

CompuGroup Medical LAB AB
Cirkelgatan 14
SE-781 72 Borlänge
Sverige

12.1 Frågor rörande personuppgifter i CGM ANALYTIX

Frågor rörande behandlingen av personuppgifter i CGM ANALYTIX ska skickas till systemadministratören för aktuell kund eftersom kunden är personuppgiftsansvarig för uppgifter i systemet. När så är lämpligt kan systemadministratören vidarebefordra frågan till dataskyddsansvarig på CGM LAB.

Frågor rörande det avtalsmässiga förhållandet mellan CGM LAB och kund kan skickas till dataskyddsansvarig på CGM via e-mail: dataskyddsgruppen.se@cgm.com

13. Behörig tillsynsmyndighet

Datainspektionen
Telefon: +46 (0) 8-657 61 00
E-post: datainspektionen@datainspektionen.se

(Version 3, 2018-06-04)