top of page

Personuppgifter 

POLICY FÖR HANTERING AV PERSONUPPGIFTER

​

1.Inledning

​

Eveo AB (”Eveo”) inser vikten av en korrekt personuppgiftsbehandling och har därför upprättat följande interna policy för hantering av personuppgifter.

​

​

2.Eveos ställning som personuppgiftsansvarig/personuppgiftsbiträde

 

Eveo behandlar huvudsakligen brukares personuppgifter på uppdrag av den förvaltning som har beviljat brukaren hemtjänst. I dessa fall är det kommunen som är ansvarig för behandlingen av personuppgifterna, dvs. kommunen är personuppgiftsansvarig. Eveo, som endast biträder kommunen vid personuppgiftsbehandlingen, är personuppgiftsbiträde. För att klargöra Eveos skyldigheter gentemot kommunerna i dessa fall, är det Eveos ambition att ingå personuppgiftsbiträdesavtal med respektive kommun.

 

Eveo är även personuppgiftsansvarig för vissa behandlingar av personuppgifter, till exempel behandlingen av de uppgifter brukaren har lämnat direkt till Eveo. Exempel på sådan personuppgiftsbehandling är den behandling som sker i Eveos kontrakterade verksamhetssystem, Teyze, samt den information som Eveo själv samlar in direkt från brukaren.

  

3.Personuppgiftsombud

 

Eveo har utsett ett personuppgiftsombud som har anmälts till Integritetsskyddsmyndigheten. Personuppgiftsombudets uppgifter är att tillse att personuppgifterna behandlas korrekt och även att påpeka eventuella brister i behandlingen. Personuppgiftsombudet för även en förteckning över vilka personuppgiftsbehandlingar som Eveo genomför.

 

Det framgår av Eveos intranät vem som vid var tid är personuppgiftsombud hos Eveo.

 

 

4.Insamling av personuppgifter

 

Förutom de personuppgifter som Eveo erhåller direkt från kommuner, samlar även personal hos Eveo själva in personuppgifter från brukare. Insamlingen kan ske genom direkta frågor till brukarna men även genom de observationer som görs av den besökande personalen. Personuppgifterna som samlas in och/eller erhålls från kommunen inkluderar namn och adress, personnummer, språkkunskaper, beslut om hemtjänst inklusive brukarens hjälp behov,, social- och, hälsosituation, samt beslutade hjälpinsatser  Eveo samlar därefter in information om hur brukaren vill ha insatserna utförda, när han vill ha dem, profilen på personen som skall utföra dem. Dessa uppgifter samställs till en genomförandeplan. Vidare tilldelas varje brukare ett kundnummer. Samlingsbegreppet den sociala dokumentationen utgörs av, behovsutredning, biståndsbeslut, genomförandeplan och löpnade journalanteckningar. Där de två första kommer från förvaltningen och utföraren (i detta falla Eveo) ansvarar för de 2 senare. Löpnade journalanteckningar är de observationer som den besökande personalen gör och kan bland annat bestå i vilka avvikelser från genomförandeplanen som uppkommer från dag till dag

 

 

5.Syfte och ändamål med behandlingen av personuppgifter

 

Syftet med behandlingen av brukarnas personuppgifter är att Eveo på ett tillfredställande och lagenligt sätt ska kunna utföra tjänster på uppdrag av kommunerna eller på uppdrag direkt från brukare. Syftet med personuppgiftsbehandlingen avseende anställd personal är att på ett tillfredställande och lagenligt sätt kunna utöva rollen som arbetsgivare och administrera anställningsförhållandet.

 

Med personuppgiftsbehandling menas varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter till exempel insamling, registrering, organisering, lagring, bearbetning, ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.

 .

 

6.Behandlingen av personuppgifterna

 

För att säkerställa att Eveo följer tillämpliga lagar och myndighetsföreskrifter ska Eveo inhämta samtycke från brukaren och personalen.

 

De personuppgifter som Eveo behandlar sparas både digitalt i Eveos datoriserade verksamhetssystem, Teyze, beroende på insamlingsmetod. Det är endast relevant personal hos Eveo som får tillgång tll uppgifterna, dvs. den personal som arbetar med samordning av hemtjänstinsatser för ert ärende, eller personal som utför eller förväntas utföra tjänster hos den aktuelle brukaren som ges tillgång till informationen.

 

På begäran av den kommun som beslutade om hemtjänst lämnar Eveo ut brukarnas personuppgifter till den aktuella kommunen.

 

I Eveos digitala verksamhetssystem är det endast möjligt att sortera information på brukares namn, personnummer samt ärendenummer (kundkod). Det finns även en möjlighet att söka på namn och ärendenummer.

 

Utöver Eveos samordnande personal har ingen tillgång till och får inte heller någon ha tillgång till informationen i verksamhetssystemet, utöver vad som anges rörande den besökande personalens tillgång till sina egna tidrapporter.

 

För Eveos samordnande personal är det möjligt att se brukares namn, adress, telefonnummer, personnummer, önskemål om hur insatserna skall genomföras, hur fakturering sker, arbetsschema och hur mycket tid som läggs på brukare per vecka och månad. Det finns även möjlighet att ändra på brukarinformationen, se registrerade aktiviteter, registrera tidavvikelser, registrera semesteruppehåll, skriva arbetsdokumentation (dokumentation från när den samordnande personalen gör hembesök), se arkivet avseende social dokumentation, se genomförandeplanen, registrera vikarier, se en logg över ändringar gjorda i akten, samt avsluta relationen. Det är vidare möjligt för Eveos samordnande personal att se anställdas namn, personnummer, personnummer, bankkontonummer, frånvaro, arbetsschema. Den samordnande personalen har även möjlighet att ändra dessa uppgifter.

 

Den besökande personalen har möjlighet att se information om brukare de förväntas utföra insatser åt. De kan endast lämna social dokumentation och lämna och se sina egna tidrapporter genom att logga in i verksamhetssystemet. Personalen loggar in i verksamhetssystemet, Teyze, via bank ID.

  

Vid behandling av personuppgifter ska den samordnande personalen alltid överväga om den aktuella personuppgiftsbehandlingen omfattas av den externa personuppgiftspolicyn, bilaga 1, och uppräkningen av personuppgiftsbehandling som ges däri för vilken brukaren har gett sitt samtycke. Om personalen bedömer att så inte är fallet ska denne kontakta personuppgiftsombudet innan behandlingen påbörjas.

 

Ingen i den samordnande personalen eller någon annan anställd hos Eveo får behandla personuppgifter på något annat sätt än som framgår ovan. Detta inkluderar förbud mot att skicka personuppgifter (utöver namn och adress) med e-post, att lämna ut personuppgifter till annan än den kommun, och behöriga handläggare eller inspektör som har beviljat hemtjänst eller använda personuppgifterna för något annat syfte än det som anges i punkt 5 ovan.

  

 

7.Gallring av personuppgifter

 

Eveo gallrar personuppgifterna i enlighet med de instruktioner för gallring som erhålls av den aktuella kommunen, eller i de fall då kommunen inte har beslutat om uppdraget (till exempel då det endast rör sig om hushållsnäratjänster), när relationen med brukaren avslutas.

 

I de fall det saknas instruktioner från kommunerna trots att kommunen har beslutat om uppdraget sker gallring i enlighet med gällande lagstiftning på området beroende på om tjänsten utförs med stöd av Socialtjänstlagen eller Lagen om stöd och service till vissa funktionshindrade.

 

Vid personuppgiftsbehandling med stöd av Socialtjänstlagen gallras uppgifterna fem år efter det att sista anteckningen gjordes i akten förutsatt att akten är del av en sammanställning, vilket Eveo bedömer att datoriserade akter såsom Eveos verksamhetssystem är. Gallringen ska vara avslutad senast kalenderåret efter det att gallringsskyldigheten inträdde. Om tjänsten istället har utförts med stöd av Lagen om stöd och service till vissa funktionshindrade gallras uppgifterna två år efter det att sista anteckningen gjordes i akten förutsatt att akten är den del av en sammanställning. Enligt respektive lag föreligger undantag rörande vissa personuppgifter som ska undantas med hänsyn till forskningsbehov.

 

 

8. Eveo använder personuppgiftsbiträde för lagring av personuppgifter

 

Eveo använder sig av personuppgiftsbiträde för lagring av personuppgifter. Personuppgifterna förs inte ut ur EU. Detta innebär att Eveo lagrar personuppgifter i ett verksamhetssystem som heter Teyze, systemet driftas på servrar som administreras av en extern partner till Eveo. Vid antagandet av denna personuppgiftspolicy står servrarna hos och administreras av ett företag Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855, Luxembourg. Innan personuppgifterna överförs krypteras de och går således inte att läsa om man inte har tillgång till dekrypteringsnyckeln. AWS har inte tillgång till krypteringsnyckeln och kan därför inte läsa någon information i den data som överförs till servern. Utöver AWS använder via 46elks som SMS leverantör och SinchMailgun för epost. Båda dessa leverantörer är har sina serverar inom EU. Vi skickar ej heller personuppgifter via epost. 

 

Eveo har enligt de krav som lagen ställer ingått ett s.k. personuppgiftsbiträdesavtal med AWS i vilket AWS har åtagit sig att endast hantera de krypterade personuppgifterna i enlighet med Eveos instruktioner och i enlighet med gällande lagstiftning. AWS ska enligt avtalet även genom tystnadsförbindelse eller likvärdig åtgärd med sin egen personal tillse att bestämmelserna i det ingångna avtalet även följs av dessa.

 

 

9.Säkerhet

 

Eftersom Eveo bland annat behandlar personuppgifter som innehåller språkkunskaper, beslutet om beviljande av hemtjänst, genomförandeplanen samt den sociala dokumentationen vilka Eveo betraktar som känsliga personuppgifter, ställs extra stora krav på säkerheten kring personuppgifterna.

 

Eveo vidtar både tekniska och organisatoriska säkerhetsåtgärder för att tillse att personuppgifterna inte blir missbrukade, olagligt använda eller går förlorade. Personuppgifterna blir alltid behandlade i enlighet med GDPR. Det råder sekretess rörande samtliga personuppgifter rörande brukarna som Eveo behandlar.

 

De fysiska akterna är förvarade i ett låst, brandsäkert skåp som endast delar av den samordnande personalen har tillgång till. Lokalen där skåpet förvaras har lås, är placerad på andra våningen våningen vilket försvårar en åtkomst via fönster, har fungerande larmutrustning för brand och inbrott, samt brandsläckningsutrustning. I händelse av förlust av de fysiska akterna genom brand eller stöld, trots vidtagna skyddsåtgärder, finns även hela akten digitalt i Eveos verksamhetssystem (Teyze).

 

All den information som finns i den digitala akten i Eveos verksamhetssystem krypteras. Tillgången till den digitala akten sker från externa datorer med inloggning via https och nationellt bank ID. Det är endast den samordnande personalen som har full tillgång till såväl den fysiska som den digitala akten i verksamhetssystemet. Det finns en möjlighet för systemadministratören, som hanterar åtkomsten i verksamhetssystemet, att på instruktion av personuppgiftsansvarig dela upp åtkomsten beroende på vilket ansvarsområde respektive person i den samordnande personalen har.

  

Eveos verksamhetssystem är skyddat. Vid inloggning i verksamhetssystemet identifierar personalen sig med nationellt bank ID.

 

Användaren blir automatiskt utloggad efter inaktivitet som uppgår till mellan 30 minuter och en timme.

 

För att skydda personuppgifterna mot obehöriga intrång kan systemadministratören få tillgång till en rapport som visar vilka uppgifter rörande en brukare eller anställd personal som har ändrats och vem som utförde ändringarna. Det är vidare möjligt för Eveo att få en rapport på vilka som har försökt att logga in på verksamhetssystemet och huruvida inloggningen har lyckats. I rapporten anges IP-nummer, webbläsare och vilket användarnamn som använts vid inloggningen. Systemadministratören är skyldig att anmäla misstänkta obehöriga intrång direkt till personuppgiftsombudet.

 

För att minska risken för obehörig åtkomst krypteras personuppgifterna innan de förs över till den externa servern (se punkt 8 ovan). Krypteringen sker på så sätt att endast den som har tillgång till dekrypteringsnyckeln har möjlighet att dekryptera personuppgifterna. Det är endast Eveo som har tillgång till dekrypteringsnyckeln.

 

Personuppgifter, utöver namn och adresser, får aldrig skickas med e-post då Eveo anser att e-post inte uppfyller tillräckliga säkerhetsnivåer.

 

Det är främst personuppgiftsombudet som ska tillse att Eveos säkerhetsrutiner följs. Utöver det har den samordnande personalen ett ansvar att tillse att de fysiska akterna låses in i säkerhetsskåpet samt att obehöriga inte får tillgång till verksamhetssystemet. All personal har ett ansvar för att sitt eget personliga lösenord inte förloras eller blir allmänt känt. Vid eventuella oegentligheter ska all personal direkt rapportera till personuppgiftsombudet som därefter, utan dröjsmål, ska vidta åtgärder.

 

 

10.Rättning av personuppgifter

 

Eveo vidtar alla rimliga åtgärder för att försäkra sig om att personuppgifterna som hanteras av Eveo är korrekta och aktuella. Eveo kontrollerar med jämna mellanrum att personuppgifterna fortfarande är aktuella, samt uppdaterar och rättar självmant de uppgifter som visar sig vara inkorrekta. Brukarna har även uppmanats att själva kontakta och förse Eveo med rätt uppgifter om de misstänker att någon personuppgift som förvaras och behandlas av Eveo är inkorrekt.

 

 

11.Rätt till information

 

Brukarna har enligt GDPR, kostnadsfritt, få ta del av de personuppgifter som Eveo lagrar och behandlar på andra sätt och som berör respektive brukare. Eveo har en intern rutin för hur utlämnandet av personuppgifterna ska gå till. Efter att ha kontrollerat att ansökan om utgivande av information är korrekt så tas antingen handlingarna ut från det digitala verksamhetssystemet eller så kopieras handlingarna från den fysiska akten som finns på Eveos kontor. Brukaren ska få svar på sin förfrågan inom en månad.

 

 

12.Återtagande av samtycke

 

Brukarna har enligt GDPR rätt att när som helst återkalla sitt samtycke till behandling av personuppgifter. Eveo har informerat brukarna om detta, och att det då finns risk för att Eveo inte längre kommer ha möjlighet att utföra det uppdrag som erhållits av brukaren.

 

 

13.Kontaktuppgifter

 

Brukarna har försetts med kontaktuppgifter till personuppgiftsombudet hos Eveo för det fall de skulle ha ytterligare frågor angående Eveos personuppgiftsbehandling.

 

 

14. Ytterligare information och upplysningar

 

Eveo tar behandling av personuppgifter på största allvar och inser vikten av en korrekt behandling som inte gör intrång i enskildas integritet.

 

Eveos personuppgiftsombud finns alltid tillgänglig för frågor angående denna policy eller i övrigt angående Eveos behandling av personuppgifter. Om Du uppmärksammar felaktigheter eller oklarheter i Eveos behandling av personuppgifter, eller är osäker på hur Du ska hantera personuppgifter Du kommer i kontakt med i Ditt arbete, så ska Du kontakta Eveos personuppgiftsombud så att frågorna kan lösas.

©2024 Eveo AB
Org.nr: 556778-1686

vardforetagarna.webp

Eveo huvudkontor

Drakenbergsgatan 47,

117 41 Stockholm 
Växel: 08-559 25 003 
E-post: info@eveo.se
Fax: 08-24 36 04

Eveo i sociala medier

  • Instagram
  • Facebook
  • LinkedIn

Instagram
Facebook

Linkedin

Personuppgifter

Eveo Södertälje
Björklundsgatan 4,
152 41 Södertälje

Eveo Huddinge & Botkyrka
Diagnosvägen 8,
141 53 Huddinge

Eveo Sollentuna 
Tusbystråket 12C,
191 60 Sollentuna

Eveo Tensta 
Glömmingegränd 37,
163 62 Spånga

Eveo MÅS

Skogsborgsvägen 16, 647 31 Mariefred

bottom of page