Denna integritetspolicy vänder sig till tandläkarmottagningar som är kunder till CDI Dental AB och beskriver hur CDI Dental AB följer kraven i EU:s allmänna dataskyddsförordning (General Data Protection Regulation, ”GDPR”)(2016/679/EU) och patientdatalagen (2008:355).
Tandläkarens ansvar för patientdata
Det är tandläkarmottagningen som är personuppgiftsansvarig för personuppgifter kopplade till patienter (patientdata) som hanteras av CDI Dental AB för att utföra det tandtekniska arbetet enligt tandläkarmottagningens anvisning. Personuppgiftsansvaret åvilar tandläkarmottagningen i kapacitet av vårdgivare och huvudansvarig för tillhandahållande av tandvård. Tandläkarmottagningen som personuppgiftsansvarig har bl.a. ansvaret för att insamling av patientdata sker enligt gällande lagstiftning samt att patienten får adekvat och ändamålsenlig information om dennes rättigheter. För denna hantering är CDI Dental AB personuppgiftsbiträde till tandläkarmottagningen.
CDI Dentals ansvar för patientdata
Enligt lag (1993:584) om medicintekniska produkter och Läkemedelsverkets föreskrifter om medicintekniska produkter (LVFS 2003:11) har CDI Dental AB som tandtekniskt laboratorium ett självständigt ansvar att spara och dokumentera patientdata som mottas från en tandläkarmottagning. Denna skyldighet syftar till att möjliggöra spårning av tandtekniska produkter och stärka patientsäkerheten. Det medför särskilt att alla tandtekniska produkter ska kunna spåras till en specifik patient i fem år och till ett implantat i femton år. Eftersom det är en förpliktelse som åvilar det tandtekniska laboratoriet enligt lag är CDI Dental personuppgiftsansvarig för den hantering av patientdata som är nödvändig.
Vilka skyldigheter har CDI Dental AB som personuppgiftsbiträde?
Ett personuppgiftsbiträde är ett företag som behandlar personuppgifter på uppdrag av en personuppgiftsansvarig. Som personuppgiftsbiträde behandlar CDI Dental AB patientdata endast efter kundens instruktioner i avtal (ett s.k. personuppgiftsbiträdesavtal).
CDI Dental har enligt gällande lagstiftning det självständiga ansvaret att:
- Vidta och upprätthålla tekniska och organisatoriska säkerhetsåtgärder som krävs för att skydda personuppgifter. Patientdata är en känslig kategori av personuppgifter enligt GDPR vilket ställer högre krav på säkerhet;
- Säkerställa att endast behöriga personer med lämplig utbildning och som omfattas av tystnadsplikt behandlar personuppgifter, och att så endast sker när det är nödvändigt;
- Föra ett register över alla kategorier av behandlingar som utförs på uppdrag av kunder (en s.k. registerförteckning);
- Omedelbart informera tandläkarmottagning om CDI Dental AB gör bedömningen att instruktioner från kunden potentiellt strider mot gällande lagstiftning;
- Tillåta och möjliggöra för kunden att granska att CDI Dental AB följer avtal och gällande lagstiftning vad avser behandling av patientdata;
- Samarbeta med Datainspektionen och annan behörig tillsynsmyndighet;
Lokalisering och underleverantörer
Patientdata behandlas endast inom EU/EES. Vi anlitar tjänsteleverantörer utanför EU/EES för att utföra vissa arbetsuppgifter; vi delar aldrig patientdata till dessa aktörer. Vi kan komma att anlita personuppgiftsbiträde för behandling av patientdata. Det kan t.ex. gälla ett företag som sköter våra IT-system. Vid anlitande av annat personuppgiftsbiträde blir kund informerad enligt kraven i det aktuella avtalet. CDI Dental AB är fullt ansvarigt för anlitade underbiträdens förpliktelser.
Kontaktuppgifter till företrädare för kunder
CDI Dental AB är personuppgiftsansvarig för kontaktuppgifter och ärendespecifika uppgifter till företrädare för kunden. Ändamålet är att vi har ett berättigat intresse att hantera t.ex. kontaktuppgifter till företrädare för kunden för att genomföra överenskommit uppdrag. Vi sparar personuppgifter under den tid de är relevanta och nödvändiga för ändamålet. Personuppgifter i bokföringsunderlag, innefattande verifikat, sparas i minst sju år efter innevarande räkenskapsår, enligt bokföringslagen. Uppgifter som är nödvändiga för att tillvarata ett rättsligt anspråk sparas endast så länge de behövs för ändamålet.
Företrädare för en tandläkarmottagning har rätt att kontakta CDI Dental AB för att tillvarata sina rättigheter enligt kapitel III GDPR. Dessa rättigheter inkluderar särskilt rätten till registerutdrag där vi redovisar vilka personuppgifter som vi har om företrädaren och varför vi behöver dem, rätt till rättelse och eller radering av personuppgifter i förekommande fall samt rätt till begräsning av hantering av personuppgifter.
Kontaktuppgifter
Om du har några frågor om hur CDI Dental AB arbetar för att följa GDPR och patientdatalagen är du alltid välkommen att kontakta oss på: info@cdi-dental.com CDI Dental AB (org. nr 556673-0890), Höjdrodergatan 18, 21239 Malmö, Sverige