Please enable Javascript!

Dataskyddsförklaring TakeCare

1. Organisering av dataskydd och tilldelning av ansvar för dataskydd

Affärsenheten Regional Healthcare Sweden ser på skyddet av personuppgifter och att behandla dessa ansvarsfullt som en huvudprincip. Regional Healthcare Sweden förbinder sig till strikt regelefterlevnad av alla relevanta lagar och förordningar beträffande lagringen och behandlingen av personuppgifter.

CGM SE har etablerat ett centralt ledningssystem för dataskydd som säkerställer en konsekvent hög nivå av skydd av personuppgifter och regelefterlevnad av motsvarande dataskyddslagar av alla företag inom CGM SE-koncernen.

Denna dataskyddsförklaring tjänar till att uppfylla den rättsliga informationsskyldigheten genom att tillhandahålla information om behandlingen av uppgifter inom CGM. Denna dataskyddsförklaring refererar specifikt till Regional Health Care Sweden:s produkt TakeCare.

Kund som använder TakeCare är personuppgiftsansvarig för all information som behandlas i TakeCare.

Regional Health Care Sweden uppmanar sina kunder att upprätta rutiner för den egna verksamheten som säkerställer att de personuppgifter som kunden behandlar i TakeCare administreras på ett sätt som lever upp till kraven i Dataskyddsförordningen (GDPR). Regional Health Care Sweden vill i detta sammanhang påpeka att hälso- och sjukvårdsdata är en särskild kategori av personuppgifter och omfattas av högre skydd genom dataskyddsbestämmelser.

2. TakeCare

TakeCare är ett system avsett för vårddokumentation inom hälso- och sjukvården. TakeCare möjliggör strukturerad inmatning, presentation och visualisering av data. TakeCare är avsett att användas inom akutvård, sjukhusvård (både öppen och sluten), högspecialiserad vård samt primärvård och hemsjukvård. TakeCare kan användas av samtliga personalkategorier verksamma inom dessa områden. TakeCare är moduluppbyggt på en gemensam plattform och omfattar funktioner för vårddokumentation, läkemedelshantering, vårdplanering, multimedia, PAS/ekonomi samt beställning och svar.

TakeCare erbjuder dedikerad hantering av användarrättigheter och begränsar åtkomst till programvara och modulära programvarutillägg till behöriga personer. Utöver kontroll av åtkomst till programvara och modulära programvarutillägg kontrollerar åtkomsthanteringen också hanteringen av läs- och skrivåtkomst till data som lagrats och behandlats inom systemet.

3. Regional Health Care Sweden:s behandling av personuppgifter

Personuppgifter innebär all information som rör en identifierad eller identifierbar fysisk person; en identifierbar fysisk person är en person som kan identifieras, direkt eller indirekt, särskilt genom hänvisning till en identifierare såsom ett namn, ett identifikationsnummer, platsdata, en online-identifierare eller till en eller flera faktorer som är specifika för den fysiska, fysiologiska, genetiska, mentala, ekonomiska, kulturella eller sociala identiteten hos den fysiska personen.

I enlighet med dataskyddslagar förpliktar vi oss att radera alla avtalsuppgifter, loggdata och data från teknisk verksamhet efter att ditt avtal har avslutats.

Vi är emellertid också skyldiga enligt aktiebolagslagstiftning och skattelagstiftning att respektera rättsliga arkiveringsperioder som kan sträcka sig till efter det att ditt avtal avslutats. Data från teknisk verksamhet lagras så länge som tekniskt nödvändigt och tas bort senast efter det att ditt avtal avslutats.

3.1 Avtal- och registreringsuppgifter

Avtal- och registreringsuppgifter identifierar och behandlar det avtalsliga förhållandet mellan kunden och Regional Healthcare Sweden. Dessa uppgifter inkluderar:

• Uppgifter om kunden

o Namn

o Adress

o Telefonnummer

o Identifierare/identifikationsnummer

• Uppgifter om kontaktperson

o Typ av titel

o Förnamn/efternamn

o Namnsuffix

o Läkarens/vårdgivarens identifie-rare/identifikationsnummer

o E-postadress

o Telefonnummer

Lagring och behandling av personuppgifter som utlämnas till Regional Healthcare Sweden under affärs- och avtalsförhållandet tjänar och är begränsat till syftet att uppfylla avtalet, särskilt orderhantering och kundsupport.

Endast om tillåtelse genom en samtyckedeklaration mottagits kan dessa uppgifter även komma att användas för marknadsföringsändamål.

Uppgifter kommer inte att överlämnas eller säljas till någon tredje part såvida det inte krävs för att uppfylla avtalet eller om uttrycklig tillåtelse lämnats i form av samtyckesdeklaration. Som exempel kan det vara nödvändigt för Regional Healthcare Sweden att överlämna din adress och orderinformation till en försäljnings- och servicepartner då en order lagts. Underleverantörer som vi använder och som behandlar våra kunders data framgår av det personuppgiftsbiträdesavtal som tecknats med alla kunder.

Avtalsuppgifter lagras i vårt koncerngemensamma CRM-system vars servrar finns inom EU.

Du har rätt att bli informerad om när dina personuppgifter lagras, rätt till rättelse, rätt att begränsa behandling och rätt till radering av dessa uppgifter.

3.2 Data från teknisk verksamhet

Data från teknisk verksamhet krävs för tillhandahållande av avtalsgaranterade tjänster, t.ex. support och systemuppdateringar. CGM samlar data från teknisk verksamhet endast för detta ändamål. CGM undersöker regelbundet att endast uppgifter som krävs för att tillhandahålla och förbättra den tekniska verksamheten för din produkt/dina tjänster kommer att samlas in, lagras och behandlas.

Uppgifter från kundens versamhetssystem samlas endast in efter att kunden lämnat ditt godkännande.

Data från teknisk verksamhet lagras i vårt koncerngemensamma CRM-system vars servrar finns inom EU.

3.3 Anonymiserade uppgifter

Anonymiserade uppgifter används endast om detta krävs att TakeCare ska kunna fullfölja supportuppdrag gentemot kund. Anonymiseringen genomförs i dessa fall av kunden; TakeCare hanterar endast redan anonymiserade uppgifter som tillhandhållits av kunden.

4. Behandling av personuppgifter med hjälp av TakeCare på kunds server

Personuppgifter behandlas i TakeCare.

Behandlingen av personuppgifter i TakeCare begränsas till:

• Basdata om mottagningen och dess anställda

• Uppgifter om användare

o Personlig basdata

o Personnummer

Dessa uppgifter lagras och behandlas i databasen på din mottagnings server. Regional Healthcare Sweden uppmanar sina kunder att upprätta rutiner för den egna verksamheten som säkerställer att de personuppgifter som kunden lagrar i TakeCare administreras på ett sätt som lever upp till kraven i Dataskddsförordningen (GDPR).

4.1 Basdata för vårdenheter och dess anställda

Basdata för din vårdenhet lagras för ändamålet regelefterlevnad av lagkrav och för korrekt användning av vissa moduler/avtal. Basdata om vårdenheten och dess anställda inkluderar:

• Namn på vårdenhet

• Adress

• Telefonnummer

• Identifierare/identifikationsnummer

• Uppgifter om läkaren/vårdgivaren/övriga anställa

o Yrkesgrupp

o Förnamn och efternamn

o Läkarens/vårdgivarens identifie-rare/identifikationsnummer

o Användarnamn och lösenord

Basdata behövs när olika programvarumoduler används för att utföra åtgärder och det används automatiskt. Överföringen till tredje part utförs efter förhandstillstånd eller användarinteraktion.

4.2 Patientuppgifter

Lagringen, användningen och behandlingen av patientuppgifter är endast tillåten med patientens (den registrerade) samtycke eller baserat på en laglig skyldighet. Patientuppgifter genereras inte automatiskt i TakeCare. Patientuppgifter samlas in och tas in i TakeCare av mottagningen respektive av läkaren/personalen som arbetar på den medicinska mottagningen.

Patientbasdata: Patientbasdata infångas och matas in automatiskt med hjälp av elektronisk datamedia (t ex patientkort) och/eller inmatas eller kompletteras genom manuell datainmatning.

En åtskillnad görs mellan nödvändiga (obligatoriska) uppgifter för att uppfylla avtalsenliga eller juridiska åtaganden å ena sidan och ytterligare icke-obligatoriska uppgifter lämnade av patienten å andra sidan.

Obligatoriska uppgifter inkluderar:

• Personuppgifter (förnamn, efternamn, pre- eller suffix-namn, födelsedatum, kön, adress/titel)

• Adressuppgifter (gata, husnummer, postnummer, stad, land)

• Uppgifter om kostnadsbäraren/vårdgivaren och försäkringstyp (vårdgivare)

• Vid remiss behövs även information såsom

o Remitterande läkare

o Remissinformation

o Diagnoser

Icke-obligatoriska ytterligare uppgifter inkluderar:

• Telefonnummer

• Mobilnummer

Känsliga uppgifter: Hälso- och sjukvårdsdata är en särskild kategori av personuppgifter och omfattas av högre skydd genom dataskyddsbestämmelser.

Att skriva in uppgifter i patientens journaler härrör från den rättsliga skyldigheten för den behandlande läkaren att dokumentera alla åtgärder och respektive resultat som är relevanta för patientens nuvarande och framtida behandling.

Dessa uppgifter inkluderar:

• Sjukdomshistoria

• Diagnos

• Undersökning

• Provresultat

• Undersökningsresultat

• Terapisamtal och deras respektive resultat

• Interventioner och deras respektive resultat

• Samtyckesdokumentation

• Läkarbrev

Rättelser och ändringar i patientens journaler är möjliga. Det ursprungliga innehållet är tillgängligt och kan konsulteras vid behov. Radering är möjlig inom gränserna för rättsliga arkiveringsperioder. Motsvarande procedurer och funktionaliteter beskrivs i manualen för TakeCare.

4.3 Behandling av mottagningens uppgifter och känsliga personuppgifter | patientuppgifter på programvarumoduler

Integrerade moduler installeras som standard tillsammans med TakeCare som de interagerar med och deltar i behandlingen av personuppgifter. För alla journaldokument i TakeCare lagras uppgifter om vilken användare som skapat, ändrat eller signerat dokumentet. Dessa uppgifter, som bekrivs i avsnitt 4.1, kan förekomma vid behandling av data i modulerna nedan. Även data om vårdenhet är vanligt förekommande.

Här finns en beskrivning av integrerade moduler och vilka data som behandlas:

Ankomstregistrering och betalningsregistrering i terminal innebär överföring av patientuppgifter (t.ex. personnummer, adressuppgifter), uppgifter om remissen (t.ex. besökstyp, ekonomiskt/remitterande enhet) samt underlag för patientavgift.

Beslutsstöd är ett stöd för att hjälpa användaren att utvärdera om det föreligger välgrundad misstanke för ett specifikt tillstånd (t.ex. prostatacancer) eller ej, genom att ge rekommendationer. Beslutsstöd omfattar behandling av patientuppgifter (t.ex. namn, ålder) och uppgifter till remiss. Klinisk patientdata som redan finns tillgänglig i journalsystemet (t.ex. läkemedel, labbvärde) och krävs av applikationen för att genomföra en bedömning importeras automatiskt.

Digital diktering innebär möjlighet att diktera en ljudfil direkt i patientens journal och därefter kunna lyssna på den och transkribera. Diktatet kan innehålla personuppgifter, basdata för mottagningen samt användaruppgifter.

Elektronisk remiss och remissvar för att beställa provtagning eller undersökning samt få svar på beställning, omfattar behandling av patientuppgifter inklusive känsliga uppgifter (diagnose(r)). Uppgifterna överförs till mottagare av beställningen.

E-läkarintyg för att skicka underlag för bedömning av sjukskrivning överför data såsom patientuppgifter inklusive känsliga uppgifter till Försäkringskassan.

Folkbokföringsregistret för hämtning av personlig basdata.

Infektionsverktyget hanterar patientuppgifter inklusive känsliga uppgifter (diagnose(r)) för att rapportera data till det nationella it-stödet som visar information om vårdrelaterade infektioner och antibiotikaanvändning.

Intelligence överför data från TakeCare till en relationsdatabas för att möjliggöra uppföljning, statistik och forskning. Utifrån data i Intelligence kan rapporter skapas. Utifrån data i Intelligence kan rapporter skapas. En del av rapporterna som finns tillgängliga visar patientuppgifter, i vissa fall känsliga uppgifter såsom diagnos.överför data från TakeCare till en relationsdatabas för att möjliggöra uppföljning, statistik och forskning. Utifrån data i Intelligence kan rapporter skapas.

Kvittoskrivare behandlar patientuppgifter inklusive känsliga uppgifter (diagnose(r)) samt i realtid för att skriva ut kvitton från betalningstransaktioner.

Listningsinformation kan hämtas till TakeCare genom överföring av patientuppgifter. Behandlingen sker i realtid.

Skanningsmodulen används för att lagra inskannade dokument i patientens journal. Skannade dokument kan innehålla patientuppgifter.

Skrivare (armbandsskrivare, etiketteskrivare, dokumentskrivare osv) som installeras i Windows och används av TakeCare. Skrivare är ibland nätverksskrivare och ibland lokala skrivare kopplade till en viss dator. Skrivarna kan vara av olika fabrikat med olika programspråk och således kräva olika mallar för samma tillämpning (på olika datorer).

SMS-påminnelseunderlag för påminnelse utifrån bokad tid behandlar personlig basdata. Uppgifterna som utgör SMS-påminnelseunderlag överförs till en filkatalog hos kunden. Kunden ansvarar för att hämta samtycke och även för vilka uppgifter som överförs till patientens angivna mobiltelefon. Uppgifter kan komma att överföras till tredje land i det fall mottagaren befinner sig på motsvarande plats vid överföring.

Väntetidsrapportering hanterar patientuppgifter inklusive känsliga uppgifter för att möjliggöra överföring av uppgifter om väntetider till uppdragsgivare i region och landsting för statistik och uppföljning.

Webbokning behandlar patientuppgifter i realtid för att möjliggöra bokning av tider online. Överföring av uppgifter från webportalen till journalsystemet för att generera tider i journalsystemets bokningsmodul och lagras.

Webcert är Ineras tjänst som är tillgänglig via ett uthopp i TakeCare för att skapa och hantera intygen (t.ex. Läkatintyg sjukpenning). Att skapa ett intyg omfattar behandling av patientuppgifter inklusive känsliga uppgifter. I Webcert betraktas dokument som intygsutkast så länge det inte signerats. Efter signering blir intyget synligt för patienten i Mina intyg som nås via 1177, Mina Vårdkontakter. Från Mina intyg kan patienten skicka intyget till Försäkringskassan.

Xport Archive möjliggör export av all patientrelaterad information i strukturerad XML-format till ett filarkiv.

För detaljerad information om integrerade moduler, se TakeCare bruksanvisning. Radering av uppgifter som inte omfattas av systemets raderingsfunktionaltitet görs i normalfallet på beställning av kunden utifrån specifik instruktion och med hänsyn till gällande lagar och regleringar.

5. Dataöverföring

Automatisk eller manuellt initierad elektronisk dataöverföring från TakeCare till andra system, eller inom TakeCare mellen olika vårdgivare/enheter, kan ske utifrän olika legala grunder.

Dataöverföring baserad på lagregleringar

Från TakeCare kan man exportera en journalanteckning till RA-registret. För att kunna exportera en journalanteckning, krävs en särskild behörighet samt ett samtycke från patienten.

Dataöverföring baserad på avtalsenliga skyldigheter

Uppgifter som utgör underlag för ersättning överförs till vårdgivarens avtalsparter så att vårdgivaren får ersättning för utförd vård . Arbetsgivare, region och landsting, försäkringsbolag kan förekomma som avtalsparter. Uppgifter som överförs innefattar personlig basdata, känsliga personuppgifter, basdata för mottagningen. Uppgifter överförs i normalfallet krypterat.

Elektronisk dataöverföring baserad på samtycke

Överföring baserad på samtycke görs i normalfallet endast till patienten själv.

6. Sekretessåtagande, utbildningar om dataskydd

Anställda på Regional Healthcare Sweden skriver under en sekretessförbindelse som reglerar hanteringen av personuppgifter, inklusive patientuppgifter. Utgångspunkten för Regional Healthcare Sweden i detta sammanhang är att vi inte tar del av, ändrar, raderar eller på annat sätt behandlar de uppgifter våra kunder lagt in i våra system om detta inte efterfrågats särskilt av kunden eller är nödvändigt för att vi ska kunna fullgöra våra åtaganden gentemot kunden (så som att lämna support, migera uppgifter eller liknande).

Anställda på Regional Healthcare Sweden förbinder sig att noga tillse att allt material och alla uppgifter av sekretessbelagd natur förvaras på angivet sätt, och iakttaga fullständig tystnadsplikt gente-mot obehöriga. Anställda på Regional Health Care Sweden genomgår utbildning i dataskydd kontinuerligt.

7. Säkerhetsåtgärder/Undvikande av risker

CGM vid tar alla nödvändiga tekniska och organisatoriska säkerhetsåtgärder för att skydda dina personuppgifter såväl som dina patienters personuppgifter mot obehörig åtkomst, förändring, utlämnande, förlust, förstörelse och andra former av missbruk. Dessa åtgärder inkluderar interna kontroller och kontroller av våra processer för datainsamling, lagring och behandling samt säkerhetsåtgärder för att skydda IT-system där vi lagrar avtalsuppgifter och data från teknisk verksamhet från obehörig åtkomst.

8. Tekniska och organisatoriska åtgärder

För att säkerställa datasäkerhet bedömer CGM löpande utvecklingen inom säkerhetsteknik. Detta innefattar bland annat genomförandet av konsekvens-, risk- och sårbarhetsbedömningar.

Vidare utförs regelbundet tester särskilt anpassade för att bedöma och utvärdera effektiviteten av de tekniska och organisatoriska åtgärder som säkerställer säkerheten i de olika kategorier av personuppgiftsbehandling som vi utför eller som våra kunder utför i våra produkter.

Vidare utförs dedikerade djupdykningstest för att regelbundet testa, bedöma och utvärdera effektiviteten av dessa tekniska och organisatoriska åtgärder som säkerställer säkerheten i behandlingen.

Följande riktlinjer ska styra genomförandet av lämpliga tekniska och organisatoriska åtgärder:

Backup av data (mottagning)

För att förhindra förlust säkerhetskopieras data regelbundet.

Dataskydd genom design

CGM beaktar dataskydd/integritets- och datasäkerhetsprinciper beaktas i hela design- och utvecklingsprocesser av IT-system.

Målet är att förhindra kostsam och tidskrävande extraprogrammering som skulle krävas om datasäkerhets- och säkerhetskrav skulle genomföras efter implementering av IT-system. Åtgärder som inaktivering av vissa programvaruegenskaper, autentisering eller kryptering beaktas vid början av utvecklingsprocessen.

Dataskydd som standard

CGM:s produkter levereras med fabriksinställningar som är optimerade för dataintegritet.

Kommunikation via e-post (mellan kund och CGM)

Om ni vill kontakta CGM via e-post bör ni vara medvetna om att sekretess för överförd information inte kan garanteras då innehållet i e-postmeddelanden inte kan ses som en säker kommunikationsform. Vi rekommenderar att ni använder annat kommunikationssätt, som telefon, video eller post om ni behöver överföra konfidentiell information.

Fjärrstyrning

Anställda på CGM eller underleverantörer till CGM kan ibland behöva tillgång till patient- eller kunduppgifter. Sådan åtkomst styrs av CGM:s allmänna regler

o Som standard finns inte åtkomst för fjärrstyrning, sådan åtkomst kan endast beviljas av kunder.

o Lösenord för åtkomst till kundens IT-system utfärdas endast för fjärrstyrning.

o Kritiska ingrepp säkras genom “fyra-ögon-principen” med ytterligare kvalificerad personal.

o Vi använder fjärrstyrningsverktyg som kräver att kunden aktivt beviljar åtkomst och låter kunden spåra insatser.

o Vid åtkomst för fjärrstyrning loggas data i CRM-systemet. Följande data loggas: Ansvarig person, datum och tid, varaktighet, målsystem, fjärrstyrningsverktyg, kortfattad beskrivning av det uppdrag som utförts och vid kritiska ingripanden även namnet på ytterligare kvalificerade personer som konsulterats vid tillämpning av ”fyra-ögon-principen”.

o Inspelning av fjärrstyrningssessioner är förbjuden.

9. Den registrerades rättigheter

Dataskyddsförordningen (GDPR) slår fast ett antal rättigheter för den registrerade gentemot personuppgiftsansvarig och personuppgiftsbiträde:

• Rätt till information om lagring av sina personuppgifter, och rätt till tillgång till dessa uppgifter.

• Rätt till rättelse, att radera, att begränsa behandling, till dataportabilitet och rätt att invända mot behandling av sina personuppgifter.

• Rätt att återkalla sitt samtycke närsomhelst. Återkallelsen får framtida effekt.

• Rätt att lämna in ett klagomål hos den ansvariga tillsynsmyndigheten om registrerade tror att personuppgiftsansvarig eller personuppgiftsbiträde behandlar den registrerades personuppgifter olämpligt.

Vi förbinder oss att utan din föregående begäran radera alla avtalsuppgifter, loggdata och all data från teknisk verksamhet efter det av ditt avtal avslutats.

Den registrerade ska i första hand vända sig till den personuppgiftsansvarige för att utöva dessa rättigheter. Förhållandet mellan Regional Health Care Sweden och kund avseende ställningen som personuppgiftsansvarig eller personuppgiftsbiträde regleras i separata avtal.

Vi är i vissa fall skyldiga att enligt akiebolags- och skattelagstiftning efterfölja rättsliga arkiveringsperioder som kan sträcka sig till efter det att ditt avtal avslutats. Data från teknisk verksamhet lagras endast så länge det är tekniskt nödvändigt och raderas senast efter det att ditt avtal avslutats.

Patientens personuppgifter

Dina patienter har rätt att bli informerade om uppgifter om dem som lagras likväl som rätt att ta emot och överföra sina personuppgifter (dataportabilitet) och rätt till rättelse, radering, begränsning av behandling och rätt att invända mot behandling av deras personuppgifter.

När du mottar borttagningsbegäran från patienter är du dock tvungen att följa gällande arkiveringsperioder.

Dina patienter har rätt att dra tillbaka sina samtycken närsomhelst. Återkallelser får framtida effekt.

Dina patienter har rätt att lämna in ett klagomål hos ansvarig tillsynsmyndighet om de tror att du behandlar deras personuppgifter olämpligt.

10. Tillämpning

Regelefterlevnad av dataskyddsreglerna beskrivna häri granskas regelbundet och kontinuerligt av CGM.

Om CGM skulle få ett formellt klagomål kommer företaget att kontakta klagomannen för att lösa eventuella problem i samband med behandlingen av personuppgifter.

CGM förbinder sig att samarbeta med den behöriga förvaltningen, inklusive tillsynsmyndigheten.

11. Ändringar av denna dataskyddsförklaring

Notera att denna dataskyddsförklaring kan komma att rättas och kompletteras. Vid väsentliga ändringar publicerar vi ett detaljerat meddelande. Varje version av denna dataskyddsförklaring kan identifieras genom dess datum och versionsnummer i förklaringens sidfot. Dessutom arkiveras alla tidigare versioner av denna dataskyddsförklaring och görs tillgängliga av den dataskyddsansvarige på begäran.

12. Ansvarig för CompuGroup Medical Sweden AB

CompuGroup Medical Sweden AB

Olof Palmes gata 23

1122 Stockholm

Dataskyddsombud

Frågor rörande personuppgifter i TakeCare

Frågor rörande behandlingen av personuppgifter i TakeCare ska skickas till systemadministratören för aktuell kund eftersom kunden är personuppgiftsansvarig för uppgifter i systemet. När så är lämpligt kan systemadministratören vidarebefordra frågan till dataskyddsansvarig på Regional Health Care Sweden.

För frågor rörande det avtalsmässiga förhållandet mellan Regional Health Care Sweden kan du kontakta CGM:s dataskyddsombud.

CompuGroup Medical Sweden AB

Box 1841

751 48 Uppsala

Telefon: +46 (0) 18 474 44 00

e-post: dataskyddsgruppen.se@cgm.com

13. Behörig tillsynsmyndighet

Den behöriga tillsynsmyndigheten för CompuGroup Medical Sweden AB Regional Healthcare Sweden är

Datainspektionen

E-post: datainspektionen@datainspektionen.se

Telefon: +46 (0) 8-657 61 00