Integritetspolicy

1. Introduktion

Vi, Leira Therapeutics AB, org.nr 559199-2853, med adress Drottninggatan 97, 113 60 Stockholm (“Leira”) är en svensk vårdgivare och som sådan bunden av tillämplig dataskyddslagstiftning i Sverige.

Din integritet är viktig för Leira och vi är måna om att du ska känna dig trygg med vår behandling av dina personuppgifter. I detta dokument (”Integritetspolicy”) beskriver vi vår hantering av dina personuppgifter när du söker vård hos oss eller nyttjar någon av våra tjänster (tillsammans ”Tjänsterna”).

I vår Integritetspolicy förklarar vi vem som ansvarar för den personuppgiftsbehandling som sker i samband med att du använder Tjänsterna, vilka personuppgifter om dig som behandlas, hur personuppgifterna behandlas och varför. Vi beskriver också vilket lagstöd som behandlingen grundar sig på samt vilka tredje parter som kan komma att hantera personuppgifter om dig för att vi ska kunna tillhandahålla Tjänsterna. I slutet av Integritetspolicyn informerar vi om dina rättigheter kopplat till den behandling som sker av dina personuppgifter och hur du kan komma i kontakt med oss.

2. Vem är ansvarig för personuppgiftsbehandlingen?

2.1 Klient under vårdavtal som omfattas av högkostnadsskyddet

Vårdgivarbolaget Cereb AB med org. nr 556723–2912 (”Cereb”) är ett bolag som tecknat vårdavtal med olika regioner i Sverige. Leira har ingått ett underleverantörsavtal med Cereb vilket innebär att vi erbjuder vård som underleverantör till Cereb under de vårdavtal som Cereb ingått.

Om du för Tjänsterna endast betalar patientavgift upp till högkostnadsskyddet är Cereb personuppgiftsansvarig för behandlingen av de personuppgifter som du registrerar via oss och Leira är personuppgiftsbiträde till Cereb.

2.2 Klient som är privatbetalande

Om du söker till oss som privatbetalande klient, exempelvis för att du är bosatt i en region som ej omfattas av vårdavtal enligt avsnitt 2.1 ovan, är Leira personuppgiftsansvarig för behandlingen av de personuppgifter som du registrerar hos oss.

3. Varifrån inhämtas de personuppgifter som behandlas om dig när du använder Tjänsterna?

3.1 Personuppgifter som registreras via underleverantörer

Leira har ingått avtal med underleverantörer av följande system: journalföring, bokning, fakturering, video och chatt (tillsammans ”Plattformen”).

Första gången du bokar ett besök hos oss får du ett personligt användarkonto i Plattformen och alla personuppgifter som du anger (namn, personnummer, telefonnummer, mejladress och frikortsnummer) behandlas i Plattformen (tillsammans ”Användardata”).

I Plattform sparas även information om din hälsa, som du blir ombedd att dela med dig av i samband med att du bokar ditt första besök, samt hälsouppgifter som din ansvarige psykolog kan komma att föra in i din journal (tillsammans ”Patientdata”).

3.2 Personuppgifter som registreras via leira.se

Leira kan komma att automatiskt samla in och behandla följande information om dig genom placering av s.k. ”cookies” när besöker vår webbplats: teknisk information inklusive IP-adress, inloggningsinformation, typ och version av operativsystem och enhet, tidsinställningar, skärminställningar, språk, information om Tjänsterna som du har använt hos oss, tidsåtgång till ärenden, vilka sidor och funktioner du har använt etc. (”Teknisk data”).

Information om vår användning av ”cookies” framgår även av vår cookie policy.

3.3 Personuppgifter från tredje part

Leira kan komma att löpande hämta uppdaterade uppgifter om dig via e-frikortstjänsten hos 1177 samt Statens personadressregister (SPAR) för att kunna tillhandahålla Tjänsterna, så att rätt uppgifter om dig finns tillgängliga vid var tid och därmed underlätta din kontakt med oss. Denna information omfattar personnummer, folkbokföringsadress och frikortsnummer. 

4. Var lagras dina personuppgifter?

Som huvudregel lagrar Leira endast data inom EU/EES.

Vi kan komma att dela vissa personuppgifter med våra personuppgiftsbiträden vilka kan vara etablerade utanför EU/EES. Detta görs av de skäl som anges i punkten 8 nedan.

All lagring av känsliga personuppgifter, exempelvis uppgifter om hälsa, sker alltid inom EU/EES.

5. Vilka personuppgifter behandlas när du använder våra tjänster och varför?

5.1 Leiras behandling av din Användardata

Leira behandlar din Användardata (som definierats ovan i avsnitt 3.1) för att kunna:

(i) behandla registrering/uppsägning av ditt personliga konto hos oss;

(ii) ge dig behörighet att logga in och använda ditt personliga konto hos oss;

(iii) säkerställa din identitet samt ålder;

(iv) upprätthålla uppdaterade och korrekta uppgifter om dig;

(v) hjälpa dig med supportärenden och förfrågningar;

(vi) kontrollera ”frikorts-status” (endast klienter under vårdavtal som omfattas av högkostnadsskyddet);

(vii) fakturera dig korrekt belopp;

(viii) skicka utvärderings- och självskattningsformulär till dig;

(ix) skicka SMS-påminnelser inför besök samt e-post för faktureringar, inbjudningar av behandlare och klient, kvitton vid bokningar samt bokning- och avbokningsbekräftelser; och

(x) i övrigt leverera Tjänsterna till dig enligt våra Användarvillkor.

Vi stödjer oss på den legala grunden ”Avtal” (artikel 6.1 b i dataskyddsförordningen, ”GDPR”) för att behandla dina personuppgifter genom det avtal (våra Användarvillkor) som du har ingått med Leira, i syfte att kunna tillhandahålla Tjänsterna, inklusive möjliggöra för oss att tillhandahålla god vård i samband med att du använder Tjänsterna.

5.2 Leiras behandling av din Patientdata

Leira behandlar Patientdata (som definierats ovan i avsnitt 3.1) för att kunna tillhandahålla Tjänsterna i form av hälso- och sjukvård och annan nödvändig behandling eller rådgivning inom ramen för utövandet av vården. Som vårdgivare lyder vår verksamhet under gällande svensk lagstiftning. Vi behandlar därför främst din Patientdata med stöd av gällande lag, framförallt Patientdatalagen (2008:355). Leira är anmäld som vårdgivare hos Inspektionen för vård- och omsorg (IVO).

Avidentifierade uppgifter som inte utgör personuppgifter kan komma att användas i syfte att utveckla Tjänsterna samt för analys och statistikändamål.

5.3 Leiras behandling av Teknisk data

Leira behandlar Teknisk data vid besök på vår webbplats.

Vi stödjer oss på den legala grunden ”berättigat intresse” (artikel 6.1 a i GDPR) vad avser behandlingen av sådana personuppgifter som a) krävs för att vår webbplats ska fungera korrekt, b) bedöms nödvändiga av oss för att säkerställa en hög säkerhet och undvika exempelvis olaga intrång, och c) behövs för analys och statistik för att säkerställa att webbplatsen fungerar korrekt och för att kunna göra förbättringar.

Vi stödjer oss på den legala grunden ”samtycke” (artikel 6.1 f i GDPR) för behandlingen av övrig Teknisk data (du ombeds godkänna eller avböja sådana typer av cookies första gången du besöker webbplatsen).

5.4 Övrig behandling av dina personuppgifter

Leira kan komma att behandla din Användardata, Patientdata och/eller Teknisk data i syfte att förstå användning samt för att utveckla och förbättra den vård som tillhandahålls inom ramen för Tjänsterna, till exempel genom att förbättra användargränssnitt och funktionalitet. Leira behandlar även dessa personuppgifter i sitt kvalitetsförbättringsarbete i syfte att kontinuerligt öka säkerhet, vårdkvalitet, effektivitet och tillgänglighet av Tjänsterna. Behandling av personuppgifter för de ändamål som anges i detta avsnitt sker med stöd av vårdgivares rätt att behandla personuppgifter i samband med kvalitetssäkring och förbättring av vården enligt Patientdatalagen (2008:355).

5.5 För att fullgöra rättsliga förpliktelser

Leira kan komma att behandla din Användardata, Patientdata och/eller Teknisk data med stöd av den legala grunden ”rättslig förpliktelse” (artikel 6.1 c i GDPR) för att uppfylla skyldigheter enligt lagar, domar eller myndighetsbeslut (till exempel avseende krav från Inspektionen för Vård och Omsorg, IVO eller Socialstyrelsen).

6. Hur länge lagrar vi dina personuppgifter?

Vi hanterar endast dina personuppgifter så länge det är nödvändigt för de ändamål uppgifterna i fråga behandlas för enligt avsnitt 5 ovan, det vill säga så länge det behövs för att kunna tillhandahålla högkvalitativ vård eller i övrigt kunna leverera Tjänsterna eller för att uppfylla våra rättsliga skyldigheter. Som vårdgivare har vi en legal skyldighet att spara uppgifter i din patientjournal under minst 10 år.

7. Tredje parter som dina personuppgifter kan komma att delas med

För att vi ska kunna tillhandahålla Tjänsterna delar Leira Användardata och Patientdata med sådana underleverantörer som framgår av punkten 3.1 ovan samt (endast) Användardata med sådana underleverantörer som framgår av punkten 8 nedan. I tillägg till detta kan Teknisk data som innehåller personuppgifter komma att delas med tredje parter för analys- och statistikändamål.

Våra underleverantörer får endast hantera personuppgifter i enlighet med våra instruktioner.

8. Tredjelandsöverföring

Vi kan komma att överföra ditt telefonnummer och din e-postadress till länder utanför EU/ESS (s.k. ”tredjeland”). Överföringen sker i enlighet med överföringsmekanism i rådande integritetslagstiftning, inklusive GDPR. I tredjelandet gäller dock inte GDPR, vilket kan innebära en ökad risk i integritetshänseende, bland annat när det gäller möjligheter för myndigheter i tredjeland att få tillgång till dessa personuppgifter och för dina möjligheter att utöva kontroll över personuppgifterna. Syftet med överföringen är att våra underleverantörer i dessa länder ska kunna fullgöra de ändamål som anges i punkten 5.1 (ix) ovan.

Samtliga underleverantörer som hanterar personuppgifter för vår räkning utanför EU/ESS följer nödvändiga bestämmelser och skyddsregler och har standardavtalsklausuler som uppfyller den skyddsnivå som krävs enligt GDPR. Vidare så tillämpas kompletetrande skyddsåtgärder genom att de uppgifter som överförs till tredjeland krypteras.

All lagring av känsliga personuppgifter, exempelvis uppgifter om hälsa, sker alltid inom EU/EES.

9. Dina rättigheter som användare av Tjänsterna

Du har som registrerad rätt att vända dig till oss för att erhålla information om vilka av dina personuppgifter som vi behandlar, i vilket syfte de behandlas, om sådana personuppgifter överförs till tredje land och vilka tredje parter som mottagit dina personuppgifter. Du har även rätt att få felaktiga uppgifter om dig rättade, samt begära radering av personuppgifter (här ber vi dig dock notera att vi som vårdgivare har skyldigheter enligt lag att spara vissa personuppgifter, särskilt relaterade till Patientdata inklusive din patientjournal).

På din förfrågan kommer dock alla personuppgifter som vi inte har en rättslig skyldighet att lagra eller annars behöver för att tillvarata rättsliga anspråk att raderas.

Om den legala grunden för behandlingen av dina personuppgifter är samtycke har du rätt att när som helst återkalla detta genom att kontakta oss i enlighet med punkten 10 nedan (notera att detta kan leda till att vi inte längre kan erbjuda dig våra Tjänster eller delar därav). 

Du har rätt att få personuppgifter som inte ingår i din patientjournal flyttade till annan personuppgiftsansvarig genom att erhålla dessa, i den omfattning som de tillhandahållits från dig, i ett elektroniskt format som är allmänt använt för att kunna överföra dem till annan part (rätten till dataportabilitet).

Avslutningsvis har du rätt att ge in klagomål till Integritetsskyddsmyndigheten eller annan relevant tillsynsmyndighet för det fall du anser att vår personuppgiftsbehandling är felaktig och inte uppfyller lagliga krav.

10. Kontakta oss

Vi hoppas att vi i denna Integritetspolicy har tydliggjort hur vi hanterar dina personuppgifter. Om någonting är otydligt är vi tacksamma för synpunkter så att vi kan förbättra vår information kring detta. Du kan kontakta oss genom att skicka ett mejl till vårt dataskyddsombud på dpo@leira.se. Du bör avstå från att skriva känsliga uppgifter om dig eller andra i ett sådant mail.

Denna policy uppdaterades senast 2021-02-1

©2021 Leira Therapeutics AB. Användarvillkor. Integritetspolicy.