Integritetspolicy

Afya Group AB erbjuder evidensbaserad behandling för ätstörning. För våra patienter ska behandlingen leda till en större livskvalitet och därmed ökat psykiskt och fysiskt välmående. Behandlingen ska bedrivas med respekt för patientens självbestämmande och integritet. Vi följer General Data Protection Regulation (GDPR) och Data Protection Act 2018 (DPA).

Denna policy förklarar hur vi samlar in och behandlar dina personuppgifter när du använder Afya Group AB:s tjänst (“tjänsten”). Denna policy styr också användningen av data som samlas in via vår app eller via någon av våra webbplatser, inklusive webbplatsen afya.se. Denna policy beskriver vilka rättigheter du har gentemot oss och hur du kan göra dina rättigheter gällande.

Genom att använda tjänsten accepterar du denna integritetspolicy och samtycker till att dina personuppgifter samlas in och behandlas på det sätt som beskrivs nedan. Det är viktigt att du läser och förstår denna policy innan du använder tjänsten.

Denna policy kan behöva ändras eller uppdateras om funktioner ändras eller läggs till i tjänsten. Du kommer i så fall att informeras om detta för att få möjlighet att ta ställning till ändringar innan dessa börjar gälla. Genom att fortsätta använda tjänsten efter detta accepterar du ändringarna.

1. Afyas verksamhet

Afya Group AB org. nr 559385–0265, nedan också kallat för ”Afya”, ”Appen”, ”Företaget”, ”Verksamheten”, “Vi”, “Oss” eller “Vår”, är en registrerad vårdgivare och bedriver hälso- och sjukvård genom att erbjuda behandling av ätstörning med hjälp av internetbaserad kognitiv beteendeterapi (IKBT) genom den digitala applikationen afya ("Appen"). Behandlingen är onlinebaserad vilket innebär att patienten via ett appbaserat behandlingsprogram kan tillgodogöra sig information och utföra hemuppgifter mellan sessionerna med legitimerad behandlare. Kontakten med den legitimerade behandlaren sker online via chatt eller videosamtal. Behandlingen är tillgänglig för individer över 16 år. Bolaget bedriver enbart psykologisk bedömning och behandling av ätstörning och inom verksamheten sker ingen läkemedelsförskrivning eller behandling av andra sjukdomstillstånd. Bolaget har sitt huvudkontor på S:t Göransgatan 126 i Stockholm.

2. Personuppgiftsansvarig

Personuppgiftsansvarig för behandling av personuppgifter är den som bestämmer syftet med behandlingen. För Bolagets del innebär det att Vårdgivaren oftast är personuppgiftsansvarig för den behandling av personuppgifter som sker i Appen eftersom behandlingen sker som ett led i Vårdgivarens hälso- och sjukvård. I vissa fall behandlar dock IT-leverantören personuppgifter för egen räkning och är i så fall personuppgiftsansvarig för sådan behandling. Om det inte framgår att IT-leverantören behandlar personuppgifter för egen räkning är det Vårdgivaren som är personuppgiftsansvarig för den behandling av personuppgifter som beskrivs i denna policy. IT-leverantören agerar i de fallen som personuppgiftsbiträde åt Vårdgivaren och behandlar endast personuppgifter i enlighet med Vårdgivarens instruktioner.

3. Insamlade personuppgifter

  • Identifieringsuppgifter såsom namn och personnummer, samlas in från BankID när du loggar in i Appen första gången.

  • Kontaktuppgifter såsom e-mail och telefonnummer, samlas in från dig i samband med att du bokar ditt första samtal

  • Användaruppgifter med koppling till ditt användande av Appen samlas in från dig i samband med att du använder Appen. Användaruppgifter är till exempel information om att du har godkänt mottagande av direktmarknadsföring, information om du har betygsatt Appen eller inte samt uppgifter som du i övrigt kommunicerar med oss med anledning av ditt användande av Appen, till exempel i samband med supportärenden eller utvärderingar.

  • Tekniska uppgifter med koppling till ditt användande av Appen samlas in automatiskt i samband med att du använder Appen, delvis med hjälp av s.k. cookies. Tekniska uppgifter är till exempel registreringsdatum, information om den mobila hård- och mjukvara som du använder (såsom modell, vilken version av Appen du använder och hårdvarans identifikationsuppgifter), tekniska uppgifter från mötet i Appen (såsom nätverkshastighet) och annan information med koppling till ditt användande av Appen (såsom vilka sidor du besökt, tidsåtgång och funktioner du använt).

Följande personuppgifter om dig behandlas i samband med att du använder Appen för syftet att erhålla hälso- och sjukvård från appen eller registrera uppgifter om dig:

  • Hälsouppgifter avseende ditt sjukdomstillstånd och sjukdomshistoria samlas in från dig genom att du svarar på frågor och registrerar sådana uppgifter innan ett vårdmöte inleds.

  • Hälsouppgifter avseende ditt sjukdomstillstånd samlas in kontinuerligt från dig genom att du svarar på frågor under din behandling

  • Hälsouppgifter avseende ditt sjukdomstillstånd samlas in från dig genom att du svarar på frågor efter din behandling

  • Patientjournalanteckningar dokumenteras av vårdpersonalen i samband med vårdmötet.

Följande personuppgifter behandlas i samband med att du använder Appen för det huvudsakliga syftet att erhålla hälso- och sjukvård från Vårdgivaren:

  • Postnumret för den ort där du befinner dig under mötet samlas in från externa leverantörer i samband med vårdmötet.

  • Mötesuppgifter, såsom antal genomförda vårdmöten, den vårdpersonal som du varit i kontakt med, samtalsstatistik (såsom tidpunkt för start och slut) samt svar på uppföljningar från vårdmöten samlas in i samband med att du använder Appen, delvis automatiskt men även genom att du frivilligt lämnar sådana uppgifter.

4. Syftet med behandlingen och lagliga grunder

Afya behandlar för egen räkning identifieringsuppgifter, kontaktuppgifter, användaruppgifter och tekniska uppgifter i syfte att tillhandahålla Appen till dig, för att kommunicera med dig avseende Appen (exempelvis för att skicka notiser om uppdateringar av Appen, tillhandahålla teknisk support och skicka annan viktig information till dig avseende Verksamheten), för direktmarknadsföring riktad till dig samt för andra marknadsföringsändamål som genomförs tillsammans med externa samarbetspartners, för att förbättra Appen och användarupplevelsen samt för att förbättra och utveckla Verksamheten. När behandling genomförs i marknadsföringssyfte innefattar det även analys om dig och hur du använder Appen. Grunden för behandlingen är att den i vissa fall är nödvändig för att Verksamheten ska kunna tillhandahålla Appen och fullfölja avtalet med dig avseende Appen men även Verksamhetens berättigade intresse av att marknadsföra Afyas tjänster samt förbättra och utveckla Verksamheten. Kom ihåg att du alltid har möjlighet att välja att inte ta emot direktmarknadsföring.

Med undantag för patientjournalanteckningar behandlar Verksamheten för egen räkning personuppgifter i syfte att först avidentifiera uppgifterna för att sedan skapa aggregerad information med hjälp av de avidentifierade uppgifterna. Den aggregerade informationen analyseras sedan i syfte att utveckla och förbättra Verksamheten. En avidentifiering innebär att det inte längre går att koppla ihop uppgifterna med en viss individ. Grunden för behandlingen är att den i vissa fall är nödvändig för att Verksamheten ska kunna fullgöra avtalet med dig avseende Appen och förbättra verksamhet.

Vårdgivaren behandlar postnummer, identifieringsuppgifter och kontaktuppgifter i syfte att tillhandahålla hälso- och sjukvård via Appen, för att administrera vårdärenden, för att kunna kommunicera med dig med anledning av Vårdgivarens tjänster och för att kunna rekommendera andra vårdgivare i närheten av den plats där du befinner dig. Grunden för behandlingen är att den är nödvändig för att Vårdgivaren ska kunna fullgöra rättsliga förpliktelser i egenskap av vårdgivare.

Vårdgivaren behandlar identifieringsuppgifter, hälsodata, bilder och patientjournalanteckningar i syfte att tillhandahålla hälso- och sjukvård via Appen, för att administrera vårdärenden, samt för att kunna fullgöra skyldigheter att föra patientjournal. Grunden för behandlingen är att den är nödvändig för att Vårdgivaren ska kunna fullgöra rättsliga förpliktelser i egenskap av vårdgivare, bland annat skyldigheten att föra patientjournal. Vårdgivaren kan även komma att behandla patientjournalanteckningar i syfte att utveckla och förbättra verksamheten. All sådan behandling sker dock endast med stöd av anonyma patientjournalanteckningar. Grunden för behandlingen är i det fallet Vårdgivarens berättigade intresse av att utveckla och förbättra verksamheten.

Vårdgivaren behandlar mötesuppgifter i syfte att tillhandahålla hälso- och sjukvård via Appen och i syfte att förbättra och utveckla Vårdgivarens verksamhet. Grunden för behandlingen är att den i vissa fall är nödvändig för att Vårdgivaren ska kunna fullgöra rättsliga förpliktelser i egenskap av vårdgivare men även Vårdgivarens berättigade intresse av att utveckla och förbättra sin verksamhet.

5. Tid under vilken personuppgifterna behandlas

Vi strävar efter att gallra personuppgifter så ofta som möjligt och behandlar inte personuppgifter längre än vad som är nödvändigt med hänsyn till syftet med behandlingen, och aldrig längre tid än vad som framgår nedan. Hur länge vi behandlar en personuppgift beror på typen av uppgift och ibland kan samma personuppgift sparas för att behandlas i ett visst syfte, även om den gallrats bort för behandling i andra syften.

Normalt sett behandlar vi personuppgifter så länge som du har ett konto aktiverat i Appen och tre (3) månader efter att kontot inaktiverats. Därefter raderas eller avidentifieras personuppgifterna.

Enligt lag kan Afya ha både rätt och skyldighet att fortsätta behandla vissa personuppgifter även om ditt konto i Appen har inaktiverats. Det gäller exempelvis patientjournalanteckningar som Vårdgivaren normalt sett är skyldig att behandla i minst tio (10) år. Även enligt exempelvis bokföringslagstiftning, patientdatalagstiftning och annan lagstiftning på hälso- och sjukvårdsområdet kan det föreligga skyldigheter att behandla personuppgifter även efter att ditt konto i Appen har inaktiverats. Afya kan även ha rätt att fortsätta behandla vissa personuppgifter för att kunna tillvarata sina egna rättsliga anspråk.

Om du har fått en inbjudan att använda Appen kommer dina personuppgifter att raderas om du inte skapat ett konto inom sex (6) månader från att inbjudan skickades till dig.

Personuppgifter som behandlas med stöd av ditt samtycke raderas i samband med att du återkallar ditt samtycke.

6. Utlämnande av personuppgifter

Utöver vad som beskrivs i denna policy lämnar Verksamheten inte ut personuppgifter om dig annat än i de fall då du har begärt det eller tillåtit Afya att göra det, om det är nödvändigt för att Afya ska kunna fullgöra skyldigheter enligt lag, myndighets- eller domstolsbeslut eller om det annars är tillåtet enligt lag. Utlämnande genom direktåtkomst, såsom det beskrivs i patientdatalagen, får dock bara ske om det tillåts enligt lag eller förordning.

Personuppgifter lämnas ut till personal som är anställda av Afya, eller konsulter som anlitas av Afya, men bara i den utsträckning som personalen eller konsulterna behöver personuppgifterna för att kunna utföra sitt arbete eller sitt uppdrag.

Utlämnande av personuppgifter sker till externa tjänsteleverantörer. Utlämnande sker huvudsakligen till leverantörer som tillhandahåller drift- och hostingtjänster kopplade till Appen men även leverantörer som tillhandahåller vissa funktioner inom Appen, exempelvis tjänster för direktmarknadsföring och inhämtande av postnummer. Dessa agerar antingen i form av personuppgiftsbiträde (för den behandling som sker för Afyas egen räkning) eller i form av underbiträde (för den behandling som Vårdgivaren är personuppgiftsansvarig för) till Afya. Det innebär att de externa leverantörerna endast behandlar personuppgifter i enlighet med Afyas instruktioner. Även lagring och behandling av personuppgifter, med undantag för patientjournalanteckningar, sker på servrar som tillhandahålls av sådana externa tjänsteleverantörer.

I vissa fall kan utlämnande ske till externa leverantörer som agerar självständigt på uppdrag av Afyas, d.v.s. inte som personuppgiftsbiträde, exempelvis i marknadsföringsändamål. Dessa ansvarar därmed själva för behandlingen av de personuppgifter som lämnas ut och denna policy gäller därför inte för sådan behandling. Känsliga uppgifter, exempelvis uppgifter om hälsa eller patientjournalanteckningar, lämnas dock aldrig ut till sådana leverantörer.

Patientjournal förs i Appen. Vårdgivaren kan i vissa fall även vara skyldig att föra patientjournal i det patientjournalsystem som används inom den region som Vårdgivaren är ansluten till. Patientjournaler kommer därför att lämnas ut även till den leverantör som tillhandahåller det patientjournalsystemet. Leverantörer av externa patientjournalsystem agerar dock endast som personuppgiftsbiträde och har inte rätt att behandla patientjournaler för egna ändamål. Även om patientjournalerna behandlas av externa leverantören så skyddas själva uppgifterna i patientjournalen alltid från obehörig åtkomst.

Vårdgivaren kan i vissa fall även komma att dela uppgifter i din patientjournal med andra vårdgivare genom s.k. sammanhållen journalföring.

7. Överföring av personuppgifter utanför Sverige

Afya kan komma att överföra personuppgifter till länder utanför Sverige. Detta sker huvudsakligen i samband med att Verksamheten lämnar ut personuppgifter till sina externa tjänsteleverantörer som kan ha både verksamhet och servrar belägna utanför Sverige.

Afya kan även komma att överföra personuppgifter till länder utanför EU/EES, huvudsakligen i samband med att Afya anlitar en extern tjänsteleverantör med verksamhet i sådana länder. Om Afya överför personuppgifter till länder utanför EU/EES sker det endast i undantagsfall och det förutsätter att överföringen kan göras i enlighet med tillämplig personuppgiftslagstiftning. Det kan vara fallet om landet uppfyller EU-kommissionens beslut om adekvat skyddsnivå, om Afya tillämpar EU-kommissionens standardavtalsklausuler för tredjelandsöverföring eller om andra lämpliga skyddsåtgärder till uppfyllande av tillämplig dataskyddslagstiftning är uppfyllda. Afya säkerställer att förutsättningarna är uppfyllda innan en överföring sker.

8. Andra vårdgivare och sammanhållen journalföring

Genom s.k. sammanhållen journalföring har Afya möjlighet att i vissa fall ge andra vårdgivare tillgång till patientjournal. Syftet med reglerna för sammanhållen journalföring är att ge vårdgivare större möjligheter att kunna dela uppgifter i patientjournaler utan att patienten behöver upprepa sin vårdhistorik för en ny vårdgivare, och därmed kunna erbjuda en mer effektiv hälso- och sjukvård. På motsvarande sätt innebär sammanhållen journalföring en möjlighet för Vårdgivaren att i vissa fall ta del av uppgifter patientjournal hos andra vårdgivare.

Möjligheten för en vårdgivare att ta del av patientjournal som gjorts tillgänglig av någon annan vårdgivare gäller dock endast under vissa förutsättningar. Först och främst att du har samtyckt till det. Det krävs även att vårdgivaren som vill ta del av uppgifterna har en aktuell patientrelation med patient och att uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patient.

Som patient har du inte möjlighet att motsätta dig sammanhållen journalföring för din räkning eller begära att uppgifter i din patientjournal spärras från andra vårdgivares åtkomst.

En vårdgivare som får tillgång till personuppgifter genom sammanhållen journalföring är enligt lag personuppgiftsansvarig för den behandling av personuppgifterna som sker i vårdgivarens verksamhet. Det innebär bland annat att varje vårdgivare är skyldig att begränsa åtkomsten till personuppgifter till vad vårdpersonalen behöver för att kunna utföra sina arbetsuppgifter inom hälso- och sjukvården (s.k. inre sekretess), och för att uppföljning av loggar sker.

9. Säkerhet och Sekretess

Inom Afya bedrivs ett kontinuerligt och systematiskt säkerhetsarbete kopplat till både patientsäkerhet och skyddet av den personliga integriteten. Vi ser till att vidta och tillämpa lämpliga skyddsåtgärder och säkerhetsföreskrifter för att dina personuppgifter ska skyddas mot obehörig åtkomst, obehörigt utlämnande och missbruk. Detta, tillsammans med den s.k. inre sekretessen, upprätthåller vi bland annat genom särskilda lösningar för behörighetstilldelning och åtkomstkontroll.

Vårdgivaren har en lagstadgad tystnadsplikt avseende uppgifter i patientjournaler. Vårdgivaren tillämpar dessutom s.k. inre sekretess som innebär att det endast är personal som är involverad i vården och behandlingen, eller som av annat skäl behöver uppgifterna för att fullgöra sitt arbete inom hälso- och sjukvården, som får ta del av personuppgifter. Vårdgivaren ser även till att behörigheten för åtkomst till patients uppgifter begränsas till vad som behövs för att vårdpersonalen ska kunna utföra sina arbetsuppgifter kopplade till hälso- och sjukvården.

Vi vidtar lämpliga säkerhetsåtgärder för att skydda personuppgifter mot obehörig åtkomst. Afya utbildar dessutom kontinuerligt anställda i frågor kopplade till säkerhet och sekretess avseende de personuppgifter som behandlas. Afya skriver sekretessavtal med alla anställda och andra personer, exempelvis konsulter, som i samband med sin tjänsteutövning kan komma i kontakt med dina personuppgifter.

10. Dina rättigheter

Utöver de rättigheter som i övrigt följer av denna policy har du ett antal särskilda rättigheter med avseende på behandlingen av dina personuppgifter.

Du har rätt att vända dig till oss för att få information om vilka av dina personuppgifter som vi behandlar, i vilka syften vi behandlar dom, vilka tredje parter som mottagit personuppgifterna och om personuppgifterna har överförts till länder utanför EU/EES.

Du har rätt att begära att vi rättar felaktiga, ofullständiga eller missvisande personuppgifter eller att personuppgifter helt och hållet raderas. Enligt lag har Vårdgivaren dock en skyldighet att spara uppgifter i patientjournaler. Den skyldigheten gäller även om du begär att personuppgifterna raderas. Om du begär att vissa personuppgifter raderas, såsom identifieringsuppgifter och kontaktuppgifter, kan det innebära att Afya inte längre har möjlighet att tillhandahålla Appen till dig. I vissa fall har Afya även rätt att motsätta sig en radering av dina personuppgifter. För att radera uppgifter i patientjournal måste du ansöka om detta hos Inspektionen för vård och omsorg (IVO).

Du har rätt att invända mot en viss behandling av dina personuppgifter eller begära att behandlingen begränsas i vissa avseenden, exempelvis begära att personuppgifterna inte används för direktmarknadsföring. Du har även rätt att invända mot den behandling av dina personuppgifter som grundar sig på vårt berättigade intresse. I så fall har vi en skyldighet att bevisa att det finns tvingande berättigade skäl för behandlingen, som överväger dina intressen, eller sluta med behandlingen. Du kan alltid kontakta oss för att få veta mer om den intresseavvägning som vi gjort. Du har även rätt att begära att en behandling av dina personuppgifter begränsas tills dess att din invändning har hanterats.

Du har rätt att begära att vi flyttar dina personuppgifter till en annan personuppgiftsansvarig. Detta gäller dock enbart de personuppgifter som du själv har lämnat till oss och som vi behandlar med stöd av ditt samtycke eller med stöd av avtal mellan dig och Afya. Vi har i så fall rätt att flytta dina personuppgifter genom att förse dig med personuppgifterna i ett elektroniskt format som är allmänt använt för att kunna överföra dem till en annan personuppgiftsansvarig.

Om du har lämnat samtycke till en viss behandling av dina personuppgifter kan du alltid återkalla sådant samtycke. Även om du återkallar ditt samtycke kan dock andra lagliga grunder fortfarande vara tillämpliga på samma behandling som skett med stöd av det tidigare lämnade samtycket. Om du återkallar ett samtycke till en viss behandling så inverkar inte det på den behandling som gjorts med stöd av det tidigare lämnade samtycket.

Du har rätt att av Vårdgivaren begära tillgång och direktåtkomst till ditt personuppgifter, inklusive patientjournal, samt att begära information om den direktåtkomst och elektroniska åtkomst till personuppgifter, inklusive patientjournal, som förekommit.

Vid Vårdgivarens behandling av personuppgifter har Vårdgivaren inte rätt att använda sökbegrepp som avser uppgifter om lagöverträdelser eller uppgifter om att någon fått bistånd eller varit föremål för andra insatser inom socialtjänsten eller enligt utlänningslagen (2005:716). Vårdgivaren har dock rätt att som sökbegrepp använda uppgifter som rör hälsa.

Om Afya behandlat dina personuppgifter i strid mot tillämplig lag, såsom patientdatalagen, och det har lett till att du lider skada kan du, i vissa fall ha rätt att begära skadestånd för den uppkomna skadan. Du har dessutom alltid möjlighet att kontakta Datainspektionen om du har synpunkter eller anmärkningar på Afyas behandling av personuppgifter.

11. Ändringar

Vi ser regelbundet över vår behandling av personuppgifter och denna policy kan därför komma att ändras i takt med att förändringar sker i behandlingen eller när vi genomför nya behandlingar. Vi informerar alltid dig i samband med att vi gör mer väsentliga ändringar. Den senast uppdaterade versionen av policyn finns alltid tillgänglig på Afyas hemsida www.afya.se.

12. Kontakt

Du utövar dina rättigheter enligt ovan genom att kontakta oss via e-post till info@afya.se Du kan även använda samma kontaktuppgifter om du i övrigt har synpunkter eller frågor på hur vi behandlar dina personuppgifter.

Afya har även utsett ett dataskyddsombud som övervakar behandlingen av personuppgifter inom Afya. För att komma i kontakt med Afyas dataskyddsombud är du välkommen att skicka mail till info@afya.se.