Integritetspolicy
1. Inledning
Nordic Executive Medicine AB, org. nr 559076–6381 är personuppgiftsansvarig och behandlar personuppgifter i verksamheten. Denna integritetspolicy finns till för att delge hur vi hanterar personuppgifter. Innan vidare detaljer vill vi belysa tre punkter som ligger till grund för vårt förhållningssätt. Punkterna är viktiga för oss eftersom vi vet att de är viktiga för dig:
- Vi vill tydliggöra ansvaret för att skydda dina rättigheter och din integritet.
- Vi förklarar hur vi använder de personuppgifter du delar med oss, för att vi ska kunna erbjuda dig våra varor och tjänster, samt ge dig den bästa möjliga upplevelsen av dem när du är i kontakt med oss.
- Dokumentet ska ge dig förståelse för vilka uppgifter vi samlar in och vad vi gör – respektive inte gör – med dem.
2. Parter och ansvar för behandlingen av personuppgifter
Nordic Executive Medicine AB, org.nr: 559076–6381, nedan också kallat för ”NEM”, NEM Health”, ”Företaget”, “Vi”, “Oss” eller “Vår” är en leverantör av olika medicinska varor och tjänster, gemensamt benämnt ”Produkter” eller ”Produkterna”, till både privat- och företagskunder. NEM är personuppgiftsansvarig för behandlingen av de personuppgifter du tillhandahåller NEM genom ditt användande av Produkterna.
”Du”, ”Dig”, ”Kund”, “Kunden” och “Klient” och är den fysiska eller juridiska personen som har köpt Produkterna av NEM och/eller till vilken Produkterna levereras, vilket kan vara privatpersoner, patienter, företag, vårdcentraler, små och stora sjukhus, företagshälsovårdsenheter, bemanningsföretag etc. utifrån specifika förutsättningar. Du som är kund har kontaktuppgifter registrerade hos oss, för att vi ska kunna leverera Produkterna till dig enligt gällande avtal. Företaget är personuppgiftsansvarig för behandlingen av de personuppgifter som delas med oss när Du:
- använder och beställer Produkter från NEM
- ingår avtal med NEM och blir kund
- registreras som kontaktperson hos NEM för din egen, en organisations, eller din närståendes räkning
- har en fråga och kontaktar oss via en kommunikationskanal
- besöker vår hemsida och accepterar cookies
- registrerar dig för nyhetsbrev och marknadsföring via vår hemsida
- svarar på quiz eller andra formulär via vår hemsida
3. Vilka personuppgifter behandlar vi om dig och varför?
Som en registrerad vårdgivare under tillsyn av Inspektionen för Vård och Omsorg (IVO-ID Org-2019-00017456) kommer vi i kontakt med känsliga personuppgifter i form av hälsoinformation (journalhandlingar, hälsodata etc.). För att kunna behandla dessa uppgifter enligt gällande lag och för att uppfylla Socialstyrelsens krav, använder vi krypterade patientjournalsystem i den kliniska vardagen.
NEM samlar in uppgifter om dig som kund, för att kunna hantera din beställning, skapa och förbättra affärsrelationen, samla in intresseanmälningar, marknadsföring, statistiska ändamål, för att kunna fakturera dig, som underlag enligt bokföringslagen, samt för att identifiera dig och för att kunna erbjuda dig som enskild klient den bästa möjliga vården baserat på din patientdata.
Behandling av känsliga personuppgifter som patientdata, sker först efter du delar dessa personuppgifter med oss. Dessa personuppgifter kan komma NEM tillhanda muntligt, skriftligt och genom användande av NEMs Produkter. Som klient ger du oss även rätt att behandla dessa personuppgifter genom ditt samtycke av Slutanvändaravtalet och denna Integritetspolicy.
Vi använder oss av underleverantörer i syfte att öka säkerheten i behandlingen av dina personuppgifter. Som en privat vårdgivare är vi skyldiga att följa samma sekretess och tystnadsplikt som den offentliga vården. Till följd av detta har vi etablerade rutiner för hantering av känsliga och sekretessbelagda personuppgifter i enlighet med GDPR och patientdatalagen, samt att vi följer de riktlinjer som gäller för kvalitetssäkring och kvalitetsutveckling för vårdgivare som angivits av Socialstyrelsen (SOSFS 2005:12).
3.1 Administration av medlemskap och avtal
När du beställer Produkterna samlar vi in kontaktuppgifter om dig. Du som är fysisk person, “klient”, och är del av ett aktivt avtal med oss, innehar vi personuppgifter för. Omfattningen av personuppgifterna varierar efter de Produkter du köper hos oss.
| Behandlingar som utförs för ändamålet |
· Administration av registrering om medlemskap · Fakturering/Betalning av avgift · Kommunikation om registreringsprocess
|
| Kategorier av personuppgifter |
· Namn · Kontaktuppgifter · Personnummer · Organisationsnummer (personuppgift om enskild firma) · Befattning och företag
|
| Laglig grund | Avtal |
| Lagringstid | Efter avslutat medlemskap/avtal sparas personuppgifter i enlighet med lagkrav. Övriga personuppgifter som inte omfattas av lagkrav raderas inom tre (3) månader vid avslut av medlemskap och avtal. |
3.2 Medlemsservice och kommunikation
Om du kontaktar oss i något ärende, kan mängden och kategorin av personuppgifter variera beroende på vilken kommunikationskanal som används och vilken information du delger oss i samband med kontakten. Vi avser att undvika personuppgiftsbehandling i den mån det går. I syfte att kunna erbjuda en korrekt vårdtjänst krävs i vissa fall behandling av personuppgifter och då sker kommunikationen fortlöpande i system med särskild kryptering för patientdatahantering.
| Behandlingar som utförs för ändamålet |
· Leverans av köpt produkt/tjänst i enlighet med avtal · Kommunikation med klient med syfte att leverera vårdtjänster · Behandling av hälsodata i syfte att leverera vårdtjänster · Kommunikation angående avtal, förändring av avtal, betalning, ärendehantering · Utvärdering av tjänsteutbud i form av kundenkäter · Förmedling av information till personuppgiftsbiträden i syfte att leverera tjänst enligt avtal
|
| Kategorier av personuppgifter |
· Namn · Kontaktuppgifter · Personnummer · Hälsodata · Genetiska uppgifter (gäller vid köp av NEM360 eller FHV Support) |
| Laglig grund | Avtal |
| Lagringstid | Efter avslutat medlemskap/avtal sparas personuppgifter i enlighet med lagkrav. Övriga personuppgifter som inte omfattas av lagkrav raderas inom tre (3) månader vid avslut av medlemskap och avtal. |
3.3 Marknadsföring och kommunikation
Vi marknadsför aldrig våra produkter eller tjänster utan att ha samlat in ett särskilt samtycke från dig i marknadsföringssyfte. Detta görs genom att du prenumererar på vårt nyhetsbrev, samtycker till att få marknadsföring och erbjudande via mail samt godkänner vår Cookie Policy. Du har alltid rätt att ändra ditt samtycke genom att ändra inställningarna på Cookie Policyn och/eller avprenumerera från våra nyhetsbrev. Läs mer om hanteringen i vår Cookie Policy som återfinns på vår hemsida https://nem.health/cookie-policy/.
Vi behandlar också personuppgifter i syfte att kunna utföra utvärderingar och uppföljningar av kundnöjdhet. När du kontaktar oss via en kommunikationskanal används informationen om dig för att kunna hantera ärendet, kunna kontakta dig och bidra till att förbättra vår service.
| Behandlingar som utförs för ändamålet |
· Utveckling av tjänst, analysera, föra statistik samt marknadsföra våra produkter. · Skicka nyhetsbrev · Skicka marknadsföring samt erbjudande · Kommunikation med potentiella kunder om erbjudande, tjänster eller övriga frågor · För att kunna tillhandahålla en säker tjänst med ett så bra utbud som möjligt skickar vi med jämna mellanrum ut kundenkäter till våra kunder. |
| Kategorier av personuppgifter |
· IP-adress · Cookies · Telefonnummer (endast om Du tillhandahåller oss denna information för kommunikation om tjänster) |
| Laglig grund | Samtycke |
| Lagringstid | Läs mer om hur respektive cookie lagras i vår Cookie Policy. Vi lagrar dina uppgifter tills du avsäger dig från nyhetsbrev och marknadsföring. |
3.4 Rättsliga förpliktelser
NEM följer också vid var tid gällande lagar, regler och förordningar som gäller vid hantering av personuppgifter och känsliga personuppgifter. All personal på NEM ska beakta de lagar och bestämmelser som gäller. Legitimerad personal ska förhålla sig till de lagar och regelverk som gäller inom den svenska hälso- och sjukvården. Samtliga personalkategorier omfattas av sekretess gentemot enskilda kunder och är i förekommande fall legitimerade av Socialstyrelsen.
| Behandlingar som utförs för ändamålet |
· Patientdatalagen · Patientlagen och patientsäkerhetslagen · Offentlighets- och sekretesslagen · Bokföringslagen · HSL (Hälso- och sjukvårdslag) · Socialstyrelsens föreskrifter och allmänna råd · Andra lagar och regelverk som är applicerbara |
| Kategorier av personuppgifter |
· Namn · Kontaktuppgifter · Personnummer · Hälsodata · Genetiska uppgifter (Endast vid de fall de behandlats) |
| Laglig grund | Rättslig grund |
| Lagringstid | Efter avslut av medlemskap och avtal sparas personuppgifter i enlighet med lagkrav. |
4. Från vilka källor inhämtar vi personuppgifter?
NEM får personuppgifter från dig när Du väljer att ge oss denna information, samt vid blodprovtagning då din hälsodata behandlas. Utöver detta kan din arbetsgivare tillge oss personuppgifter om dig. I detta fall är din arbetsgivare personuppgiftsansvarig och NEM personuppgiftsbiträde och hanterar uppgifterna i enlighet med upprättade personuppgiftsbiträdesavtal.
5.Vilka delar vi personuppgifter med?
Vi delar inte personuppgifter med tredje man utan att ha ett upprättat personuppgiftsbiträdesavtal och i något annat syfte än att effektivt leverera våra tjänster på ett säkert sätt, säkerställa och förbättra kvaliteten på NEMs produkter, förbättra våra möjligheter att behandla dina personuppgifter på ett betryggande sätt, eller när vi använder oss av olika IT-leverantörer för att på ett säkert sätt leverera våra tjänster enligt avtalet. Samt i förekommande fall efter att vi har fått ett särskilt samtycke från den enskilda personen att dela dennes personuppgifter i annat syfte. Det sistnämnda kan exempelvis handla om att hjälpa klienten att komma i kontakt med en annan vårdgivare, samarbetspartner eller underkonsult till NEM, via exempelvis en remiss som innehåller relevant information, inklusive känsliga personuppgifter såsom hälsodata. De är då att betrakta som personuppgiftsbiträden till oss och de behandlar endast personuppgifter i enlighet med våra instruktioner och upprättade personuppgiftsbiträdesavtal. Behandlingen av dina personuppgifter vid sådant som lagring och strukturering sker i system som är krypterade.
6. Var behandlar vi dina personuppgifter?
Vi strävar alltid efter att dina personuppgifter ska behandlas inom EU/EES men ibland är det inte möjligt.
För vissa IT-stöd och underleverantör kan uppgifterna överföras till ett land utanför EU/EES. Det gäller till exempel om vi delar dina personuppgifter med ett personuppgiftsbiträde som, antingen själv eller genom en underleverantör, är etablerad eller lagrar information i ett land utanför EU/EES, för närvarande USA, där lagar som inte ger dina personuppgifter samma skydd kan förekomma. Som personuppgiftsansvariga är vi ansvariga för att vidta alla rimliga legala, tekniska och organisatoriska åtgärder för att säkerställa att dessa behandlingar sker i enlighet med bestämmelser inom EU/EES.
När personuppgifter behandlas utanför EU/EES garanteras skyddsnivån antingen genom ett beslut från EU-kommissionen om att landet i fråga säkerställer en adekvat skyddsnivå (läs mer här) eller genom användandet av så kallade lämpliga skyddsåtgärder och standardavtalsklausuler (läs mer här).
I vissa fall baserar vi dataöverföringen på undantag enligt art. 49 GDPR, särskilt ditt uttryckliga samtycke eller nödvändigheten av överföringen för fullgörandet av kontraktet eller för genomförandet av åtgärder före kontrakt.
Om du vill ha ytterligare information om dessa skyddsåtgärder är du välkommen att kontakta oss.
7. Hur länge sparar vi dina personuppgifter?
NEM sparar personuppgifter om dig som kund, så länge du omfattas av ett aktivt avtal, eller då det är nödvändigt för att uppnå de ändamål som beskrivs i det specifika avtalet eller denna integritetspolicy. Vid avtalets upphörande kan dina uppgifter komma att sparas en tid därefter. Längden för sparande och dess omfattning varierar på skälet för behandlingen. Dina uppgifter kan komma att sparas en längre tid, exempelvis i syfte att spåra betalningshistorik i enlighet med bokföringslagen om minst 7 år. Känsliga personuppgifter som patientjournaler sparas så länge lagar och regler kräver/tillåter det, för att vi som vårdgivare skall kunna uppfylla våra åtaganden gentemot exempelvis Patientsäkerhetslagen, IVO och Socialstyrelsen.
8. Vilka rättigheter har du?
Som registrerad hos oss har du ett antal rättigheter i samband med att Nordic Executive Medicine AB behandlar dina personuppgifter. Om du vill använda dina rättigheter är du välkommen att kontakta oss på contact@nem.health. Om du istället vill lämna ett klagomål till en tillsynsmyndighet ber vi dig att kontakta Integritetsskyddsmyndigheten (IMY). Där finns också mer information om dataskyddsförordningen (EU 2016/679).
Här nedan listar vi den registrerades rättigheter.
8.1 Rätt till tillgång
Du har rätt att kostnadsfritt begära ut ett registerutdrag om vilka personuppgifter som behandlas i samband med ditt användande av tjänsten, inklusive din journal, vem som har fått åtkomst till den och varför. När du lämnar en sådan begäran kan vi komma att ställa en del frågor för att se till att det blir en effektiv hantering av din begäran. Vi kommer också vidta åtgärder för att säkerställa att uppgifterna begärs av och lämnas till rätt person. Du har också rätt att spärra dina journaluppgifter, så att de inte förs vidare till någon annan vårdgivare och du har rätt att få avvikande meningar noterade i din patientjournal hos oss.
Det kan finnas omständigheter som medför att information inte kan lämnas ut, till exempel på grund av bestämmelser i annan lagstiftning eller att ett utlämnande av informationen medför nackdelar för andra. Vi kan även i vissa fall även vägra att tillhandahålla en kopia på uppgifterna, till exempel om du som registrerad gör så kallade ogrundade eller orimliga begäranden, till exempel begär att få tillgång ett flertal gånger under kort tid.
8.2 Rätt till rättelse
Du har rätt att få felaktiga uppgifter rättade. Det innebär att du som registrerad har rätt att komplettera med sådana personuppgifter som saknas och som är relevanta med hänsyn till ändamålet med personuppgiftsbehandlingen. Om uppgifter i en journalanteckning är oriktiga eller missvisande ska det antecknas i patientjournalen. Denna så kallade avvikande mening ska antecknas i journalen. Det innebär inte en rätt för patienten att själv skriva i sin patientjournal eller bestämma vad som ska stå i den. En patient har ingen rätt att föra in ytterligare uppgifter, om inte den som är ansvarig för journalföringen tillåter detta.
8.3 Rätt till radering
I vissa situationer har du rätt att be om att få dina personuppgifter raderade (”rätten att bli glömd”), till exempel om dina personuppgifter behandlas i strid med dataskyddsförordningen (EU 2016/679) eller annan lagstiftning. Du kan dock inte få dina personuppgifter raderade om det finns rättsliga skyldigheter eller rättigheter för Nordic Executive Medicine AB att behålla personuppgifterna.
8.4 Rätt till begränsning
Du har rätt att begära att vår behandling av dina personuppgifter begränsas. Om du motsätter dig att personuppgifterna vi behandlar är korrekta kan du begära en begränsad behandling under den tid vi behöver för att kontrollera huruvida personuppgifterna är korrekta.
Om du har invänt mot en intresseavvägning av berättigat intresse som vi har gjort som laglig grund för ett ändamål kan du begära begränsad behandling under den tid vi behöver för att kontrollera huruvida våra berättigade intressen väger tyngre än dina intressen av att få uppgifterna raderade.
Om behandlingen har begränsats enligt någon av situationerna ovan får vi bara, utöver själva lagringen, behandla uppgifterna för att fastställa, göra gällande eller försvara rättsliga anspråk, för att skydda någon annans rättigheter eller ifall du har lämnat ditt samtycke.
8.5 Rätt att göra invändningar mot viss typ av behandling
Du har alltid en rätt att invända mot all behandling av personuppgifter som bygger på en intresseavvägning. Vi kommer då göra en bedömning av om det finns avgörande berättigade skäl som gör att vi trots din begäran måste fortsätta lagra dina uppgifter som till exempel journalföringsplikten. Du har också alltid rätt att invända mot vår direktmarknadsföring.
8.6 Rätt till dataportabilitet
Om du självmant lämnat personuppgifter till oss har du i vissa situationer rätt att få ut och använda dina personuppgifter på annat håll (”rätten till dataportabilitet”). Vid dessa tillfällen har vi en skyldighet att underlätta en sådan överflyttning av personuppgifterna. En förutsättning är att Nordic Executive Medicine AB behandlar personuppgifterna med stöd av samtycke eller för att uppfylla ett avtal med dig.
8.7 Rätt till att återkalla samtycke
Om du har lämnat ditt samtycke för behandling av dina personuppgifter har du rätt att när som helst återkalla detta samtycke.
9. Ändringar av integritetspolicyn
NEM förbehåller sig rätten att ändra integritetspolicyn. Vid sådana ändringar kommer du som Kund informeras via hemsidan eller e-mail. Genom att fortsätta använda NEMs Produkter, accepterar du de ändrade villkoren.
10. Om du vill veta mer
Har du frågor om denna integritetspolicy och behandlingen av dina personuppgifter, vill radera eller ändra felaktiga uppgifter eller önskar ett registerutdrag över våra underleverantörer/ personuppgiftsunderbiträden som behandlar personuppgifter, kan du kontakta oss på
.