top of page

Personuppgifter 

POLICY FÖR HANTERING AV PERSONUPPGIFTER

1.Inledning

Eveo AB (”Eveo”) inser vikten av en korrekt personuppgiftsbehandling och har därför upprättat följande interna policy för hantering av personuppgifter.

2.Eveos ställning som personuppgiftsansvarig/personuppgiftsbiträde

 

Eveo behandlar huvudsakligen brukares personuppgifter på uppdrag av den förvaltning som har beviljat brukaren hemtjänst. I dessa fall är det kommunen som är ansvarig för behandlingen av personuppgifterna, dvs. kommunen är personuppgiftsansvarig. Eveo, som endast biträder kommunen vid personuppgiftsbehandlingen, är personuppgiftsbiträde. För att klargöra Eveos skyldigheter gentemot kommunerna i dessa fall, är det Eveos ambition att ingå personuppgiftsbiträdesavtal med respektive kommun.

 

Eveo är även personuppgiftsansvarig för vissa behandlingar av personuppgifter, till exempel behandlingen av de uppgifter brukaren har lämnat direkt till Eveo. Exempel på sådan personuppgiftsbehandling är den behandling som sker i Eveos egna datoriserade verksamhetssystem, samt den information som Eveo själv samlar in direkt från brukaren. Eveo är även personuppgiftsansvarig såvitt avser personuppgifter avseende Eveos egna anställda.

 

Eveo är också personuppgiftsansvarig för personalens personuppgifter. Dessa uppgifter används för att säkerställa korrekt ersättning, Lön och arbetets organisation.

 

 

3.Personuppgiftsombud

 

Eveo har utsett ett personuppgiftsombud som har anmälts till Datainspektionen. Personuppgiftsombudets uppgifter är att tillse att personuppgifterna behandlas korrekt och även att påpeka eventuella brister i behandlingen. Personuppgiftsombudet för även en förteckning över vilka personuppgiftsbehandlingar som Eveo genomför.

 

Det framgår av Eveos intranät vem som vid var tid är personuppgiftsombud hos Eveo.

 

 

4.Insamling av personuppgifter

 

Förutom de personuppgifter som Eveo erhåller direkt från kommuner, samlar även personal hos Eveo själva in personuppgifter från brukare. Insamlingen kan ske genom direkta frågor till brukarna men även genom de observationer som görs av den besökande personalen. Personuppgifterna som samlas in och/eller erhålls från kommunen inkluderar namn och adress, personnummer, språkkunskaper, beslut om hemtjänst inklusive brukarens hjälpbehov,, social- och, hälsosituation, samt beslutade hjälpinsatser  Eveo samlar därefter in information om hur brukaren vill ha insatserna utförda, när han vill ha dem, profilen på personen som skall utföra dem. Dessa uppgifter samställs till en genomförandeplan. Vidare tilldelas varje brukare ett kundnummer. Samlingsbegreppet den sociala dokumentationen utgörs av, behovsutredning, biståndsbeslut, genomförandeplan och löpnade journalanteckningar. Därde två första kommer från förvaltningen och utföraren (i detta falla Eveo) ansvarar för de 2 senare. Löpnade journalanteckningar är de observationer som den besökande personalen gör och kan bland annat bestå i vilka avvikelser från genomförandeplanen som uppkommer från dag till dag. Eveo samlar även in personuppgifter från sina anställda, såsom namn och adress, personnummer, språkkunskaper, bankkontonummer (för löneutbetalning), bild för ID kort, telefonnummer och e-post adress för effektiv kommunikation.

 

Vid anställningstillfället samlar Eveo även in personuppgifter för personalen. Så som namn, adress, foto, bankkonto, personnummer. Vi tar även in känsliga personuppgifter så som huruvida personen finns i brottsregistret. Vi är skylda att göra detta enligt avtal med huvudman,

 

 

5.Syfte och ändamål med behandlingen av personuppgifter

 

Syftet med behandlingen av brukarnas personuppgifter är att Eveo på ett tillfredställande och lagenligt sätt ska kunna utföra tjänster på uppdrag av kommunerna eller på uppdrag direkt från brukare. Syftet med personuppgiftsbehandlingen avseende anställd personal är att på ett tillfredställande och lagenligt sätt kunna utöva rollen som arbetsgivare och administrera anställningsförhållandet.

 

Med personuppgiftsbehandling menas varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter till exempel insamling, registrering, organisering, lagring, bearbetning, ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.

 

För personalen gäller det att vi använder personuppgifterna för att kunna orgisnaera arbetet och uppfylla våra plikter mot dem.

 

6.Behandlingen av personuppgifterna

 

För att säkerställa att Eveo följer tillämpliga lagar och myndighetsföreskrifter ska Eveo inhämta samtycke från brukaren och personalen genom att brukaren undertecknar Eveos samtyckesavtal, bilaga 1.

 

De personuppgifter som Eveo behandlar sparas både i fysisk pappersform och digitalt i Eveos datoriserade verksamhetssystem, beroende på insamlingsmetod.

Det är endast Eveos samordnande personal, dvs. den personal som arbetar med samordning av hemtjänstinsatser för ert ärende, som ges tillgång till informationen.

 

På begäran av den kommun som beslutade om hemtjänst lämnar Eveo ut brukarnas personuppgifter till den aktuella kommunen.

 

I Eveos digitala verksamhetssystem är det endast möjligt att sortera information på brukares namn, personnummer samt ärendenummer (kundkod). Det finns även en möjlighet att söka på namn och ärendenummer.

 

Utöver Eveos samordnande personal har ingen tillgång till och får inte heller någon ha tillgång till informationen i verksamhetssystemet, utöver vad som anges rörande den besökande personalens tillgång till sina egna tidrapporter.

 

För Eveos samordnande personal är det möjligt att se brukares namn, adress, telefonnummer, personnummer, önskemål om hur insatserna skall genomföras, hur fakturering sker, arbetsschema och hur mycket tid som läggs på brukare per vecka och månad. Det finns även möjlighet att ändra på brukarinformationen, se registrerade aktiviteter, registrera tidavvikelser, registrera semesteruppehåll, skriva arbetsdokumentation (dokumentation från när den samordnande personalen gör hembesök), se arkivet avseende social dokumentation, se genomförandeplanen, registrera vikarier, se en logg över ändringar gjorda i akten, samt avsluta relationen. Det är vidare möjligt för Eveos samordnande personal att se anställdas namn, personnummer, personnummer, bankkontonummer, frånvaro, arbetsschema. Den samordnande personalen har även möjlighet att ändra dessa uppgifter.

 

Den besökande personalen kan endast lämna social dokumentation och lämna och se sina egna tidrapporter genom att antingen logga in i verksamhetssystemet eller genom att skicka ett SMS till ett specifikt telefonnummer. Vid användning av SMS har varje brukare tilldelats en unik sifferkod som för en utomstående inte går att härleda till brukaren. SMS skickas till ett visst telefonnummer med angivande av sifferkoden tillsammans med den informationen som ska föras in i akten. Därefter förs anteckningen automatiskt in i brukarens mapp i verksamhetssystemet.

 

Eveo skickar ibland personuppgifter såsom brukares namn och adress med SMS i syfte att meddela den besökande personalen på vilken plats de ska infinna sig. Några personuppgifter får aldrig skickas med e-post, varken internt eller externt.

 

Vid behandling av personuppgifter ska den samordnande personalen alltid överväga om den aktuella personuppgiftsbehandlingen omfattas av den externa personuppgiftspolicyn, bilaga 1, och uppräkningen av personuppgiftsbehandling som ges däri för vilken brukaren har gett sitt samtycke. Om personalen bedömer att så inte är fallet ska denne kontakta personuppgiftsombudet innan behandlingen påbörjas.

 

Ingen i den samordnande personalen eller någon annan anställd hos Eveo får behandla personuppgifter på något annat sätt än som framgår ovan. Detta inkluderar förbud mot att skicka personuppgifter (utöver namn och adress) med e-post, att lämna ut personuppgifter till annan än den kommun, och behöriga handläggare eller inspektör som har beviljat hemtjänst eller använda personuppgifterna för något annat syfte än det som anges i punkt 5 ovan.

 

Samma princip gäller personalens personuppgifter. Endast behörigpersonal har tillgång till dem (ansvarig chef). Planerade personal har tillgång till kontaktuppgifter och arbetstider, men inget mer. Eveo delar personuppgifter med angiven lönepartner och redovisningsbyrå för att kunna fullgöra våra skyldighter mot dem.

 

 

 

7.Gallring av personuppgifter

 

Eveo gallrar personuppgifterna i enlighet med de instruktioner för gallring som erhålls av den aktuella kommunen, eller i de fall då kommunen inte har beslutat om uppdraget (till exempel då det endast rör sig om hushållsnäratjänster), när relationen med brukaren avslutas.

 

I de fall det saknas instruktioner från kommunerna trots att kommunen har beslutat om uppdraget sker gallring i enlighet med gällande lagstiftning på området beroende på om tjänsten utförs med stöd av Socialtjänstlagen eller Lagen om stöd och service till vissa funktionshindrade.

 

Vid personuppgiftsbehandling med stöd av Socialtjänstlagen gallras uppgifterna fem år efter det att sista anteckningen gjordes i akten förutsatt att akten är del av en sammanställning, vilket Eveo bedömer att datoriserade akter såsom Eveos verksamhetssystem är. Gallringen ska vara avslutad senast kalenderåret efter det att gallringsskyldigheten inträdde. Om tjänsten istället har utförts med stöd av Lagen om stöd och service till vissa funktionshindrade gallras uppgifterna två år efter det att sista anteckningen gjordes i akten förutsatt att akten är den del av en sammanställning. Enligt respektive lag föreligger undantag rörande vissa personuppgifter som ska undantas med hänsyn till forskningsbehov.

 

 

8.Eveo använder personuppgiftsbiträde för lagring av personuppgifter

 

  • Eveo använder sig av personuppgiftsbiträde för lagring av personuppgifter. Personuppgifterna förs inte ut ur Sverige. Detta innebär att Eveo lagrar personuppgifter på en server som administreras av en extern partner till Eveo. Vid antagandet av denna personuppgiftspolicy står servern hos och administreras av ett företag som heter GleSYS med organisationsnummer  556647-9241 . GeSySs adress är GleSYS Internet Services AB
    Box 134, 311 22 Falkenberg. Innan personuppgifterna överförs krypteras de och går således inte att läsa om man inte har tillgång till dekrypteringsnyckeln. GleSYS har inte tillgång till krypteringsnyckeln och kan därför inte läsa någon information i den data som överförs till servern.

 

Eveo har enligt de krav som lagen ställer ingått ett s.k. personuppgiftsbiträdesavtal med GleSYS i vilket GleSys har åtagit sig att endast hantera de krypterade personuppgifterna i enlighet med Eveos instruktioner och i enlighet med gällande lagstiftning. GleSYS ska enligt avtalet även genom tystnadsförbindelse eller likvärdig åtgärd med sin egen personal tillse att bestämmelserna i det ingångna avtalet även följs av dessa.

 

 

9.Säkerhet

 

Eftersom Eveo bland annat behandlar personuppgifter som innehåller språkkunskaper, beslutet om beviljande av hemtjänst, genomförandeplanen samt den sociala dokumentationen vilka Eveo betraktar som känsliga personuppgifter, ställs extra stora krav på säkerheten kring personuppgifterna.

 

Eveo vidtar både tekniska och organisatoriska säkerhetsåtgärder för att tillse att personuppgifterna inte blir missbrukade, olagligt använda eller går förlorade. Personuppgifterna blir alltid behandlade i enlighet med Personuppgiftslagen (1998:204). Det råder sekretess rörande samtliga personuppgifter rörande brukarna som Eveo behandlar.

 

De fysiska akterna är förvarade i ett låst, brandsäkert skåp som endast delar av den samordnande personalen har tillgång till. Lokalen där skåpet förvaras har lås, är placerad på andra våningen våningen vilket försvårar en åtkomst via fönster, har fungerande larmutrustning för brand och inbrott, samt brandsläckningsutrustning. I händelse av förlust av de fysiska akterna genom brand eller stöld, trots vidtagna skyddsåtgärder, finns även hela akten digitalt i Eveos verksamhetssystem

 

All den information som finns i den digitala akten i Eveos verksamhetssystem krypteras. Tillgången till den digitala akten sker från externa datorer med inloggning via https. Det är endast den samordnande personalen som har full tillgång till såväl den fysiska som den digitala akten i verksamhetssystemet. Det finns en möjlighet för systemadministratören [det är jag?], som hanterar åtkomsten i verksamhetssystemet, att på instruktion av personuppgiftsansvarig dela upp åtkomsten beroende på vilket ansvarsområde respektive person i den samordnande personalen har.

 

De personuppgifter (social dokumentation) som den besökande personalen lämnar via SMS till verksamhetssystemet är även den krypterad.

 

Eveos verksamhetssystem är lösenordskyddat med ett individuellt lösenord för varje användare. Vid inloggning i verksamhetssystemet anger personalen ett personligt användarnamn och lösenord som består av minst 7 tecken varav minst ett tecken måste bestå av ett annat tecken än bokstäver och minst en bokstav måste skrivas med versaler. Varje medarbetare ansvarar för att tillse att dennes personliga lösenord inte går förlorat eller blir känt av någon annan. Därefter skickar verksamhetssystemet ett SMS med ett tillfälligt lösenord till ett av personalen förregistrerat telefonnummer. Det tillfälliga lösenordet som är giltigt i någon minut och består av 6-8 siffror måste därefter skrivas in på datorn för att användaren ska få åtkomst till verksamhetssystemet.

 

Användaren blir automatiskt utloggad efter inaktivitet som uppgår till mellan 30 minuter och en timme.

 

För att skydda personuppgifterna mot obehöriga intrång kan systemadministratören få tillgång till en rapport som visar vilka uppgifter rörande en brukare eller anställd personal som har ändrats och vem som utförde ändringarna. Det är vidare möjligt för Eveo att få en rapport på vilka som har försökt att logga in på verksamhetssystemet och huruvida inloggningen har lyckats. I rapporten anges IP-nummer, webbläsare och vilket användarnamn som använts vid inloggningen. Systemadministratören är skyldig att anmäla misstänkta obehöriga intrång direkt till personuppgiftsombudet.

 

För att minska risken för obehörig åtkomst krypteras personuppgifterna innan de förs över till den externa servern (se punkt 8 ovan). Krypteringen sker på så sätt att endast den som har tillgång till dekrypteringsnyckeln har möjlighet att dekryptera personuppgifterna. Det är endast Eveo som har tillgång till dekrypteringsnyckeln.

 

Personuppgifter, utöver namn och adresser, får aldrig skickas med e-post då Eveo anser att e-post inte uppfyller tillräckliga säkerhetsnivåer.

 

Det är främst personuppgiftsombudet som ska tillse att Eveos säkerhetsrutiner följs. Utöver det har den samordnande personalen ett ansvar att tillse att de fysiska akterna låses in i säkerhetsskåpet samt att obehöriga inte får tillgång till verksamhetssystemet. All personal har ett ansvar för att sitt eget personliga lösenord inte förloras eller blir allmänt känt. Den besökande personalen har utöver detta ett ansvar att tillse att rätt telefonnummer och brukarnummer används när social dokumentation skickas via SMS. Vid eventuella oegentligheter ska all personal direkt rapportera till personuppgiftsombudet som därefter, utan dröjsmål, ska vidta åtgärder.

 

 

10.Rättning av personuppgifter

 

Eveo vidtar alla rimliga åtgärder för att försäkra sig om att personuppgifterna som hanteras av Eveo är korrekta och aktuella. Eveo kontrollerar med jämna mellanrum att personuppgifterna fortfarande är aktuella, samt uppdaterar och rättar självmant de uppgifter som visar sig vara inkorrekta. Brukarna har även uppmanats att själva kontakta och förse Eveo med rätt uppgifter om de misstänker att någon personuppgift som förvaras och behandlas av Eveo är inkorrekt.

 

 

11.Rätt till information

 

Brukarna har enligt Personuppgiftslagen rätt att en gång per år, kostnadsfritt, få ta del av de personuppgifter som Eveo lagrar och behandlar på andra sätt och som berör respektive brukare. Detta har brukarna informerats om. Brukarna har även informerats om hur de ska gå tillväga för att göra en sådan förfrågan till Eveo.

 

Eveo har en intern rutin för hur utlämnandet av personuppgifterna ska gå till. Efter att ha kontrollerat att ansökan om utgivande av information är korrekt så tas antingen handlingarna ut från det digitala verksamhetssystemet eller så kopieras handlingarna från den fysiska akten som finns på Eveos kontor. Brukaren ska få svar på sin förfrågan inom en månad.

 

 

12.Återtagande av samtycke

 

Brukarna har enligt Personuppgiftslagen rätt att när som helst återkalla sitt samtycke till behandling av personuppgifter. Eveo har informerat brukarna om detta, och att det då finns risk för att Eveo inte längre kommer ha möjlighet att utföra det uppdrag som erhållits av brukaren.

 

 

13.Kontaktuppgifter

 

Brukarna har försetts med kontaktuppgifter till personuppgiftsombudet hos Eveo för det fall de skulle ha ytterligare frågor angående Eveos personuppgiftsbehandling.

 

 

14. Ytterligare information och upplysningar

 

Eveo tar behandling av personuppgifter på största allvar och inser vikten av en korrekt behandling som inte gör intrång i enskildas integritet.

 

Eveos personuppgiftsombud finns alltid tillgänglig för frågor angående denna policy eller i övrigt angående Eveos behandling av personuppgifter. Om Du uppmärksammar felaktigheter eller oklarheter i Eveos behandling av personuppgifter, eller är osäker på hur Du ska hantera personuppgifter Du kommer i kontakt med i Ditt arbete, så ska Du kontakta Eveos personuppgiftsombud så att frågorna kan lösas.

bottom of page