Personuppgiftspolicy

Vi har en personuppgiftspolicy i enlighet med dataskyddsförordningen (GDPR).

Syfte

För Modigo Group AB (Modigo Group) med koncernbolag Modigo AB samt ADHD Care by Modigo AB (gemensamt Modigo-bolagen), är integriteten och skyddet för personuppgifter viktigt. Syftet med denna Personuppgiftspolicy är att beskriva hur Modigo-koncernen arbetar med och behandlar personuppgifter på ett sätt som tillförsäkrar integriteten och skyddet för personuppgifter, i enlighet med Dataskyddslagstiftningen. Syftet är också att beskriva vilka som får ta del av personuppgifter och under vilka förutsättningar, samt hur de registrerade kan ta tillvara dina rättigheter.

Bakgrund

Modigo-bolagen behandlar löpande personuppgifter såväl om patienter och om personal som andra, exempelvis samarbetspartners. Vår utgångspunkt är att inte behandla fler personuppgifter än vad som behövs för aktuellt ändamål, och vi strävar alltid efter att använda de minst integritetskänsliga uppgifterna. Som vårdgivare behandlar vi Patientdata (dvs känsliga personuppgifter) såväl enligt Patientdatalagen (2008:355) som enligt Dataskyddsförordningen ((EU) 2016/679, GDPR).

Ansvarig för personuppgiftsbehandlingen

Modigo AB, organisationsnummer 559042-3504, Modigo AB (Modigo), organisationsnummer 556920-9561, respektive ADHD Care by Modigo AB (ADHD Care), organisationsnummer 559258-0798, ansvarar för den behandlingen av personuppgifter som sker i respektive bolag, dvs är personuppgiftsansvarig. Även Modigo Group AB, organisationsnummer 559042-3504, (Modigo Group) är personuppgiftsansvarig för den personuppgiftsbehandling som sker i det bolaget.

Rättslig grund och ändamål för personuppgiftsbehandlingen

Modigo-bolagen behandlar personuppgifter om patienter för att fullgöra sitt uppdrag att utföra psykologiska och psykiatriska tjänster samt att genomföra neuropsykiatriska utredningar och behandlingar. Personuppgifter om personal, samarbetspartners etc. behandlas för att uppgifterna behövs för att fullgöra åtaganden enligt avtal och lag. Behandling av personuppgifter för marknadsföring behandlas på grunden intresseavvägning.

Modigo-bolaget ADHD Care tillhandahåller elektroniska tjänster i form av en elektronisk behandlingsklinik. I denna behandlas person- och patientuppgifter på samma sätt som för Modigo-bolagens övriga verksamhet. Härtill kommer att patienten behöver registrera användaruppgifter för att få tillgång till de elektroniska tjänsterna. För ADHD Care behandlas personuppgifter också för att tillhandahålla support avseende de elektroniska tjänsterna. För användande och support av de elektroniska tjänsterna, samlar ADHD Care förutom användaruppgifter (såsom namn, personnummer och övriga kontaktuppgifter) också in teknisk information såsom exempelvis IP-adresser. Den rättsliga grunden för behandlingen av personuppgifter i den elektroniska behandlingskliniken är att fullgöra avtalet med patienterna att tillhandahålla ADHD-behandlingar elektroniskt.

Modigo-bolagen behandlar också vissa uppgifter för att förbättra våra tjänster. I detta syfte använder vi så långt möjligt avidentifierad data (data i aggregerad form). Vi behandlar även uppgifter för statistikändamål och för undersökningar och analyser av våra tjänster, såsom exempelvis användarnöjdhets- och marknadsundersökningar.

Modigo-bolagen kan komma att behandla personuppgifter för att uppfylla skyldigheter enligt lagar, domar eller myndighetsbeslut (till exempel avseende krav från Inspektionen för Vård och Omsorg, IVO eller Socialstyrelsen). Detta sker med stöd av den rättsliga grunden rättslig förpliktelse.

Varje behandling av personuppgifter ska ha uttryckligt angivna och berättigade ändamål. Personuppgifterna får inte behandlas på ett sätt som är oförenligt med dessa ändamål. De särskilda ändamål som personuppgifterna behandlas för ska vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in. Att begränsa ändamålet för behandlingen av personuppgifter framgår av de grundläggande principerna (principen om ändamålsbegränsning). Ändamålet med att samla in patientuppgifter är att tillhandahålla vård och fullgöra Modigo-bolagens rättsliga skyldigheter som åligger vårdgivare. Personuppgifter används därvid för att utföra psykologiska och psykiatriska tjänster samt att genomföra neuropsykiatriska utredningar och behandlingar, vilket innefattar att göra bedömningar och ge rådgivning och behandling, samt att föra journal.

Insamling av personuppgifter

Modigo-bolagen samlar varken in fler eller färre personuppgifter, eller ovidkommande uppgifter, än vad som verkligen behövs i förhållande till ändamålet med behandlingen. Det ska vara möjligt att förklara varför de olika uppgifterna behövs för att uppfylla ändamålen med behandlingen.

Avseende patienter samlar respektive Modigo-bolag in dels kontaktuppgifter (exempelvis namn, personnummer, adress och mejladress), dels uppgifter som behövs för att utföra psykologiska och psykiatriska tjänster samt att genomföra neuropsykiatriska utredningar och behandlingar. Informationen lämnas huvudsakligen av den registrerade, men kan också komma från exempelvis annan vårdgivare, sammanhållen journalföring (NPÖ), Region eller liknande. För att ta del av uppgifter genom NPÖ fordras dels att det föreligger en patientrelation, dels att journaluppgifterna kan vara relevanta för den aktuella vården, samt dels att patienten lämnat sitt samtycke. Adressuppgifter kan samlas in från offentliga register för att säkerställa uppgifterna.

Respektive Modigo-bolag samlar även personuppgifter i form av användaruppgifter. Uppgifterna samlas in från den som registrerar sig. Därtill kan tekniska data (som IP-adress) samlas in.

Andra personuppgifter såsom uppgifter om personal, samarbetspartners o dyl. samlas dels in från personen själv, dels från tredje parter såsom exempelvis myndigheter och företag.

Skyddet av personuppgifter

För Modigo-bolagen är säkerhet och skyddet av personuppgifter viktigt. Därför har Modigo-bolagen vidtagit lämpliga tekniska, organisatoriska och administrativa säkerhetsåtgärder för att skydda personuppgifter från obehörig åtkomst och annan otillåten behandling. Vi analyserar och utvärderar regelbundet åtgärderna i syfte att vid var tid ha ett adekvat och ändamålsenligt skydd för personuppgifterna.

Rätten att ta del av och hantera personuppgifter är begränsad inom Modigo-bolagen. Personal etc. har endast rätt att ha tillgång till och hantera sådana personuppgifter som vederbörande behöver för att utföra sina arbetsuppgifter.
I fråga om känsliga personuppgifter har Modigo-bolagen inrättat särskilda behörighetskontroller, vilket innebär ett högre skydd för dessa personuppgifter.

Våra säkerhetssystem är utvecklade med integritet i fokus och skyddar i mycket hög grad mot intrång, förstöring samt andra förändringar som kan innebära en risk för enskilds integritet.

Vi överför inte personuppgifter i andra fall än de som uttryckligen anges i denna policy.

Utlämning av personuppgifter

Modigo-bolagen lämnar huvudsakligen inte ut personuppgifter om det inte följer av lag eller är nödvändigt för att utföra Modigo-bolagens lagstadgade eller avtalsenliga förpliktelser gentemot den registrerade.

Modigo-bolagen kan lämna ut personuppgifter till sina samarbetspartners. Vidare kan Modigo-bolagen behandla personuppgifter i IT-system där leverantörer eller underleverantörer av IT-systemet kan komma att hantera personuppgifterna. I sådana fall tillförsäkrar Modigo-bolagen genom personuppgiftsbiträdesavtal behandlingen av personuppgifter.

Modigo-bolagen kan också komma att dela person- och patientuppgifter med andra vårdgivare vid sammanhåller journalföring, NPÖ. Detta innebär att annan vårdgivare, under vissa förutsättningar, kan få tillgång till journalinformation, på sätt som anges ovan. Patient har rätt att alltid motsätta sig sammanhållen journalföring och begära att journaluppgifter spärras från att ingå i sammanhållen journalföring.

Behandling inom EU/EES

Patientuppgifter behandlar vi alltid inom EU/EES.

Modigo-företagen behandlar även andra personuppgifter inom EU/EES.

Skulle personuppgifter överföras till tredje land, kommer Modigo-bolagen att vidta alla rimliga legala, organisatoriska och tekniska åtgärder som krävs för att säkerställa att skyddsnivån för behandlingen motsvarar den inom EU/EES. Detta kan säkerställas bland annat om landet ifråga redan säkerställer en adekvat skyddsnivå enligt beslut från EU-kommissionen, eller genom att använda stadradklausuler tillsammans med andra lämpliga skyddsåtgärder, eller godkända uppförandekoder i våra avtal med sådana leverantörer.

Lagring

Personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (principen för uppgiftsminimering). Modigo-bolagen behandlar och lagrar personuppgifter endast så länge det är nödvändigt för de ändamål uppgifterna i fråga behandlas (se ovan avsnittet Rättslig grund och ändamål för personuppgiftsbehandlingen). Detta innebär att vi sparar uppgifterna så länge vi utför tjänsterna eller genomför utredningarna och behandlingar, samt den ytterligare tid som behövs för att Modigo-bolagen ska kunna uppfylla sina avtalsenliga eller rättsliga skyldigheter. Avseende patientinformation finns en skyldighet att spara patientjournaler under en viss tid.

Marknadsföring

Modigo-bolagen behandlar personuppgifter för att möjliggöra marknadsföring av tjänster, bland annat genom utskick och annan direktmarknadsföring avseende information och marknadsföring av företagen, Modigo-bolagens tjänster mm. Registrerad har rätt att motsätta sig användning av personuppgifter för sådan marknadsföring.

Cookies

Modigo-bolagen använder cookies, dvs filer som hanterar information om besökare på webbplats. Cookies används främst för att samla information om hur en besökare använder en webbplats, ofta för att kunna erbjuda anpassat innehåll. Användaren kan själv stänga av cookie-funktionen i sin webbläsare. Modigo-bolagen har rutiner för hantering av cookies.

Den registrerades rättigheter

Den vars personuppgifter Modigo-bolagen behandlar har flera rättigheter. Varje person kan alltid kontakta Modigo-bolagen på dso@modigo.se.

Modigo-bolagen förbehåller sig därvid rätten att vidta lämpliga skydds- och säkerhetsåtgärder i syfte att säkerställa att personen är den denne utger dig för att vara. Om identiteten inte kan säkerställas på ett trovärdigt sätt är det inte säkert att Modigo-bolagen kan tillmötesgå begäran. Detta eftersom de rättigheter som stadgas i Dataskyddsförordningen endast tillkommer den person som uppgifterna avser.

Tillgång till personuppgifter

En registrerad har rätt att få veta vilka personuppgifter som behandlas om denne. Man har därvid rätt till ett sammanställt registerutdrag som innehåller de personuppgifter Modigo-bolagen behandlar, samt kopia på personuppgifterna.

Tillgång till journal

Som huvudregel har registrerad rätt att ta del av sina journalhandlingar. Om det skulle vara skadligt för personen att ta del av sin journalhandling får den enligt lag inte lämnas ut. Därför gör den som är ansvarig för journalen en prövning av samtliga utlämningar.

Spärra journaluppgifter

Patient har rätt att spärra journaluppgifter exempelvis vid sammanhållen journalföring, vilket medför att andra vårdgivare inte får åtkomst till den journalinformationen.

Rättelse och radering

Registrerad har rätt att få felaktiga personuppgifter rättade. Om behandlingen av personuppgifter görs på ett felaktigt sätt eller om det inte längre finns behov av uppgifterna kan den registrerade ha rätt att få dem raderade. Om uppgifterna är ofullständiga kan den registrerade ha rätt att få dem kompletterade. Denna rätt gäller dock inte ovillkorligt, utan undantag förekommer.

Dataportabilitet

Under vissa omständigheter har den registrerade rätt att få de uppgifter som Modigo-bolagen behandlar om denne i ett allmänt, skriftligt, maskinläsbart och strukturerat format. Registrerad kan även ha rätt att överföra sådana uppgifter till annan personuppgiftsansvarig (portera uppgifterna). Detta kan gälla beträffande personuppgifter som personen själv har lämnat till Modigo-bolagen och som vi behandlar med stöd av ditt samtycke eller när personuppgifterna krävs för att ingå eller fullföra avtal med personen.

Begränsning av behandling

En registrerad kan i vissa fall begära att behandlingen av dina personuppgifter begränsas. Exempelvis kan behandlingen komma att begränsas under tid då personuppgifters korrekthet säkerställs.

Rätt att göra invändningar

En registrerad har också under vissa, begränsade omständigheter rätt att invända mot behandlingen av personuppgifter.
Rätt att inge klagomål

Den vars personuppgifter Modigo-bolagen behandlar kan alltid vända sig till Modigo-bolagen och framföra klagomål mot behandlingen, på dso@modigo.se.

En registrerad kan också klaga till Integritetsskyddsmyndigheten.

Information till den registrerade

Enligt Dataskyddsförordningen ska information lämnas till de registrerade om bl.a. den lagliga grunden för behandlingen av personuppgifterna. Detta gäller oavsett om personuppgifterna kommer från den registrerade själv eller inte, dvs. om de har erhållits från någon annan.

Information ges bland annat på hemsidan, i denna Personuppgiftspolicy, i vissa fall i tillämpligt avtal, och i informationsmeddelanden.

Löpande kvalitetsarbetet

Att tillse att behandling av personuppgifter görs på ett sätt som följer vid var tid gällande lagstiftning, utgör en del av Modigo-bolagens löpande kvalitetsarbete. Det innebär bl. a att denna Personuppgiftspolicy, samt andra policys, rutiner och processer löpande ses över och hålls uppdaterade. Vidare ingår det i det löpande kvalitetsarbetet att tillse att de grundläggande principerna efterlevs, genom att exempelvis kontrollera att personuppgifter inte hanteras på andra sätt än för uppgivet ändamål, att uppgifter inte lagras längre eller i större omfattning än vad som fordras etc.