CPI AB:s integritetspolicy

Vi värnar om Din personliga integritet

Ansvarig för hantering av personuppgifterna:
CPI – Cedar Psykoterapi Institut AB, verksamhetschef A. Eberhardt
Vad uppgifterna används till:
För kontakt och planering av önskad insats, lagstadgade uppgifter, journalföring, fakturering och bokföring, verksamhets- och kvalitetsuppföljning samt för ev. utskick av ffa. informationsbrevstyp kring institutets arrangemang, institutets öppettider etc. Rörande ev. sända infobrev kommer adressaten att alltid ges uppföljande möjlighet till att kunna undanbe sig ytterligare utskick.

Kategorier av personer och uppgifter som förekommer:
Nödvändiga uppgifter - data som behövs för att kunna fullgöra det vård -/ utvecklingsuppdrag som vi erhållet av patienter/ klienter/ annan uppdragsgivare samt adekvata personuppgifter för utförande ledet.
Privacy by design och Impact assesment
CPI AB har genom en mycket genomtänkt och en medvetet minimaliserad datahantering försökt så långt som väl har varit möjligt att säkerställa att Dina personuppgifter används enbart till avsett ändamål och hålls helt konfidentiella och sålunda ej ska kunna läsas/hackas av obehörig. Som exempel kan nämnas att vi under vår 10 år långa lagstadgade arkiveringsplikt har medvetet valt att ej använda molntjänster; ej heller digitalt format varför din journal när din insats är avslutad enbart kommer att bevaras såsom pappersjournal som hålls inlåst i säkert arkiv tills den dag då 10 år har förlöpt sedan senaste journalanteckning varpå Din journal går till destruktion dvs. ”går i tuggen”. Under terapins gång används dator som hjälpmedel för att föra dvs. skriva din journal. Bruket av dator medför inte att dina personuppgifter dyker upp på annat håll (som kan bli fallet med s.k. sammanhållen journal) ej heller i någon form av databas. Av säkerhetsskäl har vi vidare under pågående insats medvetet valt att inte ens förvara journalanteckningar på datorns hårddisk/molntjänst utan enbart på en extern ansluten minnesenhet som förvaras i ett låst arkiv mellan journalföringstillfällena. Dina uppgifter raderas helt från aktuell extern minnesenhet när Din terapi/ insats avslutas varpå enbart den pappersförda journalen finns bevarad. Vidare undviker vi medvetet att sända mejl, fakturor och andra personuppgiftskänsliga handlingar till Dig via nätet då så i nuläget av Integritetsmyndigheten ej betraktas som en i alla delar tillräckligt säker kommunikationsform där vi även rekommenderar Dig att själv vara försiktig med vad för information Du väljer att sända till oss via nätet. Vår kommunikation med Dig kommer att ffa. ske vid våra personliga möten med Dig och via telefon och via vanlig post där det sistnämnda ännu av Integritetsmyndigheten betraktas som ett säkrare alternativ jämfört med mejl och sms. På ovan beskrivet sätt är det vår förhoppning och avsikt att så långt som väl är möjligt säkerställa att ingen obehörig ska ens via olagliga försök kunna komma i kontakt med några av Dina personrelaterade uppgifter.

Tidsgräns för borttagning av uppgifter:
CPI AB tillämpar sålunda den lagstadgade 10 års gräns som gäller för bevarande av journaler och som även rekommenderats när det gäller personuppgiftsbaserade bokföringshandlingar.
Om uppgifter överförs till annat land/ annan organisation:
Överföring av vissa personuppgifter är på intet sätt vanligt förekommande men torde kunna förekomma på basis dels av specifika lag och/eller förordningskrav (såsom ex. jml. SOL 14 kap 1§ rörande anmälningsskyldighet när ett barn far illa; krav på utlämning av dylika uppgifter kan även förekomma när smittskyddsläkare så begär för kartläggning av allmänfarliga sjukdomar; jml. BrB 23kap. 6§ Polisanmälan vid planerade allvarliga brott; jml. BrB. 24 kap 4§ Nödsituation rörande uppgiftsutlämning för att förhindra att människors liv eller hälsa allvarligt äventyras; etc.) dels när så begärs av berörd/berörda varvid personuppgifterna oftast förmedlas i någon form av intyg. Rörande personuppgifter i intyg/dylik handling tillämpar CPI AB förhållningssättet att förmedla dylika handlingar direkt till berörd patient/ klient som själv sen tar ansvar för ev. vidareförmedling till arbetsgivare/annan organisation/ myndighet. Personuppgifter som överförts till annat land har ex. förkommit gällande ex. fakturering när patient/uppdragsgivaren har haft sin hemvist i annat land än Sverige. Det är vidare praxis att psykoterapeutiska journaluppgifter inte överförs mellan olika vårdgivare inte ens i samband med byte av psykoterapeut.
Optimering av tekniska förutsättningar anpassat till verksamhetens omfattning
På CPI AB strävar vi efter att bruka datorer med uppdaterade program och rustade med brandvägg, antivirus - och malwarebekämpande programvara. Vi säkerhetskopierar regelmässigt till egna externa minnesenheter som förvaras inlåsta och utom räckhåll för obehöriga och CPI AB undviker medvetet sålunda av säkerhetsskäl allt bruk av s.k. molntjänster.
Ang. Din rätt till att begära information
Du kan kontakta oss vid frågor om hur dina personuppgifter behandlas via dataansvarig CPI AB genom Astrid Eberhardt tel. 046-30 67 27. Du har även rätt att kostnadsfritt (dock högst en gång per år) få ta del ett registerutdrag vilket innehåller en sammanställning över de personuppgifter som behandlas om Dig av CPI AB. En sådan begäran behöver framföras skriftligen ställd till postadress: CPI AB, verksamhetschef Astrid Eberhardt Jägaregatan 336, 226 53 Lund och ska innehålla tillräckligt med uppgifter med vars hjälp vi ska kunna identifiera Dig (så att vi kan säkerställa att rätt handlingar går till rätt person exempelvis genom att Du medsänder en vidimerad kopia av giltig ID-handling). Du bör specificera vad Du önskar för information och handlingen ska vara av Dig personligen undertecknad. Du kommer få svar per brev förmedlad via vanligt postombud då Datainspektionen har bedömt mejlöverföring som en icke tillräckligt säker hantering av dylika personuppgifter. Av samma skäl rekommenderar vi Dig att tillställa oss Din skriftliga begäran (med Dina personuppgifter) per vanligt brev.
Ang. Art. 17 GDPR Rätten att glömmas bort och radering av data
OBS! Någon sådan rätt gäller ej för patientjournaler, för folkhälsoändamål eller för forskningsändamål. I Sverige finns dock sedan länge en möjlighet att få uppgifter i en patientjournal förstörda via ansökan till IVO (Inspektionen för vård och omsorg) om uppgiften/uppgifterna uppenbarligen inte behövs för Din fortsatta vård. Om Du har en avvikande mening eller anser att en journaluppgift är fel kommer CPI AB att anteckna det i Din journal. I din roll som patient/ klient har Du dock inte rätt att själv skriva Din egen patientjournal eller bestämma vad som ska stå i den.

Mer om vissa andra gjorda säkerhets överväganden rörande CPI AB:s personuppgiftsbehandling:

Ang. Kundregister:
Ingen databassamlat kundregister förs då CPI AB medvetet vill värna om våra uppdragsgivens integritet vilket varit ett medvetet etiskt val och tillika ett möjligt förhållningssätt med tanke på verksamhetens struktur - plana organisationsmodell. När Du som ny patient/klient kontaktar CPI AB upprättas tillsammans med Dig/Er en s.k. självremiss varvid basuppgifter för uppdraget efterfrågas. Dessa uppgifter lämnar Du helt frivilligt sedan att Du fått muntligen information om den journalföringsplikt och därmed personuppgiftsregistrering och tillika den sekretesslagstiftning som gäller för CPI AB:s verksamhetsfält. Nämnd informationsgivning repeteras och vid behov fördjupas i samband med vårt första kontakttillfälle med Dig/Er varvid vi säkerställer att konsensus föreligger hos samtliga berörda. Skulle ett odefinierat dröjsmål uppstå mellan första och andra kontakttillfället sparas de av Dig initialt förmedlade personuppgifterna under högst tre månaders tid. Kompletterande personuppgifter från offentliga register kan ev. eftersökas av CPI AB om så behövs för att vi ska kunna fullgöra vårt uppdrag på ett säkert sätt.
Ang. eventuella informations- och nyhetsbrev
På likartat sätt undersöker CPI AB att samtycke föreligger innan att vi initialt ber att få anteckna lämplig e-mejladress för ev. kortare informationsutbyte/-utskick. I sådana utskick undviks förmedling av personkänsliga uppgifter. Du/Ni ges dessutom i samband med dylika utskick möjlighet att kunna avsäga Er ytterligare utskick om så skulle av Er efterfrågas.
Ang. Bokningssystem
CPI AB använder sig enbart av manuell bokning där enbart nödvändiga bokningsuppgifter antecknas. Den manuella hanteringen är medvetet vald i syfte att på bästa sätt kunna skydda de personuppgifter vi har fått av Dig/Er från att komma i orätta händer.
Ang. Leverantörsregister
Ett leverantörsregister innehåller normalt endast uppgifter om juridiska personer och omfattas därför inte av GDPR. Uppgifter om enskilda näringsidkare och uppgifter om kontaktpersoner på företagen kan dock ses som personuppgifter men sådana personuppgifter är tillåtna att hantera för att hantera avtalet med leverantörer.
Ang. uppgifter om anställda
I rollen som arbetsgivare/ uppdragsgivare hanteras personuppgifter rörande anställda/ uppdragstagare (för beräkning av lön, ev. in och utpasseringssystem, telefonväxel etc.) och i vissa fall även rörande anställdas/ uppdragstagares anhöriga (ffa. kontaktuppgifter i händelse av sjukdom/ olycksfall). När information om anhöriga sparas ges skriftlig information till den anställde/ uppdragstagaren för vidareförmedling till dennes berörda anhöriga. Rörande anställdas/ uppdragstagares personuppgifter behövs dessa för att kunna fullgöra dels avtal och överenskommelser mellan anställd/ uppdragstagare och arbetsgivare/ uppdragsgivare och dels för att som arbetsgivare/ uppdragsgivare kunna fullgöra de lagkrav som föreligger exempelvis kring rapportering av skatter och sociala avgifter och i kontakt med Försäkringskassan etc. För att publicera personuppgifter och foto på webben tarvas att verksamheten har stöd för det i dataskyddsförordningen vilket i sin tur förutsätter vederbörandes samtycke. CPI AB har av säkerhetsskäl dock medvetet valt att undvika att publicera några dylika personuppgifter på hemsidan utöver vissa basuppgifter om CPI AB och dess verksamhetschef.

/CPI AB, A Eberhardt