Sekretess & integritet

Integritetspolicy & GDPR

Policyn uppdaterades 25 maj 2018

Policy och riktlinjer för tillämpning av GDPR (General Data Protection Regulation) vid behandling av personuppgifter inom företaget Esante AB

Grundläggande för denna policy är att Esante AB ska behandla personuppgifter lagligt, korrekt och i enlighet med god sed oavsett om det gäller automatiserad eller manuell behandling av personuppgifter.

Esante AB utvecklar, tillhandahåller och administrerar olika appar och system generellt inom e-hälsa och speciellt inom beroendeproblematik. Våra uppdragsgivare är främst vårdgivare men även spelbolag, nätkasinon eller andra med krav på att stötta personer med beroenden. Som leverantör av system för digital kommunikation fungerar Esante AB som personuppgiftsbiträde då vi på uppdrag av våra kunder hanterar de personuppgifter som kunderna bestämmer över och därmed är personuppgiftsansvarig för. Denna policy gäller den behandling som Esante AB kan komma att utföra i egenskap av både personuppgiftsansvarig, personuppgiftsbiträde eller personuppgiftsunderbiträde.

För att kunna tillhandahålla dessa appar/system´s tjänster kan Esante AB ingå avtal med andra aktörer som medverkar i systemet såsom t ex teleoperatörer, serverhallar, molntjänster etc och i dessa fall ska Esante AB teckna personuppgiftsbiträdesavtal / underbiträdesavtal med respektive parter för att garantera uppfyllandet av denna policy.

Grundläggande begrepp som används i denna personuppgiftspolicy:

Personuppgift: Information som kan kopplas till en identifierbar person som är i livet. Till exempel namn, personnummer, adress, telefonnummer etc.

Behandling av personuppgifter: All användning av personuppgifter, till exempel insamling, registrering, sammanställning, lagring och distribution, gallring eller samkörning eller en kombination av dessa användningsområden. All behandling av personuppgifter omfattas av GDPR och Datainspektionen är den myndighet som övervakar att lagen följs.

Personuppgiftsansvarig: Den som ansvarar för behandlingen av personuppgifter och att det sker i enlighet med Personuppgiftslagen.

Personuppgiftsbiträde: Den som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Rättslig grund: Behandlingen av personuppgifter kommer att ske för att uppfylla det avtal som ingåtts mellan en person och vår kund i syfte att ge tillgång till den önskade tjänsten.


Kakor (“cookies”)

För att få den här webbplatsen att fungera ordentligt skickar vi ibland små filer till din dator. Dessa filer kallas kakor eller ”cookies”. De flesta större webbplatser gör på samma sätt. För mer information om kakor vänligen besök: www.aboutcookies.org

Hur använder vi kakor?
Vi använder tre typer av cookies för statistik och annonsering. Den första typen sparar en fil permanent på besökarens dator. Den lagrar tidigare besök på webbsidan samt vilken webbläsare som används. Denna cookie ger webbsidan bättre prestanda t.ex. genom att endast de senaste uppdateringarna behöver hämtas.

Den andra typen av cookies kallas sessionscookies. Den sparas temporärt på din dator och används bland annat för att hålla reda på inställningar under besöket på en webbsida. Sessionscookies försvinner när du stänger din webbläsare.

Den tredje typen är en statistikcookie som sätts för att vi skall veta hur många besökare vi har på hemsidan.

Hur stänger jag av cookies?
Om du inte accepterar användandet av cookies kan du stänga av dem via din webbläsares säkerhetsinställningar.

De cookies vi har aktiverade
Vi använder cookies och pixeltaggar för att spåra våra kunders användning av Webbplatser och för att förstå våra kunders preferenser (såsom land och språkval). Detta gör det möjligt för oss att tillhandahålla tjänster till våra kunder och förbättra deras online-upplevelse. Vi använder även cookies och pixeltaggar för att erhålla aggregerad (sammanlagd) data om webbplatsstrafik och webbplatsinteraktion, för att identifiera trender och få statistik så att vi kan förbättra våra Webbplatser. Det finns generellt tre kategorier av cookies som används på våra webbplatser:

Nyhetsbrevsrelaterade cookies
Denna webbplats erbjuder nyhetsbrev eller e-postabonnemangstjänster och cookies kan användas för att komma ihåg om du redan är registrerad eller ej

Formulärsrelaterade cookies
När du skickar in data till ett formulär som de som finns på kontaktsidor eller kommentarsformulär kan cookies ställas in för att komma ihåg dina användaruppgifter för framtida korrespondens.

Tredjepartscookies
I vissa speciella fall använder vi också cookies som tillhandahålls av tredjepart.

Google Analytics
Den här webbplatsen använder Google Analytics, som är en av de mest utbredda och pålitliga analyslösningarna på webben för att hjälpa oss att förstå hur du använder webbplatsen och hur vi kan förbättra din upplevelse. Dessa cookies kan spåra saker som hur länge du spenderar på webbplatsen och sidorna du besöker så att vi kan fortsätta att producera relaterat innehåll.

Mer information om Google Analytics-cookies finns på den officiella Google Analytics-sidan:
https://analytics.google.com

Sociala medier och reklam
Sociala medier-cookies erbjuder möjlighet att ansluta dig till dina sociala nätverk och dela innehåll från våra Webbplatser via sociala medier. Reklam-cookies (av tredje part) samlar in information som hjälper dig att skräddarsy reklam för dina intressen, både inom och utanför våra Webbplatser. I vissa fall involverar dessa cookies behandlingen av dina personuppgifter. Att neka dessa cookies kan leda till en annonsering som inte är lika relevant för dig eller att du inte kan länka effektivt med Facebook, Twitter eller andra sociala nätverk och/eller inte låta dig dela innehåll på sociala medier.

Mer information
Förhoppningsvis har detta förtydligat några saker för dig men om det finns något som du inte är säker på om du behöver eller inte, är det vanligtvis säkrast att lämna cookies aktiverade.

Har du fortfarande frågor kan du kontakta oss på info@esante.se


Datasäkerhet gällande eSante AB

Som IT-företag arbetar vi generellt alltid med att upprätthålla en hög säkerhetsnivå i vår system och införandet av GDPR förändrar i grunden inte detta. Med hänvisning till vår säkerhetspolicy lämnar vi dock aldrig ut detaljerad information om hur vi upprätthåller säkerheten i våra tjänster. För kunder med speciella krav på insyn tecknas separata avtal innan mer djupgående informationsutbyte sker. Nedan följer dock en översiktlig beskrivning av vårt säkerhetsarbete.

Drift
Våra tjänster utvecklas och drivs i Sverige och används främst inom länder i EU. All data lagras på datacenter i Sverige med den säkerhet man kan förvänta sig av ett modernt datacenter. Kontinuerlig kontroll och uppföljning genomförs på årsbasis.

Datalagring
Vi tillämpar anonymisering eller pseudonymisering av personuppgifter. Databaser krypteras.

Utveckling
Vid all utveckling och test använder vi ”låtsasinformation” och testpersonnummer från Skatteverket.


Backup

All data säkerhetskopieras kontinuerligt till en separat plats så att tjänsten kan återställas i sin helhet i händelse av dataförlust. CQ är backup krypterad.

Tester
Vi utför regelbundna, automatiserade funktionstester av alla våra tjänster, allt för att tillse en hög nivå av driftsäkerhet.

Lösenordshantering
Inga lösenord sparas utan att först krypteras. Detta innebär att ingen, inte ens vi själva, kan få fram ett lösenord som angivits för ett konto. Ett förlorat lösenord måste därför alltid ersättas med ett nytt. För våra e-hälsotjänster förordas två faktors autentisering, 2FA (se under inloggning).

Inloggning
Autentiseringsmekanismer och logisk åtkomstkontroll till samtliga system med personuppgifter.

Loggning av aktiviteter Användaradministration.
Inloggning via Bank-id eller annan 2FA.

Driftmiljö
Behörighetstilldelning.
Inloggning loggas. Alltid 2FA. Användare 2FA för e-hälsotjänster, i övrigt enligt kundens önskemål.

Risk och säkerhesanalys
Risk och säkerhetsanalys görs för verksamheten i stort, men även för enskilda tjänster om det är påkallat av legala krav eller från kundönskemål. Ändamål Att uppfylla vårt åtagande som Personuppgiftsbiträdets på uppdrag av den Personuppgiftsansvarige.

Allmänt om personuppgifter i eSanté AB system eSanté AB innehar generellt rättigheterna till de system som vi tillhandahåller till den Personuppgiftsansvarige. Avvikelser kan förekomma men specificeras då i avtal med respektive kund.. eSanté AB utgångspunkt är att alla uppgifter som den Personuppgiftsansvarige, eller någon annan på uppdrag av den Personuppgiftsansvarige, för in i systemet, avseende exempelvis användare och patienter, ägs av den Personuppgiftsansvarige. Personuppgiftsansvarig är alltid ansvarig för att insamling, registrering av uppgifter, information till registrerad person, raderingsrutiner och andra legala krav som ställs på insamling och hantering av personuppgifterna genomförs enligt tillämpliga lagar, förordningar och föreskrifter. eSanté AB ansvarar endast för att den behandling som vi som Personuppgiftsbiträde genomför enligt Huvudavtalet med vår kund.

Plats för behandling av personuppgifterna
För samtliga kunder; Behandling kan komma att genomföras av personal hos eSanté AB vid bolagets kontor i Sverige i Stockholm och Hudiksvall, på plats hos Personuppgiftsansvarig om eSanté AB personal bedriver support/installation på plats eller hos underbiträden.

Informationssäkerhet
Att skydda kunders informationstillgångar innehållande personuppgifter är en prioriterad fråga för eSanté AB. Grundprinciper för vår informationssäkerhet är; tillgänglighet, riktighet, konfidentialitet samt spårbarhet. eSanté AB följer därför nedanstående riktlinjer för att säkerställda att ovanstående principer följs för all personuppgiftsbehandling:

• Identifiera, riskhantera och tilldela ansvar för informationstillgångar som innehåller personuppgifter samt vidta relevanta och balanserade skyddsåtgärder för dessa.

• Hantera informationstillgångar i enlighet med lagstiftning, policyer, riktlinjer samt kunders instruktioner.

• Utbilda och informera medarbetare i informationssäkerhet så att en god utbildningsnivå erhålls och bibehålls samt att informationssäkerheten tillämpas.

• Utforma och underhålla rutiner och verktyg för uppföljning som säkerställer informationssäkerheten.

• Utforma och underhålla rutiner och verktyg för incidenthantering för incidenter som rör personuppgiftsbehandling.

• Styra medarbetares tillgång till information, dvs. rätt information vid rätt tidpunkt och på rätt plats till en behörig användare.

Utlämnande av personuppgifter till tredje part

För undvikande av missförstånd noteras här även att eSanté AB även kan komma att genomföra automatiskt eller manuellt utlämnande av personuppgifter enligt Personuppgiftsansvarigs instruktioner till andra än underbiträden. Detta rör exempelvis utlämnande till av eSanté AB anlitade underbiträden.


IT-säkerhetspolicy

Policy och riktlinjer vid behandling av personuppgifter inom företaget eSanté AB

Grundläggande för denna policy är att eSanté AB ska behandla personuppgifter lagligt, korrekt och i enlighet med god sed oavsett om det gäller automatiserad eller manuell behandling av personuppgifter.

eSanté AB utvecklar, tillhandahåller och administrerar olika appar och system inom området e-hälsa. Som leverantör av system och applikationer till offentliga och privata vårdgivare har vi oftast rollen som personuppgiftsbiträde då vi på uppdrag av våra kunder hanterar de personuppgifter som kunderna bestämmer över och därmed är personuppgiftsansvarig. Denna policy gäller den behandling som eSanté AB kan komma att utföra i egenskap av både personuppgiftsansvarig, personuppgiftsbiträde eller personuppgiftsunderbiträde.

För att kunna tillhandahålla dessa appar/systemtjänster kan eSanté AB ingå avtal med andra aktörer som medverkar i systemet såsom t ex teleoperatörer, serverhallar, molntjänster etc och i dessa fall ska eSanté AB teckna personuppgiftsbiträdesavtal / underbiträdesavtal med respektive parter för att garantera uppfyllandet av denna policy.

Grundläggande begrepp som används i denna personuppgiftspolicy:

Personuppgift: Information som kan kopplas till en identifierbar person som är i livet. Till exempel namn, personnummer, adress, telefonnummer etc.

Behandling av personuppgifter: All användning av personuppgifter, till exempel insamling, registrering, sammanställning, lagring och distribution, gallring eller samkörning eller en kombination av dessa användningsområden. All behandling av personuppgifter omfattas av Personuppgiftslagen och Datainspektionen är den myndighet som övervakar att lagen följs.

Personuppgiftsansvarig: Den som ansvarar för behandlingen av personuppgifter och att det sker i enlighet med Personuppgiftslagen.

Personuppgiftsbiträde: Den som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Rättslig grund: Behandlingen av personuppgifter kommer att ske för att uppfylla det avtal som ingåtts mellan en person och vår kund i syfte att ge tillgång till den önskade tjänsten.

De personuppgifter som behandlas av och lagras under eSanté AB ansvar hanteras på ett tryggt och säkert sätt. Vi har etablerat och dokumenterat rutiner och åtgärder för att säkerställa användarnas integritet, uppgifternas tillgänglighet och sekretess med hänsyn till tillämplig lagstiftning. Personuppgifter lagras av eSanté AB endast under den tid det är nödvändigt för att uppfylla de ändamål som specificerats i denna Personuppgiftspolicy eller är påkallat av lag eller förordning. Därefter raderas personuppgifter ur våra system.

Rättigheter

Vi kommer här att belysa några av de rättigheter som du har . I de fall du vill åberopa någon av dessa skall du i första hand kontakta den Personuppgiftsansvarige, vilket betyder den som står som huvudansvarig för produkten eller tjänsten du använder. eSanté AB åtagande är att på uppmaning av Personuppgiftsansvarige /vår kund se till att uppfylla denna begäran.

Nödvändig hantering av personuppgifter och hantering med stöd av samtycke
 Personuppgiftsbehandling som sker av nödvändighet (laglig grund) för att vi ska kunna fullgöra avtal som personuppgiftsbiträde med våra kunder eller för att vi ska kunna fullgöra en rättslig skyldighet sker utan att vi har inhämtat samtycke från den enskilde. Vi förutsätter därför att du har lämnat samtycke till hantering av dina personuppgifter i samband med att du använder våra kunders tjänster via våra appar eller varit i personlig kontakt med någon av våra kunder. I de fall eSanté AB är personuppgiftsansvarig eller samlar in och hantera personuppgifter i något annat syfte krävs däremot samtycke till behandlingen.

Återkallelse av samtycke
Du kan när som helst välja att återkalla ditt samtycke genom att kontakta din huvudleverantör eller oss via kontaktuppgifterna längre ner. Om du återkallar ditt samtycke kommer vi att radera de personuppgifter och upphöra med den behandling som omfattas av samtycket.

Det kan förekomma att samma personuppgift behandlas både med stöd av samtycke och med stöd av att uppgiften är nödvändig eller med stöd av andra regler.

Rätt att få information om vilka personuppgifter vi har sparade om dig
Om du vill ha information om vilka uppgifter vi har registrerade om dig kan du skriftligen ansöka om detta:

I första hand hos den som är Personuppgiftsansvarig

I andra hand på nedanstående adress och vi kommer då att kontakta den som är

Personuppgiftsansvarig för dessa uppgifter och först efter skriftligt godkännande översända dem till dig.

Registerutdrag lämnas på begäran och är gratis en gång per år. OBS! En begäran måste skickas skriftligen eftersom den ska innehålla din namnteckning, du kan alltså inte bara skicka ett e-postmeddelande.

Rätt till kontroll över dina personuppgifter
Du har rätt att begära att uppgifterna om dig ska raderas, kompletteras eller rättas. Du har också rätt att begära att behandlingen av dina personuppgifter begränsas till vissa ändamål och till exempel inte används för direktreklam eller s.k. profilering.

Lagringstider
Vi sparar dina personuppgifter så länge som det krävs för ändamålet med behandlingen vilket oftast betyder så länge personuppgiften finns hos vår kund/uppdragsgivare. Om inte annat anges lagras en uppgift i maximalt två (2) år om du inte har samtyckt till att dina uppgifter kan sparas längre.

Lagkrav eller annan rättslig grund
Behandling av dina personuppgifter kan också komma att ske för att uppfylla förpliktelser enligt lagar och förordningar, till exempel gällande säkerhet, redovisning, kvalitetsregister eller journalsystem för sjukvård. Detta kan göras både som personuppgift eller som avidentifierad uppgift.

Till vem vi lämnar ut din data

Vi kan komma att lämna ut din data till underleverantörer som behandlar data för vår räkning. Det kan innebära att även de får tillgång till viss information om dig. Dessa parter får dock inte använda data om dig för något annat ändamål än för att tillhandahålla tjänsten eller på de villkor som vi anger.

Överföring till tredje land

eSanté AB kan ha en del av sin verksamhet i länder utanför Sverige eller EU/EES (s.k. ”tredje land”). Om vi för att tillhandahålla tjänsten till dig överför din data till en leverantör i ett sådant tredje land, vidtar vi lämpliga skyddsåtgärder och säkerställer att överförd data hanteras enligt gällande lag. Det finns länder som EU-kommissionen har beslutat att de uppfyller den nivå på skydd för personlig integritet som krävs. Vi skriver även regelmässigt avtal med våra leverantörer om att de är tvungna att tillämpa klausuler som EU-kommissionen har godkänt beträffande skydd för den personliga integriteten.

Ändringar i Policyn

Samtliga ändringar i Policyn meddelas via Webbsidan eller i vissa fall via e-post.

Kontaktuppgifter

Kontakta oss på info@esante.se om du har några frågor eller andra kommentarer i förhållande till vår Policy eller vår hantering av personuppgifter.