Sekretesspolicy

2 STRUKTUR
• Registerförteckning
• Ansvarsfördelning
o Dataskyddsombud: Johannes Bunne
o Registeransvariga:
▪ Ekonomi och löneadministration: Administrationen
▪ Personalregister: Assistanskonsulterna
▪ Kundregister: Assistanskonsulterna
▪ Utbildningsregister: Administrationen
SIDA 2
3 LEVERANTÖRER
• Primass
o Biträdesavtal
• Cronalön
o Behöriga som har tillgång är löneadministratörerna, ekonomerna och VD.
• Visma
o Behöriga som har tillgång är ekonomerna och VD.
• Kiwision
o Serverunderhåll och datasupport
• Internetport
o Internetleverantör
• Utbildning
o ABH utbildning och rådgivning
4 INTERN DATASKYDDSPOLICY
All persondata ska behandlas på ett korrekt och integritetsfrämjande sätt. Persondata får
bara hanteras på det sättet som är godkänd på A-Assistans (se IT policy). Avvikelse från
den ska utan dröjsmål rapporteras till närmaste chef. I fall av incidenter ska även
dataskyddsombudet informeras.
5 EXTERN DATASKYDDSPOLICY
A-Assistans ska ha biträdesavtal med alla externa leverantörer som har tillgång till
persondata. Se bilaga 1.
6 INTERNATIONELLA LEVERANTÖRER UTANFÖR EU
• Vi har inga leverantörer utanför EU
7 IT POLICY
• Lösenordspolicy
o Alla tjänstedatorer ska vara lösenordskyddade.
o Alla tjänstemäns arbetstelefoner ska vara lösenordskyddade.
o Lösenordet ska ändras minst två gånger per år. Det är schemalagt så
servern skickar uppmaning när det är dags.
o Man får inte lämna sitt lösenord till någon annan person.
SIDA 3
o Lösenord till webbaserade uppgifter ska bevaras av personen som äger den
med stor försiktighet och aldrig lämnas till någon annan.
o I fall man har misstankar om att någon obehörig har fått tag i någons
lösenord måste man omedelbart ändra det och informera sin närmaste
chef.
• Mailpolicy
o Skicka aldrig känsliga personuppgifter via e-post, till exempel uppgifter
om någons hälsa, religiösa åskådning eller politiska åsikter.
o För över personuppgifter till andra system och radera mejlet. Mejlar en
anställd in och sjukanmäler sig, registrera det i lönesystemet och radera
mejlet.
• Minimering
o Personuppgifterna som vi hanterar har vi på något sätt skyldighet att
hantera.
o Det kan vara rapporteringsskyldighet till myndigheter som
Försäkringskassan, Skatteverket, Kommun, IVO, Arbetsmiljöverket,
Pensionsmyndigheten, Fackliga organisationer m.m.
o Tillgång till uppgifterna har bara ansvariga tjänstemän och de hanteras
med stor diskretion.
• Samtycke
o Registrering av arbetssökande
Alla arbetssökande registrerar sig själva i Primass. Före registreringen
behöver de ge sitt samtycke på den särskilda blanketten. Det gör de digitalt
direkt i Primass.
Du registrerar dig nu på A-Assistans Leimir AB Sjötullsgatan 9 824 50 Hudiksvall,
Organisationsnummer 556637-8963 interna databas Primass.
Dina personliga uppgifter som arbetssökande kommer att hanteras av A-Assistans
behöriga personal i rekryteringssyfte. Vi kommer att visa ditt CV till kunden eller kundens
legala företrädare.
Vi behöver få alla dina kontaktuppgifter och CV med dina kompetenser och erfarenheter
för att försäkra oss om att vi anställer rätt person på rätt ställe.
Om du inte aktivt raderar din profil efter avslutat rekrytering, är du kvar i vår databas för
arbetssökande i 6 månader. Därefter raderas din profil automatiskt. På följande sätt kan
du radera din profil när du vill: Logga in i Primass genom A-Assistans hemsida, öppna
sedan din profil och till höger nere på sidan trycker du på texten ”Avregistrera mig”.
I fall du lämnar referenser, behöver du själv informera nämnda personer om det.
SIDA 4
o Anställda
Alla anställda behöver ge sitt samtycke vid registrering. Det gör de vid den
första registrering som arbetssökande. Det görs digitalt direkt i Primass.
Vi behöver få följande uppgifter på alla våra anställda: kontonummer för löneutbetalning
och kontaktuppgifter till närmast anhörig som vi kan kontakta i fall någonting händer dig
på arbetet eller vid andra akuta situationer.
Observera att du själv är ansvarig för att informera den anhörige om att du har lämnat
hens kontaktuppgifter till oss.
Dina personliga uppgifter kommer att behandlas med stor försiktighet inom företaget. Vi
lyder under flera lagar som t.ex. bokföringslagen, arkiveringslagen, LSS och
socialtjänstlagen, arbetsmiljölagen m.fl. Vi har rapporteringsskyldighet till
Försäkringskassan, kommunen, IVO, Arbetsmiljöverket, Kronofogden, Skatteverket,
facket, Pensionsmyndigheten och Pensionsvalet. Dina personuppgifter kommer att lämnas
till dessa myndigheter och organisationer om de så kräver.
Du har rätt att begära individuell information om hur och var dina personliga uppgifter
hanteras. Du själv ansvarar för att informera A-Assistans om ändade personuppgifter. Det
gör du själv i Primass eller informerar din närmaste chef eller löneadministrationen. Du
har även rätt att återkalla ditt samtycke och begära radering av dina personliga uppgifter.
Observera att i de fall en lag gör oss skyldiga att spara vissa uppgifter t.ex. arkiveringslagen
har vi rätt att göra det.
o Kunder/Kund företrädare
Alla kunder eller kundföreträdare ger sitt samtycke på en särskild blankett.
Blanketten kan vara i pappers- eller digitalform i Primass.
Dina personuppgifter hanteras med stor försiktighet av A-Assistans tjänstemän. Vi
behöver ha dem för att korrekt utföra våra rapporteringsskyldigheter till berörda
myndigheter som Försäkringskassan, Kommunen, IVO och Skatteverket. För det behövs
person- och kontaktuppgifter registreras. Vi behöver även registrera myndighetsbeslut
som har med din personliga assistans att göra. Vi är även skyldiga att föra
socialdokumentation enligt LSS och Sol. Vi behöver även enkelt och tydligt kommunicera
och informera dig om viktiga händelser i företaget, dina ärenden och branschen.
I fall du har en legalföreträdare, behandlas dennes personuppgifter på samma sätt som
ovan.
Vid eventuellt behov att utbetala t.ex. utlägg till assistansomkostnader behöver vi även
ditt kontonummer.
Du har rätt att begära individuell information om hur och var dina personliga uppgifter
hanteras. Du själv ansvarar för att informera A-Assistans om ändrade personuppgifter. Du
har även rätt att återkalla ditt samtycke och begära radering av dina personligauppgifter.
SIDA 5
Observera att i fall en lag gör oss skyldiga att spara vissa uppgifter t.ex. arkiveringslagen
har vi rätt att göra det.
• Återkallande av samtycke
o Alla som vi har registrerade personuppgifter på har rätt att återkalla sitt
samtycke och begära radering av sina personuppgifter.
o I fall en lag gör oss skyldiga att spara vissa uppgifter t.ex. arkiveringslagen
har vi rätt att göra det.
o Det kan man göra på en särskild blankett som finns i Primass eller skicka
meddelande i Primass om sin önskan.
• Information till tredje part
o Kontaktuppgifter till närmaste anhörig behöver vi för att kunna kontakta
personen som är angiven vid olycksfall eller sjukdom. Skriftlig information
om det ska lämnas till kunder och anställda själva talar med den angivna
anhörig.
• Korrigeringar och klagomål
o Enligt samtyckesblanketten ansvarar varje person för sig att lämna korrekta
uppgifter till oss och informera vid ändringar.
o Ändringarna kan man göra själv i Primass eller skicka meddelande i
Primass till närmaste chefen.
• Rutin kring personuppgiftsincident
När vi blir medvetna om att det har skett en personuppgiftsincident bör vi så snabbt som
möjligt göra en bedömning av de potentiella negativa konsekvenserna för de registrerade
personerna, baserat på hur allvarliga eller väsentliga dessa är och hur troligt det är att
konsekvenser kan inträffa.
Vad är en personuppgiftsincident?
En personuppgiftsincident är en säkerhetshetshändelse som har påverkat sekretessen,
integriteten eller tillgängligheten till personuppgifter. En personuppgiftsincident har
inträffat om personuppgifter har
• förstörts, oavsiktligt eller olagligt
• gått förlorade eller ändrats
• röjts till någon obehörig.
Obs! Det spelar ingen roll om det har skett oavsiktligt eller med avsikt. I båda fallen är det
personuppgiftsincidenter.
SIDA 6
Vissa personuppgiftsincidenter ska rapporteras till Datainspektionen
När det har inträffat en personuppgiftsincident måste dataskyddsombudet tillsammans
med VD först fastställa sannolikheten och allvaret, och den därmed följande risken för
människors rättigheter och friheter. Om det är troligt att personuppgiftsincidenten
kommer att medföra en risk för de registrerade måste det rapporteras till
Datainspektionen. Men om det är osannolikt att en personuppgiftsincident medför risker
behöver ni inte meddela Datainspektionen.
Dokumentation
Utredningen ska dokumenteras och bevaras i mappen för avvikelser och incidenter. Även
om det konstateras att incidenten inte var allvarlig, måste ni kunna motivera beslutet och
dokumentera detta.
Personuppgiftsansvariga bedömer riskerna
Vissa incidenter kommer inte att leda till risker för de registrerade. Däremot kan det
medföra ett visst besvär för de anställda hos den personuppgiftsansvarige, som behöver
uppgifterna för att utföra sitt jobb. Andra personuppgiftsincidenter kan väsentligen
påverka personer vars personuppgifter har äventyrats.
Vi som personuppgiftsansvariga måste själva bedöma personuppgiftsincidentens effekt
och analysera alla relevanta faktorer.
När ska vi informera de registrerade?
Om personuppgiftsincidenten är allvarlig så ska ni utan onödigt dröjsmål även informera
de registrerade om personuppgiftsincidenten. Detta gäller alltså om det är sannolikt att
personuppgiftsincidenten leder till en hög risk för fysiska personers rättigheter och
friheter.
• Socialdokumentation: dag- och rapportböcker och journaler
Enligt Socialtjänstlagen är vi skyldiga att hantera den sociala dokumentationen kring
kunden.
➢ Journal
Det är bara tjänstemännen som har tillgång till kundens journal och har
behörighet att skriva i. Kunden själv har rätt att begära ut sin journal som utan
dröjsmål skrivs ut och överlämnas. I fall då vi bedömer att personen i fråga kan
fara illa av att läsa sin journal ska vi anmäla det till IVO, så får de fatta beslutet.
➢ Rapportböcker
En rapportbok får finnas enligt överenskommelse med kundföreträdare i hemmet i
pappersform eller i Primass. Det får inte förekomma andra digitala lösningar som
inte är godkända av VD.
SIDA 7
➢ Dagböcker
En dagbok får finnas enligt överenskommelse med kundföreträdare i hemmet i
pappersform eller i Primass. Det får inte förekomma andra digitala lösningar som
inte är godkända av VD.
• Personaldokumentation
För att uppfylla vårt arbetsgivaransvar behöver vi föra viss personaldokumentation. Det
görs på den personliga profilen i Primass. Dokumentationen ska ha praktisk karaktär.
➢ Kompetensdokumentation: Den finns i personens CV och under
dokumentation/utbildningar i personens profil.
➢ Löpandedokumentation: Vid behov behöver vi notera händelser av vikt.
➢ All dokumentation hanteras och sparas i Primass.
• Kontakt:
A-Assistans Leimir AB
Sjötullsgatan 9 824 50 Hudiksvall,
Organisationsnummer 556637-8963
VD Mira Jonsson 0650-54 15 51, mira.jonsson@a-assistans.se
SIDA 8
8 UTGIVNINGSBEVIS