POLICY FÖR BEHANDLING AV PERSONUPPGIFTER (integritetspolicy)
Innehåll
1 Bakgrund........................................................................................................................... 2
1.1 Syfte................................................................................................................................ 3
1.2 Tillämpningsområde och omfattning............................................................................. 3
1.3 Tillsyn och efterlevnad.................................................................................................. 3
1.4 Information och ansvar................................................................................................. 3
1.5 Biträdesavtal................................................................................................................. 3
2 Definitioner....................................................................................................................... 3
3 Grundläggande principer.................................................................................................. 4
3.1 Laglighet, skälighet, transparens.................................................................................. 4
3.2 Ändamålsbegränsning................................................................................................... 4
3.3 Uppgiftsminimering........................................................................................................ 4
3.4 Riktighet......................................................................................................................... 4
3.5 Lagringsbegränsning..................................................................................................... 5
3.6 Informationssäkerhet..................................................................................................... 5
4 Laglig grund för personuppgiftsbehandling inom FSI...................................................... 6
4.1 Avtal.............................................................................................................................. 6
4.2 Intresseavvägning......................................................................................................... 6
4.3 Samtycke....................................................................................................................... 6
5 Typer av personuppgiftsbehandling inom FSI.................................................................. 6
5.1 Medlemskap.................................................................................................................. 6
5.2 Publicerat material......................................................................................................... 7
5.3 Medverkan i aktiviteter................................................................................................... 7
5.4 Statistik.......................................................................................................................... 7
5.5 Kommentarer................................................................................................................. 7
1. Bakgrund
Föreningen för Svårdiagnostiserade Infektionssjukdomar (FSI)
Strategier och mål
Föreningen för Svårdiagnostiserade Infektionssjukdomar ska arbeta långsiktigt för att minska antalet feldiagnoser inom svensk sjukvård i bland annat ME/CFS och Fibromyalgi genom att insamla och sprida den senaste internationella forskningen kring kända och nyupptäckta infektionssjukdomar.
FSI ska verka för att:
-svensk sjukvård utvecklar diagnostik för kända infektionssjukdomar samt sjukdomar som beror på dysfunktionellt immunförsvar
-svensk sjukvård utvecklar behandlingar för kända infektionssjukdomar samt sjukdomar som beror på dysfunktionellt immunförsvar
-svensk sjukvårdspersonal fortbildas i diagnostisering och behandling av dessa sjukdomar
Detta ska ske genom att föreningen arrangerar informations- och/eller diskussionsmöten med och för medlemmar, sjukvårdsanställda, beslutsfattare och andra intressenter som kan bidra till föreningens ändamål. Föreningens verksamhet innefattar även administration av olika aktiviteter och medlemsavgifter.
1.1 Syfte
Att säkerställa en säker och lagenlig hantering av personuppgifter är en viktig fråga för FSI. FSI hanterar personuppgifter och en felaktig hantering av dataskyddsfrågor kan innebära såväl hot mot enskildas personliga integritet som förlorat förtroende och påföljder för FSI i sin roll som personuppgiftsansvarig.
Syftet med denna policy är beskriva vilka typer av personuppgifter, och med vilken laglig grund, som dessa uppgifter behandlas av FSI.
1.2 Tillämpningsområde och omfattning
Denna policy gäller för FSI som ett komplement till dataskyddslagen och dataskyddsförordningen. I den mån tvingande lagstiftning föreskriver striktare krav avseende behandling av personuppgifter, gäller alltid sådana krav före vad som anges i denna policy. Policyn är inte uttömmande och redogör därför inte nödvändigtvis för alla krav och skyldigheter som FSI kan omfattas av vid behandling av personuppgifter.
Tillsyn över efterlevnad av bestämmelserna i denna policy görs löpande och vid kännedom om eller risk för oegentligheter, och därtill görs en särskild granskning en gång varje år.
FSI:s styrelse är ansvarig för att göra denna policy känd för, samt att den följs av, medlemmar, ideella uppdragstagare samt leverantörer. Styrelsen ska även säkerställa att det finns en rapporteringsfunktion för att dessa parter ska kunna rapportera överträdelser av denna policy till ansvarig/-a inom FSI.
Då en extern part behandlar personuppgifter på uppdrag av FSI upprättas ett personuppgifts-biträdesavtal som styr behandlingen. Ett personuppgiftsbiträde och dess personal får enbart behandla personuppgifter enligt instruktion från den personuppgiftsansvarige. Biträdet får inte anlita ett annat biträde utan att i förhand få ett skriftligt tillstånd av den personuppgiftsansvarige. FSI:s styrelse ansvarar för att upprätta personuppgiftsbiträdesavtal med aktuella personuppgiftsbiträden.
|
Behandling |
En åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller inte, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. |
|
Dataskyddsförordningen |
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG |
|
Personuppgifter |
Personuppgifter är alla uppgifter som avser en identifierad eller identifierbar fysisk person och som direkt eller indirekt kan identifiera en person. Exempel på personuppgifter är namn, kontaktuppgifter, identifikationsnummer, lokaliseringsuppgifter, online-identifikatorer eller faktorer som är specifika för en persons fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. |
|
Personuppgiftsansvarig |
Den som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. |
|
Personuppgiftsbiträde |
Den som behandlar personuppgifter för den Personuppgiftsansvariges räkning. |
|
Registrerad |
Den fysiska person som en personuppgift avser. |
FSI behandlar personuppgifter i enlighet med ett antal principer.
3.1 Laglighet, skälighet, transparens
Personuppgifter ska behandlas lagligt, korrekt och transparent i förhållande till den registrerade. För FSI innebär detta att varje typ av behandling ska baseras på en giltig laglig grund, så som fullgörande av avtal eller uppgift av allmänt intresse.
FSI ska därtill alltid ge de registrerade tydlig och transparent information avseende behandlingen av personuppgifter.
Personuppgifter ska endast samlas in och på annat sätt behandlas för särskilda, uttryckligt angivna och berättigade ändamål, och får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.
Personuppgifter som behandlas av FSI ska vara adekvata, relevanta och inte allt för omfattande i förhållande till ändamålen.
Personuppgifter som behandlas av FSI ska vara korrekta och om nödvändigt uppdaterade.
Personuppgifter får inte lagras under längre tid än nödvändigt med hänsyn till ändamålen med be-handlingen. När uppgifterna inte längre behövs måste dessa gallras, vilket innebär att de antingen måste raderas eller avidentifieras. Att lagra personuppgifter endast för att de ”kan vara bra att ha” är inte tillåtet eftersom det strider mot principen om uppgiftsminimering, vilken ska förhindra lagring av överflödig information. Lagring kan även ske i andra externa system såsom bokföringssystem och övriga administrativa system. För sådana system ansvarar FSI för att tillse att lagringen begränsas så långt möjligt.
Personuppgifter kan slutligen även lagras utanför system, i dokument såsom protokoll m.m. För sådan behandling av personuppgifter ansvarar FSI:s styrelse. Här bör utgångspunkten vara att protokoll och övriga dokument ska raderas om dokumenten inte måste lagras på grund av lagkrav, föreningsadministrativa skäl eller för att föra statistik.
3.6.1 Allmänt
Personuppgifter ska av FSI alltid behandlas på ett sätt som säkerställer lämplig säkerhet med användning av tekniska eller organisatoriska åtgärder. FSI ska alltid behandla uppgifter om enskildas personliga förhållanden konfidentiellt.
3.6.2 Tekniska säkerhetsåtgärder
Behörighetskontroll
FSI ska säkerställa att behörighetskontroll används för de system som innehåller personuppgifter i de fall aktuella IT-system tillåter sådana.
Loggning
I de fall de IT-system som används av FSI tillåter loggning ska åtkomst till personuppgifter i sådana IT-system kunna följas upp i efterhand genom loggar, där det ska framgå vem som har haft åtkomst samt tidpunkten för åtkomsten.
Åtkomstskydd
Datorutrustning och dylikt som innehåller personuppgifter ska förvaras så att obehörig åtkomst försvåras och inte lämnas framme. Om inlåsning inte är möjlig ska andra möjliga åtgärder vidtas för att förhindra att obehörig åtkomst sker. Ett godtagbart alternativt till inlåsning är kryptering.
Skydd mot extern åtkomst
FSI:s IT-system ska vara skyddade mot extern åtkomst så långt som möjligt med hänsyn till aktuella IT-system, medlemsföreningens storlek och organisation m.m. Sådant skydd kan exempelvis uppnås genom åtkomstkontroll, behörighetssystem, brandväggar eller skyddade överföringar.
3.6.3 Organisatoriska säkerhetsåtgärder
FSI ska organisera sig på ett lämpligt sätt för att säkerställa att bestämmelserna i denna policy och enligt lag uppfylls genom tillhandahållande av malldokument och andra hjälpmedel.
3.6.4 Incidenthantering
FSI ska ha en åtgärdsplan för hantering av personuppgiftsincidenter, inbegripet rapportering till tillsynsmyndighet inom de tidsramar som följer av lag.
4. Laglig grund för personuppgiftsbehandling inom FSI
FSI behandlar personuppgifter inom sin verksamhet. Behandling av personuppgifter sker endast om det finns en laglig grund för behandlingen. Nedan redovisas de lagliga grunder som bedömts vara tillämpliga för de ändamål för vilka FSI behandlar personuppgifter.
Avtal kan användas som rättslig grund för FSI:s behandling av personuppgifter vilka behövs för FSI:s administration.
Intresseavvägning kan användas som laglig grund för FSI:s behandling av personuppgifter i syfte att stödja och underlätta ett effektivt informationsutbyte inom FSI och andra relevanta externa parter. Vidare kan denna lagliga grund användas då FSI har ett berättigat intresse för att ta fram statistik och för att utveckla, förbättra, säkerställa säkerheten för FSI:s olika aktiviteter samt för att kunna fullfölja FSI:s mål att verka för att föreningen för Svårdiagnostiserade Infektionssjukdomar ska arbeta långsiktigt för att minska antalet feldiagnoser inom svensk sjukvård i bland annat ME/CFS och Fibromyalgi genom att insamla och sprida den senaste internationella forskningen kring kända och nyupptäckta infektionssjukdomar.
Samtycke kan användas som laglig grund för FSI:s behandling av personuppgifter i syfte att registrera anmälningar, deltagande i aktiviteter samt författarskap till verksamhetsrelaterade rapporter, skrivelser och artiklar.
5. Typer av personuppgiftsbehandling inom FSI
FSI har som ändamål arbeta långsiktigt för att minska antalet feldiagnoser inom svensk sjukvård i bland annat ME/CFS och Fibromyalgi genom att insamla och sprida den senaste internationella forskningen kring kända och nyupptäckta infektionssjukdomar.
Inom FSI är behovet att behandla personuppgifter stort för att uppfylla verksamhetens ändamål. Inte minst i samband med organiserande av sammankomster, demonstrationer och liknande event för informationsspridning till allmänheten och annan opinionspåverkan som ligger i föreningens intressen, då ett snabbt och effektivt informationsutbyte är av vikt.
Ändamål och laglig grund för FSI:s behandling av personuppgifter redovisas nedan i detta avsnitt
FSI behandlar personuppgifter avseende registrerade medlemmar i syfte att administrera medlemskap, informationsdelning med mera.
De personuppgifter som behandlas inom ramen för medlemskap består av namn, adress, e-postadress, telefonnummer samt betalningsinformation.
5.1.1 Laglig grund
Behandling av personuppgifter inom ramen för administration av medlemskap kan stödjas på avtal med den registrerade som laglig grund.
Inom ramen för FSI:s verksamhet publiceras skrifter och artiklar i form av exempelvis: Medicinska studier, rapporter, kommentarer, protokoll. I samband med dessa publikationer kan behandling av personuppgifter förekomma. Syftet med behandlingen är att visa vem som är författare till materialet samt, för exempelvis styrelseprotokoll, visa mötesdeltagare.
Övriga personuppgifter som behandlas inom ramen för publicerat material består av namn.
5.2.1 Laglig grund
Behandling av personuppgifter inom ramen för publicerat material kan stödjas på intresseavvägning som laglig grund.
I samband med anmälan till organiserade möten hanteras personuppgifter i syfte att upprätta en deltagarförteckning samt underlätta för organisering av samtransporter etc.
5.3.1 Laglig grund
Behandling av personuppgifter inom ramen för medverkan i aktiviteter kan stödjas på samtycke som laglig grund.
Deltagare i olika aktiviteter har möjlighet att registrera sitt eget deltagande. Syftet är att respektive medlem ska ha en möjlighet att föra statistik och följa upp aktiviteter man deltagit i samt för att FSI ska kunna utveckla, förbättra, säkerställa säkerheten för FSI:s olika aktiviteter.
5.4.1 Laglig grund
Behandling av personuppgifter inom ramen för medverkan i aktiviteter kan stödjas på intresseavvägning som laglig grund.
I det informationssystem som administrerar och dokumenterar FSI:s olika aktiviteter har medlemmar i FSI möjlighet att skriva kommentarer. I samband med kommentarer behandlas personuppgifter i form av namn. Syftet med att kunna kommentera olika aktiviteter är att möjliggöra ett erfarenhetsutbyte mellan FSI:s medlemmar.
5.5.1 Laglig grund
Behandling av personuppgifter inom ramen för att skriva kommentarer till olika aktiviteter kan stödjas på intresseavvägning som laglig grund.