Journalsystem från CGM
Vill du veta mer om våra vårdinformations- och journalsystem och vad vi kan erbjuda?
Läs mer här
Ta reda på allt om visionen, uppdraget och de människor som formar CompuGroup Medical över hela världen.
CGM Sweden ser på skyddet av personuppgifter och att behandla dessa ansvarsfullt som en huvudprincip. CGM Sweden förbinder sig till strikt regelefterlevnad av relevanta lagar och förordningar beträffande lagringen och behandlingen av personuppgifter.
Koncernen CGM SE har etablerat ett centralt verksamhetssystem för dataskydd som säkerställer en konsekvent hög nivå av skydd av personuppgifter och regelefterlevnad av motsvarande dataskyddslagar av alla företag inom CGM SE.
Denna dataskyddsförklaring tjänar till att uppfylla den rättsliga informationsskyldigheten genom att tillhandahålla information om behandlingen av uppgifter inom CGM SE. Denna dataskyddsförklaring refererar specifikt till affärsenheten CGM Swedens produkt CGM J4. Den senaste versionen av denna dataskyddsförklaring finns tillgänglig i CGM J4 onlinemanual ”Hjälp för sidan”. Dataskyddsförklaringen ligger som ett eget avsnitt i manualen.
Kund som använder CGM J4 är personuppgiftsansvarig för all information som lagras i CGM J4 (CGM Sweden lagrar inga uppgifter i kunds installation av CGM J4).
CGM uppmanar sina kunder att upprätta rutiner för den egna verksamheten som säkerställer att de personuppgifter som kunden lagrar i CGM J4 administreras på ett sätt som lever upp till kraven i Dataskyddsförordningen (GDPR). CGM vill i detta sammanhang påpeka att hälso- och sjukvårdsdata är en särskild kategori av personuppgifter och omfattas av högre skydd genom dataskyddsbestämmelser.
CGM J4 är ett verksamhetssystem avsett för att lagra patientinformation i samband med vård och behandling inom hälso- och sjukvård. Lagrad data används som underlag för beslut kring fortsatt vård vid aktuell vårdkontakt och vid senare tillfällen. Detta verksamhetsstöd för mottagningar stöder medicinska mottagningar/kontor som följer lagkrav, har strukturerad dokumentation, kontorshantering, fakturering, receptskrivning och följer ytterligare krav som kan uppfyllas med hjälp av valbara tillbehör. CGM J4 erbjuder dedikerad hantering av användarrättigheter och begränsar åtkomst till programvara och tillbehör till behöriga personer. Utöver kontroll av åtkomst till programvara och modulära programvarutillägg kontrollerar åtkomsthanteringen också hanteringen av åtkomst till data som lagrats och behandlats inom systemet.
Personuppgifter innebär all information som rör en identifierad eller identifierbar fysisk person; en identifierbar fysisk person är en person som kan identifieras, direkt eller indirekt, särskilt genom hänvisning till en identifierare såsom ett namn, ett identifikationsnummer, platsdata, en online-identifierare eller till en eller flera faktorer som är specifika för den fysiska, fysiologiska, genetiska, mentala, ekonomiska, kulturella eller sociala identiteten hos den fysiska personen.
Vid användning av de föreslagna produkterna och/eller tjänsterna lagras följande typer av information av CGM på din server eller i vår hostingtjänst:
I enlighet med dataskyddslagar förpliktar vi oss att radera alla avtalsuppgifter, loggdata och data från teknisk verksamhet efter att ditt avtal har avslutats. I det fall hostingtjänst har används raderas även journalsystemet.
Vi är emellertid också skyldiga enligt aktiebolagslagstiftning och skattelagstiftning att respektera rättsliga arkiveringsperioder som kan sträcka sig till efter det att ditt avtal avslutats. Data från teknisk verksamhet lagras så länge som tekniskt nödvändigt och tas bort senast efter det att ditt avtal avslutats.
3.1 Avtal- och registreringsuppgifter
Avtal- och registreringsuppgifter identifierar och behandlar det avtalsliga förhållandet mellan den kunden och CGM Sweden. Dessa uppgifter inkluderar:
· Uppgifter om kundens verksamhet
o Mottagningens namn
o Typ av mottagning
o Mottagningens adress
o Mottagningens telefonnummer
o Mottagningens identifierare/identifikationsnummer
· Uppgifter om läkaren/vårdgivaren
o Typ av titel
o Förnamn/efternamn
o Namnsuffix
o Läkarens/vårdgivarens identifierare/identifikationsnummer
o Roll avtalsförhållandet
Icke-obligatorisk information som kan komma att läggas till
· Privat telefonummer
· Mobilnummer
· E-postadress
· Kontaktperson(er)
Lagring och behandling av personuppgifter som utlämnas till CGM Sweden under affärs- och avtalsförhållandet tjänar och är begränsat till syftet att uppfylla avtalet, särskilt orderhantering och kundsupport.
Endast om tillåtelse genom en samtyckesdeklaration mottagits kan dessa uppgifter även komma att användas för produktrelaterade kundundersökningar och marknadsföringsändamål.
Uppgifter kommer inte att överlämnas eller säljas till någon tredje part såvida det inte krävs för att uppfylla avtalet eller om uttrycklig tillåtelse lämnats i form av samtyckesdeklaration. Som exempel kan det vara nödvändigt för CGM Sweden att överlämna din adress och orderinformation till en försäljnings- och servicepartner då en order lagts. Vi kommer att informera dig om mottagarna av dina uppgifter i orderbekräftelsen. Det kan också vara nödvändigt att överlämna adressen till ett externt produktionsföretag för syftet att producera och frakta uppdaterad datamedia.
Du har rätt att bli informerad om när dina personuppgifter lagras, rätt till rättelse, rätt att begränsa behandling och rätt till radering av dessa uppgifter.
3.2 Data från teknisk verksamhet
Data från teknisk verksamhet krävs för tillhandahållande av avtalsgaranterade tjänster, tex support och systemuppdateringar. CGM samlar data från teknisk verksamhet endast för detta ändamål. CGM undersöker regelbundet att endast uppgifter som krävs för att tillhandahålla och förbättra den tekniska verksamheten för din produkt/dina tjänster kommer att samlas in, lagras och behandlas.
Uppgifter från mottagningens ledningssystem för mottagningar samlas endast in efter att du lämnat ditt samtycke.
Vid användning av våra onlinetjänster, t.ex. supportportal lagras följande data tillfälligt för att upprätthålla systemintegritet och säkerhet:
Data från teknisk verksamhet lagras i vårt koncerngemensamma CRM-system vars servrar finns inom EU.
Respektive personuppgiftsansvarig bestämmer vilka uppgifter som behandlas i CGM J4. I produkten finns, utöver det som levereras i standardutförande, även möjlighet att konfigurera möjlighet att registrera ytterligare uppgifter som i det fallet tillkommer utöver uppgifter listande nedan.
Uppgifter i CGM J4 lagras och behandlas i databasen på din mottagnings server eller i hostingtjänsten.
4.1 Basdata för mottagningen och dess anställda
Basdata för din mottagning lagras för ändamålet regelefterlevnad av lagkrav och för korrekt användning av vissa moduler/avtal. Obligatorisk basdata för CGM J4 är märkt i enlighet därmed. Basdata om mottagningen och dess anställda inkluderar:
· Mottagningens namn
· Typ av mottagning
· Mottagningens adress
· Mottagningens identifierare/identifikationsnummer
· Medicinsk specialitet
· Uppgifter om läkaren/vårdgivaren
o Typ av titel
o Förnamn/efternamn
o Läkarens/vårdgivarens identifierare/identifikationsnummer
· Ytterligare anställda på mottagningen
o Efternamn
o Förnamn
o Användarnamn/lösenord
Basdata behövs när olika programvarumoduler används för att utföra åtgärder och det används automatiskt. Överföringen till tredje part utförs efter förhandstillstånd eller användarinteraktion. Rättelse, begränsning av behandling eller radering av dessa uppgifter är möjlig men kan begränsas av juridiska krav. Beskrivningar av rättelser, begränsning av behandling eller radering av uppgifter är en del av den senaste versionen av användarhandboken.
4.2 Patientuppgifter
Lagringen, användningen och behandlingen av patientuppgifter är endast tillåten med patientens (den registrerade) samtycke eller baserat på en laglig skyldighet. Patientuppgifter genereras inte automatiskt i CGM J4. Patientuppgifter samlas in och tas in i CGM J4 av mottagningen respektive av läkaren/personalen som arbetar på den medicinska mottagningen.
Patient-basdata: Patientens basinformation fångas och matas in automatiskt med hjälp av elektronisk datamedia (t ex patientkort) och/eller inmatas eller kompletteras genom manuell datainmatning.
En åtskillnad görs mellan nödvändiga (obligatoriska) uppgifter för att uppfylla avtalsenliga eller juridiska åtaganden å ena sidan och ytterligare icke-obligatoriska uppgifter lämnade av patienten å andra sidan.
Obligatoriska uppgifter inkluderar:
· Personuppgifter (efternamn)
Icke-obligatoriska ytterligare uppgifter, som kan vara nödvändiga att registrera för att verksamheten ska kunna tillhandahålla vård, inkluderar:
· Personuppgifter (förnamn, pre- eller suffixnamn, personnummer samt födelsedatum, kön)
· Adressuppgifter (gata, husnummer, postnummer, stad, land)
· Uppgifter om kostnadsbäraren/vårdgivaren och försäkringstyp (vårdgivare, försäkringsstatus, sjukförsäkringsnummer, privat sjukförsäkring)
· Uppgifter om sjukvårdsersättning
· Vid remiss behövs även information såsom
o Remitterande läkare
o Remissinformation
o Diagnoser
· Privat telefonnummer
· Mobilnummer
· E-postadress
· Arbetsgivare
· Anhörig eller annan kontaktperson
Känsliga uppgifter: Hälso- och sjukvårdsdata är en särskild kategori av personuppgifter och omfattas av högre skydd genom dataskyddsbestämmelser.
Att skriva in uppgifter i patientens journaler härrör från den rättsliga skyldigheten för behandlande vårdpersonal att dokumentera alla åtgärder och respektive resultat som är relevanta för patientens nuvarande och framtida behandling.
Dessa uppgifter inkluderar:
· Sjukdomshistoria
· Diagnos
· Undersökning
· Provresultat
· Undersökningsresultat
· Terapisamtal och deras respektive resultat
· Interventioner och deras respektive resultat
· Samtyckesdokumentation
· Läkarbrev
· Konto/fakturerings-uppgifter såsom
o Faktureringsinformation
o Fakturor
o Påminnelser och indrivningsnivå
Rättelser och ändringar i patientens journaler är möjliga. Det ursprungliga innehållet är tillgängligt och kan konsulteras vid behov. Radering är möjlig inom gränserna för rättsliga arkiveringsperioder. Motsvarande procedurer och funktionaliteter beskrivs i manualen för CGM J4.
4.3 Behandling av mottagningens uppgifter och känsliga personuppgifter | patientuppgifter på programvarumoduler
Integrerade moduler installeras som standard tillsammans med CGM J4 som de interagerar med och deltar i behandlingen av personuppgifter. Radering av uppgifter som lagras i systemet sker i normalfallet utifrån användarinteraktion eller på beställning till CGM utifrån instruktioner från personuppgiftsansvarig.
CGM J4 integrerar med följande moduler:
Webbläsare: för att tillhandahålla ett användargränssnitt. Personuppgiftsbehandling innebär behandling i realtid av sparad data samt överföring till server.
Databas: Uppgifter som matas in i gränssnittet hanteras på en server och lagras i en databas.
Mobilt Bank id för Elektronisk inloggning med dubbel autentisering. Uppgifterna som överförs i integrationen används i realtid och sparas inte.
Ordbehandling- och kalkylprogram för administrativt arbete på mottagningen. Uppgifter som behandlas och kan komma att överföras är personlig basdata, känsliga personuppgifter, basdata för mottagningen, användaruppgifter.
Elektronisk förskrivning överför personlig basdata och känsliga personuppgifter till apotek för förskrivning av läkemedel.
Medicinteknisk utrustning för mätning, diktering och undersökning överför personliga basdata och känsliga personuppgifter som lagras i systemet.
Ersättningssystem för underlag för rapportering till avtalsparter i region och landsting hanterar personlig basdata, känsliga personuppgifter, basdata för mottagningen, användaruppgifter. Uppgifter kan komma att överföras till avtalspart som en del i att uppfylla avtalsenliga skyldigheter.
Faktureringssystem för överföring av underlag för redovisning behandlar uppgifter faktureringsunderlag, basdata för mottagningen, samt i förekommande fall personlig basdata och känsliga personuppgifter.
Webbokning behandlar basdata för mottagningen, personlig basdata, känsliga personuppgifter och i vissa fall uppgifter om vårdgivare i realtid för att möjliggöra bokning av tider online. Överföring av uppgifter mellan webportalen och journalsystemet för att generera tider i journalsystemets bokningsmodul.
Webportal för publicering av fakturaunderlag behandlar uppgifter faktureringsunderlag, basdata för mottagningen, personlig basdata, samt känsliga personuppgifter. Uppgifter överförs från journalsystemet till fakturaportal för att tillgängligöras för respektive mottagare av fakturaunderlaget.
Webportal för ifyllnad av enkäter behandlar känsliga personuppgifter och personlig basdata i realtid, vilka överförs till CGM J4. Uppgifterna lagras i journalsystemet.
Utskrifter behandlar basdata för mottagningen, känsliga personuppgifter samt personlig basdata i realtid för att skriva ut dokument såsom kvitton från betalningstransaktioner, bekräftelser och kallelser, journalkopior samt administrativ information från systemet.
Verksamhetsstöd för import av personuppgifter behandlar personlig basdata för inläsning av uppgifter från ett källsystem till journalsystemet.
Exchange som möjliggör överföring av bokningsinformation från journalsystemet till kalender. Behandlingen innefattar överföring av tid och datum samt användaruppgifter.
Koppling till sammanhållen journal innebär överföring av journalinformation till sammanhållen journal. Uppgifter som överförs är personlig basdata, känslig personuppgifter, basdata för mottagningen samt användaruppgifter.
Väntetidsrapportering hanterar personlig basdata, känsliga personuppgifter, basdata för mottagningen samt användaruppgifter för att möjliggöra överföring av uppgifter om väntetider till uppdragsgivare i region och landsting för statistik och uppföljning.
Personlig basdata kan läsas in i systemet genom integration till adressregister. Överföring av uppgifter sker från källsystem till journalsystem, behandlingen sker automatiskt efter schemaläggning eller utifrån användarinteraktion.
Listningsinformation kan hämtas till CGM J4 genom överföring av personlig basdata. Behandlingen sker i realtid.
TRM-import innebär överföring av personlig basdata och känsliga personuppgifter till journalen.
Elektronisk remiss och remissvar för att beställa provtagning eller undersökning samt få svar på beställning omfattar behandling av personlig basdata, känsliga personuppgifter, basdata för mottagningen samt användaruppgifter. Uppgifterna överförs till mottagare av beställningen.
E-läkarintyg för att skicka underlag för bedömning av sjukskrivning överför data såsom personlig basdata, känsliga personuppgifter, basdata för mottagningen, användaruppgifter till Försäkringskassan.
SMS-notifieringar samt e-post för bekräftelse, påminnelse samt meddelande om ändring utifrån bokad tid behandlar personlig basdata, känsliga personuppgifter, basdata för mottagningen samt användaruppgifter. Uppgifterna överförs till patientens angivna mobiltelefon eller e-post utifrån inhämtat samtycke. Uppgifter kan komma att överföras till tredje land i det fall mottagaren befinner sig på motsvarande plats vid överföring.
Ankomstregistrering och betalningsregistrering i terminal innebär överföring av personlig basdata, känsliga personuppgifter, basdata för mottagningen samt betalnings- alt faktureringsunderlag.
Arkivering av journal överför personlig basdata samt känsliga personuppgifter till pdf.
För detaljerad information om integrerade moduler, se CGM J4 manual. Radering av uppgifter som inte omfattas av systemets raderingsfunktionalitet görs i normalfallet på beställning av kunden utifrån specifik instruktion och med hänsyn till gällande lagar och regleringar.
Elektronisk dataöverföring baserad på juridiskt, avtalsenligt eller föregående samtycke utförs av CGM J4 endast efter användarinteraktion eller automatiskt - om tillstånd har beviljats.
Dataöverföring baserad på lagregleringar
Uppgifter som ingår i hälsodataregister överförs till ansvarig myndighet för rapportering av data som utgör underlag för statistik och uppföljning.
Dataöverföring baserad på avtalsenliga skyldigheter
Uppgifter som utgör underlag för ersättning överförs till vårdgivarens avtalsparter så att vårdgivaren får ersättning för utförd vård . Arbetsgivare, region och landsting, försäkringsbolag kan förekomma som avtalsparter. Uppgifter som överförs innefattar personlig basdata, känsliga personuppgifter, basdata för mottagningen. Uppgifter överförs i normalfallet krypterat.
Elektronisk dataöverföring baserad på samtycke
Överföring av boknignsinformation sker baserad på inhämtat samtycke och görs till patienten själv i samband med bokning av tid. Överföring av uppgifter till kvalitetsregister och forskning sker utifrån inhämtat samtycke och i normalfallet krypterat. Uppgifter som överförs innefattar personlig basdata, känsliga personuppgifter, basdata för mottagningen.
Anställda på CGM Sweden skriver under ett sekretessavtal som bl.a. reglerar hanteringen patientdata. Utgångspunkten för CGM Sweden i detta sammangang är att vi inte tar del av, ändrar, raderar eller på annat sätt behandlar de uppgifter våra kunder lagt in i våra system om detta inte efterfrågats särskilt av kunden eller är nödvändigt för att vi ska kunna fullgöra våra åtaganden gentemot kunden (t.ex. att lämna support, migrera uppgifter eller liknande). Anställda på CGM Sweden förbinder sig att noga tillse att allt material och alla uppgifter av sekretessbelagd natur förvaras på angivet sätt, och iakttaga fullständig tystnadsplikt gentemot obehöriga. Anställda på CGM Sweden genomgår utbildning i dataskydd.
CGM vidtar alla nödvändiga tekniska och organisatoriska säkerhetsåtgärder för att skydda dina personuppgifter såväl som dina patienters personuppgifter mot obehörig åtkomst, förändring, utlämnande, förlust, förstörelse och andra former av missbruk. Dessa åtgärder inkluderar interna kontroller och kontroller av våra processer för datainsamling, lagring och behandling samt säkerhetsåtgärder för att skydda IT-system där vi lagrar avtalsuppgifter och data från teknisk verksamhet från obehörig åtkomst.
För att säkerställa datasäkerheten bevakar CGM löpande utvecklingen inom säkerhetsteknik. Detta innefattar bland annat genomförandet av konsekvens-, risk- och sårbarhetsbedömningar.
Vidare utförs regelbundet tester särskilt anpassade för att bedöma och utvärdera effektiviteten av de tekniska och organisatoriska åtgärder som säkerställer säkerheten i de olika kategorier av personuppgiftsbehandling som vi utför eller som våra kunder utför i våra produkter..
Följande riktlinjer styr införandet av lämpliga tekniska och organisatoriska åtgärder:
· Backup av data
För att förhindra förlust säkerhetskopieras data kontinuerligt.
· Dataskydd genom design
CGM beaktar dataskydds- integritets- och datasäkerhetsprinciper i hela design- och utvecklingsprocesser av våra IT-system.
Åtgärder för att uppnå inbyggt dataskydd, som exempelvis säker autentisering eller kryptering beaktas vid början av utvecklingsprocessen.
· Dataskydd som standard
CGM:s produkter levereras med fabriksinställningar som är optimerade för att uppnå dataintegritet.
· Kommunikation via e-post (mellan kund och CGM)
Om ni vill kontakta CGM via e-post bör ni vara medvetna om att sekretess för överförd information inte kan garanteras då innehållet i e-postmeddelanden inte kan ses som en säker kommunikationsform. Vi rekommenderar att ni använder annat kommunikationssätt, som telefon, video eller post om ni behöver överföra konfidentiell information.
· Fjärrstyrning
· Anställda eller underleverantörer till CGM kan ibland behöva tillgång till patient- eller kunduppgifter. Sådan åtkomst styrs av CGM:s allmänna regler.
o Som standard finns inte åtkomst för fjärrstyrning, sådan åtkomst kan endast beviljas av kunden.
o Lösenord för åtkomst till kundens IT-system utfärdas endast för fjärrstyrning.
o Kritiska ingrepp säkras genom "4-ögon-principen" med minst två kvalificerade personer från CGM.
o Vi använder fjärrstyrningsverktyg som kräver att kunden aktivt beviljar åtkomst och låter kunden spåra insatser.
o Vid åtkomst för fjärrstyrning loggas data i CGM:s CRM-system. Följande data loggas: Ansvarig person, datum och tid, varaktighet, målsystem, fjärrstyrningsverktyg, kortfattad beskrivning av det uppdrag som utförts och vid kritiska ingripanden även namnet på den/de ytterligare personer som konsulterats vid tillämpning av "fyra-ögon-principen".
o Inspelning av fjärrstyrningssessioner är förbjuden.
Dataskyddsförordningen (GDPR) slår fast ett antal rättigheter för den registrerade gentemot personuppgiftsansvarig och personuppgiftsbiträde:
· Rätt till information om lagring av sina personuppgifter, och rätt till tillgång till dessa uppgifter.
· Rätt till rättelse, att radera, att begränsa behandling, till dataportabilitet och rätt att invända mot behandling av sina personuppgifter.
· Rätt att återkalla sitt samtycke närsomhelst. Återkallelsen får framtida effekt.
· Rätt att lämna in ett klagomål hos den ansvariga tillsynsmyndigheten om registrerade tror att personuppgiftsansvarig eller personuppgiftsbiträde behandlar den registrerades personuppgifter olämpligt.
Den registrerade ska i första hand vända sig till den personuppgiftsansvarige för att utöva dessa rättigheter. Förhållandet mellan CGM Sweden och kund avseende ställningen som personuppgiftsansvarig eller personuppgiftsbiträde regleras i separata avtal.
Regelefterlevnad av dataskyddsreglerna beskrivna häri granskas regelbundet och kontinuerligt av CGM.
Om CompuGroup Medical Sweden/Lorensbergs Communication skulle få ett formellt klagomål kommer företaget att kontakta klagomannen för att lösa eventuella problem i samband med behandlingen av personuppgifter.
CompuGroup Medical Sweden/Lorensbergs Communication förbinder sig att samarbeta med den behöriga förvaltningen, inklusive tillsynsmyndigheten.
Notera att denna dataskyddsförklaring kan komma att rättas och kompletteras. Vid väsentliga ändringar publicerar vi ett detaljerat meddelande. Varje version av denna dataskyddsförklaring kan identifieras genom dess datum och versionsnummer i förklaringens sidfot. Dessutom arkiveras alla tidigare versioner av denna dataskyddsförklaring och görs tillgängliga av den dataskyddsansvarige på begäran.
CompuGroup Medical Sweden
Lilla Bommen 4a
SE-41104 Göteborg
Sverige
Dataskyddsombud
Frågor rörande behandlingen av personuppgifter i CGM J4 ska skickas till systemadministratören för aktuell kund eftersom kunden är personuppgiftsansvarig för uppgifter i systemet. När så är lämpligt kan systemadministratören eller det egna dataskyddsombudet vidarebefordra frågan till dataskyddsombudet på CGM Sweden på mailadressen:
Integritetsskyddsmyndigheten, IMY
Telefon: +46 (0) 8-657 61 00
E-post: imy@imy.se