vid Geritrim vård- och rehabiliteringsenhet

Relevanta dokument
GDPR dataskydd. vid Alandica Kultur & Kongress. (för personal, kunder och samarbetspartners)

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Information om behandling av personuppgifter

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

PERSONUPPGIFTSBITRÄDESAVTAL

GDPR och hantering av personuppgifter

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

Strand Kapitalförvaltning AB:s integritetspolicy

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

GDPR NYA DATASKYDDSFÖRORDNINGEN

Svensk författningssamling

Integritetspolicy. Vårt dataskyddsarbete

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

INTEGRITETSPOLICY för Webcap i Sverige AB

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Integritetspolicy Upplev Norrköping

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Personuppgiftsbiträdesavtal

GDPR. Dataskyddsförordningen

Dataskyddsförordningen

Integritetspolicy för Judiska församlingen (JF) i Stockholm

PERSONUPPGIFTSBITRÄDESAVTAL

BESKRIVNING AV PERSONUPPGIFTSHANTERING

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

Personuppgiftsinformation för Svedala kommun

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Dataskyddsförordningen

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Dataskyddspolicy CENTRO KAKEL OCH KLINKER AB

Du kan alltid kontakta oss vid frågor om integritets- och dataskydd genom att skicka ett e-postmeddelande till

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Dataskyddsförordningen

Ett eller flera dataskyddsombud?

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Personuppgiftspolicy Dokument: Personuppgiftspolicy för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018

Allmänna Råd. Datainspektionen informerar Nr 3/2017

Information till personuppgiftsansvarig om dataskyddsombud

INFORMATION OM BEHANDLING AV DINA PERSONUPPGIFTER

Axholmen:s Integritetspolicy

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

Policy för behandling av personuppgifter

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Policy för behandling av personuppgifter

Riktlinjer för dataskydd

REKRYTERINGSHUSET. RekryteringsHuset i Sverige AB Integritetspolicy

Huvudvärksförbundets Integritetspolicy

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

ABAs policy för behandling av personuppgifter

InfraGeoTech AB INTEGRITETSPOLICY

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Integritetspolicy Vilka personuppgifter behandlar vi? När behandlar vi personuppgifter? Vad använder vi personuppgifter till?

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

PuL och GDPR en översiktlig genomgång

Integritetspolicy Rinkaby Rör

Personuppgiftsbiträdesavtal

Dataskyddsförordningen 2018

Tillägg om Zervants behandling av personuppgifter

Tegehalls revisionsbyrå och dataskyddsförordningen

GDPR- Seminarium 2017

Dataskyddsförordningen 2018

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

PERSONUPPGIFTSBITRÄDESAVTAL

Behandling av personuppgifter vid Göteborgs universitet

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH

DATASKYDD (GDPR) Del 2: Förvaltningsledning

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Säkerhetspolicy rev. 0.1

INTEGRITETSPOLICY Information om behandling av personuppgifter för dig som är medlem i brf Gandalf

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande

1. Vad är en personuppgift och vad är en behandling av personuppgifter?

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Riktlinjer för personuppgiftshantering

Samarbetsavtal behandling av personuppgifter 1. Bakgrund och syfte 2. Samarbetsavtalets giltighetstid

Dataskyddsförordningen

INTEGRITETSPOLICY FÖR ROSENDAL106 AB OCH DOTTERBOLAG

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter.

Lindesbergs kommuns arbete med dataskyddsförordningen

Översikt av GDPR och förberedelser inför 25/5-2018

GDPR definition och hur utbildningen berör(t)s av förordningen

INTEGRITETSTSPOLICY AVSEENDE RESTAURANGGÄSTER MED FLERA

BILAGA OM BEHANDLINGEN AV PERSONUPPGIFTER

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

PERSONUPPGIFTSBITRÄDESAVTAL

Bilaga 3 Personuppgiftsbiträdesavtal

Regler för behandling av personuppgifter vid Högskolan Dalarna

Transkript:

2018-05-25 GDPR dataskydd vid Geritrim vård- och rehabiliteringsenhet (för personal, kunder och samarbetspartners) Tony Westerlund DATASKYDDSOMBUD

Geritrim beredskap för GDPR Från och med 25.5.2018 börjar EU:s nya dataskyddsförordning GDPR (General Data Protection Regulation) tillämpas 2016/679/EU. Geritrim har förberett sig för kommande ändringar och vi garanterar också i fortsättningen en hög datasäkerhet för de personuppgifter vi hanterar. Geritrim och GDPR rollerna DATASKYDDSOMBUD (=DPO) Som dataskyddsombud fungerar vid Geritrim direktör Tony Westerlund. Dataskyddsombudets uppgift är att ge råd, utveckla och övervaka dataskyddet och hanteringen av personuppgifter. PERSONUPPGIFTSANSVARIG (REGISTERANSVARIG) Geritrim (Stiftelsen för Bottenhavets sjukhem) ledning fungerar som personuppgiftsansvarig. Den personuppgiftsansvarige ansvarar för innehållet, processerna och användarrättigheterna för personuppgifterna. PERSONUPPGIFTSBITRÄDE De samarbetspartners och/eller leverantörer som enligt avtal hanterar personuppgifter, som personuppgiftsansvarig ansvarar för, benämns i dokumentet personuppgiftsbiträde. Vi förutsätter att våra personuppgiftsbiträden handhar och behandlar våra kunders personuppgifter i enlighet med i gällande lagar och förordningar om dataskydd och skyddande av personuppgifter (GDPR). PERSONALENS ANSVAR Personalen vid Geritrim bär ett viktigt ansvar för att dataskyddet fungerar på en hög nivå samt att personuppgifterna hanteras på ett varsamt och ändamålsenligt sätt. Det gäller så väl muntligt som skriftligt och digitalt. Personalen bör följa de instruktioner, råd och föreskrifter som ges från dataskyddsombudet och/eller förman. Alla i personalen har också en skyldighet att anmäla och rapportera om eventuella fel och brister i dataskyddet, samt om man upptäcker att någon bryter mot reglerna gällande dataskyddet och/eller hanteringen av personuppgifter. DEN REGISTRERADE Med den registrerade avses en fysisk person vars personuppgifter hanteras av personuppgiftsansvarig eller personuppgiftsbiträde (dvs. personals, klienters och samarbetspartners uppgifter). Sidan 1

PERSONUPPGIFT En personuppgift avser alla uppgifter som hänför sig till en identifierbar fysisk person, som av personuppgiftsansvarig eller dess personuppgiftsbiträde hanteras, för uppfyllandet av sina skyldigheter i verksamheten. Med hantering avses i detta sammanhang alla åtgärder som riktar sig mot personuppgifter såsom insamling, ordande, lagring, redigering, sökning, användning, överlåtelse, överföring, förmedling, sammansättning, förhindrande, radering eller förstöring. Skydd av personuppgifterna RÄTTIGHETER OCH SKYLDIGHETER I vår verksamhet är behandlingen av personuppgifter speciellt viktig, eftersom vi fungerar inom vårdbranschen och vi har i omfattande skala att göra med känsliga personuppgifter gällande våra kunder/klienter. Vi utför i vår verksamhet såväl tekniska som organisatoriska åtgärder för att skydda personuppgifterna från otillåten användning och/eller hantering. Vid behov anlitar vi utomstående expertis. Vi förbehåller oss dock rätten att hantera både personalens och den registrerades personuppgifter hos personuppgiftsbiträden och i deras IT-system (t.ex. personaladministrations-, ekonomie- och klienthanteringssystem). Detta för att kunna fullfölja vårt arbete samt våra skyldigheter gentemot samarbetspartners och myndigheterna i Finland (t.ex. skatte-, register- och tillsynsmyndigheter). Den registrerade bör givetvis ge sitt samtycke till att personuppgiftsansvarig hanterar känsliga personuppgifter angående denne. Personuppgiftsansvarig ansvarar för att våra personuppgiftsbiträden, som levererar och administrerar våra klienthanterings- och IT-system, håller ett sådant dataskydd som förutsätts enligt gällande lagar och förordningar angående data- och personuppgiftsskydd. Vi förutsätter bl.a. en skriftlig försäkran om detta av våra personuppgiftsbiträden. All information, som lagras i eller överförs från våra digitala klienthanteringssystem är krypterade. Transaktionsloggar samlar uppgifter om inloggning, utloggning och hantering av patientdata. Också visning av patientdata registreras i transaktionsloggen. Säkerhetskopior av information tas regelbundet och sparas på ett sätt som förutsätts enligt nuvarande dataskyddskrav. Mer ingående information om personuppgiftsbiträdens dataskydd och teknik finns tillgänglig i den dokumentation som personuppgiftsansvarig tillhandahåller. Vid Geritrim utvärderar vi våra dataskyddsmetoder bl.a. via riskbedömningar i riskhanteringsgruppen minst 1 2 ggr per år (samt vid behov). Dataskyddsombudet håller dessutom uppsikt över hur dataskyddet i praktiken tillämpas. Dataskyddsombudet ger råd och skolning till personalen, t.ex. vid personalmöten. Dataskyddsombudet förväntar sig samtidigt att eventuella fel och brister i dataskydd samt hantering av personuppgifter rapporteras denne, så att förutsatta åtgärder kan vidtas. Sidan 2

UNDERLEVERANTÖRER Personuppgiftsbiträdet har rätt att använda sig av underleverantörer, för hantering av personuppgifter, endast med ett skriftligt samtycke från personuppgiftsansvarig. ANSVARSBEGRÄNSNING Personuppgiftsbiträdet ansvarar för de skador som försummelse, oaktsamhet eller brott mot denna av Geritrim uppgjorda GDPR föreskrift orsakar personuppgiftsansvarig. Den registrerades rättigheter RÄTT TILL INFORMATION OM HANTERING AV PERSONUPPGIFTER Den registrerade har rätt till information om insamling och behandling av personuppgifter (principen om samtycke tillämpas). Den registrerade har rätt till personlig integritet gällande dennes personuppgifter. Den registrerade har rätt att få reda på när, var och vilka personuppgifter, som berör honom eller henne, har behandlats och sparats. Transaktionsloggarna i de klienthanteringssystemet som hanterar känsliga personuppgifter vid personuppgiftsansvarig erbjuder information om när och vad som har gjorts åt personuppgifterna, samt vem som har utfört behandlingen/åtgärden. RÄTT ATT FÅ TILLGÅNG TILL OCH RÄTTA EGNA UPPGIFTER den registrerade har rätt att få tillgång till sina egna uppgifter och att få felaktiga uppgifter rättade. den registrerade har rätt att få tillgång till sina personuppgifter. den registrerade har rätt att begära att endast behöriga personer har tillgång till personuppgifterna. RÄTT TILL RADERING (rätt att bli bortglömd) Den registrerade har rätt att få sina personuppgifter raderade, om de inte längre behövs med tanke på de ändamål för vilka de samlats. RÄTT TILL DATAPORTABILITET (överföring av personuppgifter) Den registrerade har rätt att få tillgång till sina personuppgifter i en läsbar form och att få dem överförda till en annan personuppgiftsansvarig, om denne så begär. Vid en eventuell överföring av den registrerades personuppgifter till tredje part, gäller regeln och principen om skriftligt samtycke av den registrerade. Sidan 3

Vid en personuppgiftsincident FÖRFARINGSSÄTT VID DATAINTRÅNG ELLER PERSONUPPGIFTSINCIDENT Anmälan om en incident gällande personuppgifterna bör av personalen omgående anmälas till personuppgiftsansvarig samt dataskyddsombudet vid Geritrim. Händelsen dokumenteras och hanteras på ett ansvarsfullt sätt. Om personuppgiftsincidenten är av karaktären dataintrång i eller läckage av känsliga personuppgifter till utomstående, bör incidenten dokumenteras och rapporteras till myndigheterna snarast (dock senast inom 72 timmar från att incidenten uppdagats). I våra klienthanteringssystem som behandlar känsliga personuppgifter övervakas datasäkerheten kontinuerligt under dygnets alla timmar. I fall att en personuppgiftsincident skulle inträffa, meddelar vi omgående berörda parter. Vi bistår med råd till berörda parter samt information till myndigheterna och de registrerade. MEDDELANDE OM DATAINTRÅNG Vid ett eventuellt dataintrång kräver vi av både personal och personuppgiftsbiträden, att de förbinder sig att informera om dataintrånget till dataskyddsombudet samt personuppgiftsansvarig, utan onödig fördröjning. Dessutom förväntar vi oss att man i en dylik situation skrider till tillbörliga åtgärder för att trygga skyddet av personuppgifter, för att minimera skadan. VID ETT DATAINTRÅNG MEDDELAS OCH DOKUMENTERAS ÅTMINSTONE FÖLJANDE UPPGIFTER: vilket personuppgiftssystem som dataintrånget berör. tid för uppdagande av dataintrånget. vem identifierade dataintrånget. vilka grupper och individer (av de registrerade) dataintrånget berör (om detta är känt). en beskrivning av dataintrångets förverkligande och sannolika följder. en beskrivning av vilka åtgärder som vidtagits pga. dataintrånget. Personalens utbildning DATASKYDDSUTBILDING I VARDAGEN Hela personalen vid Geritrim har under tiden 14.-25.5.2018 genomgått en skolning vid namn dataskyddsutbildning i vardagen (JUHTA) och därefter avlagt ett test. Det godkända testet/intyget visar att man besitter nödvändiga grundläggande kunskaper i dataskydd. Personalen genomgår också en internskolning i dataskydd (GDPR), så att vi kan säkerställa att verksamheten följer förordningens bestämmelser. Sidan 4

Framöver behandlas dataskyddsfrågor med jämna mellanrum vid ledningsgruppens möten och personalmöten samt enligt behov. Utbildningen i dataskydd- och personuppgiftshantering är fortlöpande. Vid behov införskaffas utomstående skolning i dataskydd. Vårt ansvar som personuppgiftsansvarig Som personuppgiftsansvarig informerar vi personuppgiftsbiträden ifall vi anser att dessa inte följer GDPR-kraven eller om personuppgiftsbiträden underlåter sig att följa GDRP direktiven. Som personuppgiftsansvarig är vi vid behov beredda att diskutera och förhandla om åtgärder, som hjälper/underlättar personuppgiftsbiträdet att respektera den registrerades rättigheter. Som personuppgiftsansvarig förutsätter vi att personuppgiftsbiträdet förbinder sig, att på begäran returnera och/eller förstöra persondata då samarbetet med den personuppgiftsansvariga upphör. Som personuppgiftsansvarig förutsätter vi att personuppgiftsbiträdet ger all begärd/behövlig information så att den personuppgiftsansvariga kan visa att behandlingen av personuppgifter utförs i enlighet med GDPR-förordningen. Våra personuppgiftsbiträden förbinder sig att informera om dataintrång utan onödig fördröjning. Vi följer och utvecklar vårt dataskydd i takt med att GDPR eller någon annan EU-förordning utvecklas. Som kund/klient hos oss kan du lita på att dataskyddet är överensstämmande med gällande säkerhetsföreskrifter och att dina personuppgifter är i ett tryggt förvar. I Kristinestad den 22.5.2018 Tony Westerlund Direktör och Dataskyddsombud Stiftelsen för Bottenhavets sjukhem Sidan 5

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss