Personuppgiftspolicy – Hedda-koncernen

Hedda-koncernen, däribland Hedda Care AB, Hedda In Mind AB, Hedda Hector AB och Hedda Hela Livet AB (”Hedda”, ”vi” eller ”oss”) är vårdgivare och bedriver hälso- och sjukvård enligt gällande svensk lagstiftning. Verksamheten bedrivs inom ramen för avtal med Region Stockholm och Region Skåne, samt i enlighet med patientdatalagen, hälso- och sjukvårdslagen och EU:s dataskyddsförordning (GDPR).

När du är patient hos oss, använder våra digitala tjänster eller vår app, behandlar vi personuppgifter om dig. Vi värnar om din integritet och behandlar personuppgifter lagligt, korrekt och säkert.

  1. Personuppgiftsansvar
    Personuppgiftsansvarig för behandlingen av personuppgifter är respektive bolag inom Hedda-koncernen, däribland Hedda Care AB, Hedda In Mind AB, Hedda Hector AB och Hedda Hela Livet AB, beroende på vilken verksamhet du är i kontakt med.

För samtliga bolag inom Hedda-koncernen hanteras frågor rörande personuppgifter och integritet centralt.

Kontakt: info@heddacare.se

  1. Vårdgivaransvar och tillämplig lagstiftning

Hedda är vårdgivare och ansvarar för behandling av personuppgifter i samband med hälso- och sjukvård. Behandling sker i enlighet med:

  • Patientdatalagen (2008:355)
  • Hälso- och sjukvårdslagen (2017:30)
  • Offentlighets- och sekretesslagen (tillämpliga delar)
  • Dataskyddsförordningen (GDPR)
  • Avtal och regelverk fastställda av Region Stockholm och Region Skåne

Personuppgifter behandlas endast i den omfattning som krävs för att uppfylla vårdgivarens lagstadgade skyldigheter och för att tillhandahålla god och säker vård.

  1. Vilka personuppgifter vi behandlar

Vi behandlar följande kategorier av personuppgifter:

  • Identitetsuppgifter (namn, personnummer)
  • Kontaktuppgifter (adress, telefonnummer, e-post)
  • Patient- och hälsouppgifter (journalanteckningar, diagnoser, behandlingar, prov- och röntgensvar)
  • Administrativa uppgifter (bokningar, listning, vårdkontakter)
  • Uppgifter som lämnas via 1177, formulär, digitala vårdbesök eller app
  • Tekniska uppgifter kopplade till användning av digitala tjänster
  1. Ändamål med behandlingen

Personuppgifter behandlas för att:

  • Tillhandahålla hälso- och sjukvård
  • Föra patientjournal enligt patientdatalagen
  • Säkerställa korrekt identitet
  • Kommunicera med dig som patient
  • Hantera bokningar, listning och administration
  • Uppfylla krav enligt lag, regionavtal och myndighetsbeslut
  • Bedriva uppföljning, kvalitetssäkring och patientsäkerhetsarbete
  1. Rättslig grund

Behandlingen sker huvudsakligen med stöd av:

  • Rättslig förpliktelse – journalföring och vårdadministration
  • Allmänt intresse inom hälso- och sjukvård
  • Avtal – för att fullgöra vårdåtagande gentemot patient och region

Behandling av patientuppgifter sker inte på grundval av samtycke, utan i enlighet med lagstadgade skyldigheter. Samtycke kan dock förekomma för vissa frivilliga funktioner eller informationsutskick.

  1. Digitala tjänster och app

Hedda tillhandahåller digitala tjänster och en app som används för att:

  • Genomföra digitala vårdbesök (t.ex. videobesök)
  • Underlätta kontakt mellan patient och vårdgivare
  • Registrera vaccinationer och vårdrelaterade uppgifter

Appen är inte ett journalsystem i sig. Uppgifter som registreras via appen kan dock, när det är relevant och nödvändigt för vården, föras in i patientjournalen och omfattas då fullt ut av patientdatalagens krav på journalföring, åtkomst och sekretess.

All personuppgiftsbehandling i appen sker enligt samma säkerhetskrav och regelverk som övrig vårdverksamhet.

  1. Insamling av personuppgifter

Personuppgifter samlas in:

  • Direkt från dig som patient
  • Via vårdpersonal
  • Via 1177 och andra regiongemensamma system
  • Via digitala formulär, app och videobesök
  • Via offentliga register (exempelvis Skatteverket) för identitetskontroll och uppdaterade kontaktuppgifter
  1. Delning och åtkomst

Personuppgifter kan delas med:

  • Personuppgiftsbiträden (t.ex. IT- och systemleverantörer)
  • IT-support när teknisk hantering kräver det

Samtliga personuppgiftsbiträden omfattas av personuppgiftsbiträdesavtal.
Åtkomst till patientuppgifter ges endast till personal som behöver uppgifterna för att utföra sitt arbete eller delta i din vård, i enlighet med patientdatalagen.

  1. Informationssäkerhet

Vi har vidtagit tekniska och organisatoriska säkerhetsåtgärder, inklusive:

  • Behörighetsstyrning och loggning
  • Säker lagring av patientuppgifter
  • Rutiner för åtkomstkontroll
  • Sekretessavtal och utbildning av personal
  • Tystnadsplikt enligt lag
  1. Lagring och gallring
  • Patientjournaler: Minst 10 år enligt patientdatalagen
  • E-post: Upp till 12 månader
  • Telefoni: Upp till 6 månader
  • Listningsuppgifter: Minst 3 år
  • Bokföring: Enligt bokföringslagen
  • Webbplats/cookies: Se separat cookiepolicy
  1. Dina rättigheter

Du har rätt att begära information om behandlingen av dina personuppgifter, begära rättelse och i vissa fall begära begränsning av behandling.
Observera att rätten till radering är begränsad när uppgifterna behandlas med stöd av lagstadgade skyldigheter inom hälso- och sjukvård.

  1. Tillsyn och klagomål

Tillsyn över vår verksamhet utövas av Inspektionen för vård och omsorg (IVO).
Om du anser att vi behandlar personuppgifter felaktigt kan du även vända dig till Integritetsskyddsmyndigheten (IMY).