Målet är att du ska känna dig trygg med hur vi behandlar dina uppgifter. Har du frågor är du välkommen att kontakta oss – se avsnittet Kontaktinformation.
Plastikakademin AB värnar om din personliga integritet. Oavsett om du besöker vår Webbplats, kontaktar kliniken eller är patient hos oss, hanteras dina personuppgifter med respekt och i enlighet med gällande lagar. Vi strävar efter att förklara vår hantering på ett lättbegripligt sätt och med en vänlig ton. Nedan följer information om hur vi samlar in, använder och skyddar dina uppgifter. Observera: Vi säljer aldrig dina personuppgifter eller vidareförmedlar dina kontaktuppgifter till någon tredje part.
Vår hantering av personuppgifter sker enligt vid var tidpunkt gällande lagstiftning såsom t.ex.:
Personuppgiftsansvarig: Plastikakademin AB (org.nr 556999-3743), Brigadgatan 4 (vån 2), 587 58 Linköping, är ansvarig för behandlingen av personuppgifter som Plastikakademin själv utför inom verksamheten. Klinikens verksamhetschef är utsedd att säkerställa att all hantering följer gällande regler, och fungerar som kontaktperson i dataskyddsfrågor.
Observera: I de fall din vård hos oss utförs av en fristående konsultläkare som samarbetar med Plastikakademin under vårt varumärke, är det den konsultläkarens eget vårdbolag som är personuppgiftsansvarig för den behandlingen (nedan Läkarkonsultbolag). Detta innebär att det bolaget ansvarar för journalföring, patientsäkerhet och hantering av dina personuppgifter för just den vården – inte Plastikakademin AB. Din läkare är skyldig att informera dig om hen representerar en annan vårdgivare när du får vården, men vi vill redan här klargöra detta så att du vet hur dina uppgifter hanteras. I de fall det i nedanstående policy står omnämnt ”vi” så avses både Plastikakademin och Plastikakademins samarbetspartners (Läkarkonsultbolag).
Plastikakademin samarbetar för närvarande med nedanstående fristående bolag som alla verkar under Plastikakademins varumärke men i praktiken fungerar som egna vårdgivare med de skyldigheter och ansvar som följer.
Kratz Medical AB (org.nr 556643-5839)
Linick Medica AB (org.nr 556649-9256)
Kirurgicentrum Öresund AB (org.nr 556998-5954)
Kontaktuppgifter: Om du har frågor om denna policy eller vill utöva dina rättigheter (se Dina rättigheter nedan), kan du kontakta verksamhetsansvarig:
Vi besvarar din förfrågan så snart som möjligt och senast inom lagstadgad tid. Du har också rätt att vända dig till Integritetsskyddsmyndigheten (IMY) om du anser att vi hanterat dina personuppgifter felaktigt.
Vår verksamhet bedrivs på www.plastikakademin.se (nedan kallad Webbplats, Webbplatsen).
När du besöker Webbplatsen samlar vi in viss information om ditt besök för att Webbplatsen ska fungera bra och för att vi ska kunna förbättra våra tjänster. Här beskriver vi vad som samlas in och hur det används.
Kakor (cookies): På vår Webbplats använder vi kakor, det vill säga små textfiler som lagras på din enhet.
Detta avsnitt gäller dig som interagerar med oss utan att nödvändigtvis vara patient – t.ex. om du ställer frågor, kontaktar oss för konsultation, följer oss på sociala medier eller prenumererar på våra nyhetsbrev. Vi beskriver vilka uppgifter som kan samlas in i dessa fall och hur de används.
Om du kontaktar oss via telefon, e-post eller webbformulär samlar vi in de uppgifter du själv väljer att ge oss. Det kan inkludera namn, kontaktuppgifter (telefonnummer, e-postadress, adress, personnummer) och innehållet i ditt meddelande. Vi använder dessa uppgifter enbart för att hantera din förfrågan och återkomma med svar eller information du efterfrågat.
Ändamål: Att kunna kommunicera med dig, svara på frågor, ge rådgivning om våra behandlingar samt boka in konsultationer om du önskar det.
Rättslig grund: Vår hantering baseras på en intresseavvägning där vi har ett berättigat intresse av att hjälpa dig som har kontaktat oss. Genom att du själv frivilligt tar kontakt samtycker du också till att vi behandlar de personuppgifter du lämnat för det uttryckliga syftet att assistera dig.
Lagring: Vi sparar korrespondens och kontaktuppgifter så länge det är nödvändigt för att hantera ditt ärende. Om du exempelvis bokar en tid hos oss kommer informationen sparas åtminstone tills din konsultation eller behandling är genomförd och eventuell uppföljning klar. Om du inte går vidare till att bli patient eller kund, behåller vi inte dina kontaktuppgifter längre än nödvändigt efter att din fråga är besvarad. Normalt raderas eller anonymiseras sporadiska förfrågningar efter avslutat ärende inom ett år, förutom ifall fortsatt dialog pågår.
Vi delar inte information från dina förfrågningar med någon utanför kliniken. Endast behörig personal (t.ex. receptionspersonal eller medicinsk personal om din fråga gäller medicinsk rådgivning) tar del av dina uppgifter. All personal omfattas av sekretess och tystnadsplikt, vilket innebär att de inte obehörigen får sprida det du berättar.
Om du kontaktar oss via sociala medier (t.ex. Facebook, Instagram eller TikTok) behandlas dina uppgifter för att kunna svara på dina frågor. För att hantera inkommande meddelanden använder vi Boxly.ai, ett verktyg som samlar våra kanaler i en gemensam inkorg. Boxly behandlar uppgifter endast för vår räkning och enligt avtal som uppfyller GDPR. Observera att respektive plattform (t.ex. Meta eller TikTok) också är självständigt ansvarig för sin behandling av dina uppgifter enligt deras egna integritetspolicyer.
Om du har anmält dig till vårt nyhetsbrev eller samtyckt till marknadsföringsutskick, hanterar vi dina kontaktuppgifter (främst namn och e-postadress) för att kunna skicka dig uppdateringar, nyheter och erbjudanden från Plastikakademin.
Hur samlas uppgifterna in? Vanligen genom att du själv fyller i ett formulär på vår Webbplats för prenumeration, eller muntligen/skriftligen samtycker till nyhetsbrev i samband med ett besök hos oss. Vi kan också i vissa fall lägga till existerande patienter eller kontakter till utskickslistor, men bara om vi fått klartecken från dig (t.ex. att du kryssat i en ruta om att ta emot nyhetsbrev).
Ändamål: Att ge dig relevant information om vår verksamhet, nya behandlingar, kundevent, erbjudanden eller annan marknadsföringskommunikation som kan intressera dig som har visat intresse för våra tjänster.
Rättslig grund: Behandlingen baseras på ditt samtycke. Det betyder att vi enbart skickar nyhetsbrev eller reklam via e-post/SMS om du gått med på det. Du kan när som helst välja att avbryta dessa utskick (återkalla ditt samtycke).
Hur avslutar man prenumerationen? Varje nyhetsbrev vi skickar innehåller en länk för att avregistrera sig. Klickar du på den slutar vi skicka fler nyhetsbrev till dig. Du kan också när som helst kontakta oss direkt (via telefon eller e-post) och meddela att du inte vill ha fler utskick, så ordnar vi det omgående.
Lagring och radering: Vi behåller dina kontaktuppgifter för marknadsföring så länge du är aktiv prenumerant. Om vi märker att en e-postadress slutar fungera eller att du inte öppnat våra utskick under en längre tid kan vi också ta bort dig från listan som en extra försiktighetsåtgärd. Vid avregistrering tar vi bort eller anonymiserar dina uppgifter från utskickslistan inom kort. Vi kan spara dokumentation av att du en gång gett samtycke (för att kunna visa det vid behov), men inga utskick kommer att ske efter att du avböjt vidare kommunikation.
Vi använder en extern e-posttjänst för att hantera nyhetsbrevsutskick (verktyg kan variera, men alltid med dataskyddsavtal på plats). Denna tjänsteleverantör får endast använda dina uppgifter för vår räkning och inte för egna syften. Precis som med all vår kommunikation delar eller säljer vi inte din e-postadress till andra företag för deras marknadsföring.
Detta avsnitt riktar sig till dig som blir patient hos Plastikakademin, det vill säga om du genomgår en konsultation och/eller behandling hos oss. Här förklarar vi vilken typ av information vi samlar in i samband med vården, varför vi behöver den, hur den hanteras och hur länge den bevaras. Eftersom hälsouppgifter anses som känsliga personuppgifter enligt GDPR, och dessutom omfattas av patientdatalagen, har vi mycket strikta rutiner för säkerhet och sekretess kring dessa uppgifter.
Extern vårdgivare i vissa fall: Ibland kan din konsultation eller operation hos Plastikakademin utföras av en legitimerad specialistläkare som driver sitt eget vårdföretag i samarbete med oss. I sådana fall är det det företaget som formellt är din vårdgivare och därmed ansvarar för din patientjournal och övriga personuppgifter kopplade till behandlingen. Plastikakademin AB är då inte personuppgiftsansvarig för just den medicinska behandlingen. Din läkare är vid din inledande kontakt skyldig att informera dig om vilken vårdgivare som formellt sett ansvarar för din vård, men redan här vill vi förklara detta så att du vet vem som hanterar dina uppgifter. Exempel på sådana vårdgivare finns under rubriken Läkarkonsultbolag ovan.
När du blir patient hos oss behöver vi samla in uppgifter om dig för att kunna ge dig god och säker vård. Dessa uppgifter inkluderar i huvudsak:
Identitets- och kontaktinformation: exempelvis namn, personnummer, adress, telefonnummer och e-postadress. Dessa uppgifter behövs för att vi entydigt ska kunna identifiera dig, kalla dig till bokade tider, och kontakta dig inför eller efter behandling (t.ex. uppföljningar eller påminnelser om återbesök).
Hälsouppgifter och medicinsk dokumentation: detta är kärnan i patientjournalen och kan omfatta anamnes (sjukdomshistoria), uppgifter om tidigare och nuvarande hälsotillstånd, allergier, läkemedel, resultat av eventuella undersökningar eller provtagningar, operationsberättelser samt journalanteckningar som läkarna och sjuksköterskorna skriver vid konsultation och behandling.
Behandlingsinformation: uppgifter om de ingrepp eller behandlingar du genomgår hos oss, planerade och utförda åtgärder, datum för besök, samt uppföljningsdata (t.ex. läkningsprocess, eventuella komplikationer, rekommendationer för eftervård).
Fotografier: I många fall tar vi före- och efterbilder i anslutning till din behandling. Dessa fotografier utgör en del av din medicinska dokumentation och hjälper både dig och oss att följa resultatet av ingreppet. (Mer information om hur vi hanterar fotografier finns i avsnittet Fotohantering nedan.)
Närstående eller anhörig-info: Ibland kan vi behöva notera kontaktuppgifter till en närstående (t.ex. om du anger en anhörig kontaktperson inför en operation) eller om annan vårdgivare behöver kontaktas. Sådan information antecknas endast om det är relevant för din vård.
Ekonomiska uppgifter: Om du betalar för en behandling samlar vi in nödvändiga betalningsuppgifter. Det kan röra sig om fakturaunderlag, betalningshistorik, eller information som krävs för att administrera eventuella delbetalningar eller krediter. Exempel: fakturaadress, betalningssätt, samt transaktionsdetaljer från kortbetalning (OBS: vi lagrar inte kortnummer eller känsliga betalkortsdata själva, utan sådant hanteras av vår betalningsleverantör – se nedan).
Övrigt som du själv lämnar: All information du aktivt ger oss i samband med din vård, exempelvis särskilda önskemål om behandling, feedback vid uppföljning, eller andra personliga förhållanden du anser relevanta, kan komma att dokumenteras i din journal så att all vårdpersonal har korrekt underlag för att hjälpa dig.
Vi samlar in dessa uppgifter direkt från dig (via hälsodeklaration, konsultationssamtal m.m.) eller skapar dem internt som en följd av vården (t.ex. journalanteckningar skrivna av våra kirurger). I vissa fall kan vi få kompletterande medicinsk information från andra vårdgivare – t.ex. om du remitterats till oss eller om vi behöver samverka med din ordinarie läkare kring något medicinskt underlag. Då inhämtas sådana uppgifter i enlighet med gällande lagstiftning och med ditt samtycke där det krävs.
Vi behandlar dina patientuppgifter för uttryckliga medicinska ändamål. Framför allt behövs uppgifterna för att vi ska kunna erbjuda dig en trygg och högkvalitativ vård. Här är de huvudsakliga ändamålen:
För att ge vård och behandling: Alla relevanta personuppgifter används för planering och genomförande av din vård. Till exempel använder vi din sjukdomshistoria och journalnoteringar för att bedöma vilka åtgärder som är lämpliga, och dina kontaktuppgifter för att skicka kallelser och påminnelser.
Rättslig grund: detta är nödvändigt för att fullgöra avtalet med dig som patient (d.v.s. att faktiskt utföra den behandling du bokat) och för att vi som vårdgivare ska kunna uppfylla våra lagstadgade skyldigheter kring patientsäkerhet och journalföring. Notera att GDPR tillåter behandling av känsliga hälsouppgifter när det sker för att ge hälso- och sjukvård och under sekretess (GDPR art. 9.2 h).
Journalföring enligt lag: En patientjournal måste föras för varje patient enligt patientdatalagen. Den vårdgivare som ansvarar för din vård (antingen Plastikakademin AB eller en av våra konsultläkare, se Läkarkonsultbolag ovan) kommer därför att föra en journal med all information som behövs för en god och säker vård. Detta inkluderar att dokumentera diagnoser, behandlingsåtgärder, ordinationer och relevant kommunikation. Rättslig grund: lagen kräver denna hantering. Vi har inte något val att avstå från att journalföra, och du kan inte heller begära att vi utelämnar saker som enligt lag ska stå i journalen.
Administration och planering: Vissa uppgifter behandlas för att hantera den mer praktiska sidan av vården – som tidsbokning, schemaläggning av personal, intern statistik över hur många ingrepp vi gör, etc. Detta görs för att vår verksamhet ska fungera smidigt och i slutändan för att du som patient ska få så god service som möjligt (t.ex. korta väntetider och bra uppföljning). Rättslig grund: oftast vårt berättigade intresse av att bedriva en kvalitativ vårdverksamhet. Sådan statistik hanteras på en aggregerad nivå eller med pseudonymisering när det är möjligt, så att inte mer persondata än nödvändigt används. Du har alltid rätt att invända om du anser att vi skulle behandla uppgifter i onödan under denna grund (se Dina rättigheter).
Kvalitetsuppföljning och patientsäkerhet: För att säkerställa hög kvalitet i vår verksamhet använder vi vårt journalsystem för intern uppföljning, till exempel genom kvalitetskontroller eller audit av slumpmässigt utvalda journaler. Detta sker alltid under strikt sekretess och endast av behörig vårdpersonal. Syftet är att förbättra vården över tid, upptäcka eventuella brister och öka patientsäkerheten.
Plastikakademin deltar även i det nationella Bröstimplantatregistret (BRIMP, www.brimp.se), som är ett kvalitetsregister för operationer som omfattar bröstimplantat – såsom t.ex. inläggning, uttag, justeringar och eventuella komplikationer. Vårt deltagande i BRIMP är frivilligt och sker som en del av vårt kvalitetsarbete och i enlighet med rekommendationer från vår branschorganisation Svensk Förening för Estetisk Plastikkirurgi (SFEP).
Som patient registreras dina relevanta uppgifter i BRIMP i samband med att du genomgår ett bröstimplantatsingrepp hos oss. Du har dock alltid rätt att tacka nej till registrering (opt-out) eller i efterhand begära att dina uppgifter tas bort. Du kan även kontakta BRIMP direkt för att begära utdrag av dina registrerade uppgifter.
Om vi använder uppgifter för forskningsändamål eller för andra kvalitetsregister som inte är direkt kopplade till din vård, sker detta endast i anonymiserad form eller efter särskilt samtycke i enlighet med gällande regler.
Kommunikation och support: Vi kan behöva använda dina kontaktuppgifter för att kommunicera med dig som patient utöver själva vårdtillfället – exempelvis för att skicka hem instruktioner inför en operation, skötselråd efteråt, eller för att höra av oss vid uppföljning. Även utskick av enkäter för att mäta din nöjdhet eller liknande kan förekomma; du väljer själv om du vill svara på sånt. Utskick sker antingen direkt med e-post, SMS, eller via något av våra digitala journalsystem (se nedan).
Lagstadgad rapportering: I vissa fall måste vårdgivare rapportera uppgifter till myndigheter eller register enligt lag. Exempel kan vara till Socialstyrelsen, IVO (Inspektionen för Vård och Omsorg) eller kvalitetsregister inom plastikkirurgi om så krävs. Vi följer då dessa lagkrav, och rapporteringen sker på ett sätt som är förenligt med sekretessreglerna.
Sammanfattningsvis stödjer sig vår patientdatalagring på flera lagliga grunder: För det mesta kombineras avtalsgrund (för att ge den vård du beställt) och rättslig förpliktelse (eftersom hälso- och sjukvård måste följa PDL och andra lagar). I de fall vi vill göra något utöver detta, t.ex. använda dina kontaktuppgifter för att skicka information som inte är nödvändig för vården, eller använda bilder i marknadsföring, så kommer vi att inhämta ditt samtycke i förväg.
Plastikakademin använder både traditionella pappersjournaler och moderna digitala journalsystem för att dokumentera vården. Vi försäkrar att alla system vi använder uppfyller höga säkerhetskrav och att dina uppgifter skyddas från obehörig åtkomst.
Digitala journalsystem: Våra huvudsakliga digitala system för journal- och klinikadministration inkluderar Meridiq, Adoreal, Crisalix och FileMaker. Meridiq och Adoreal är exempel på säkra molnbaserade journalsystem som är anpassade för kliniker inom estetisk vård. Crisalix används främst för 3D-simuleringar och planering inför estetiska ingrepp (t.ex. för att visa dig som patient möjliga resultat), vilket innebär att fotografier och vissa mått kan komma att behandlas där i samband med konsultation. FileMaker är ett databasverktyg som vi historiskt har använt för vissa administrativa ändamål.
Personuppgiftsbiträden: När vi använder externa system som de ovan nämnda, ser vi till att det finns personuppgiftsbiträdesavtal med leverantörerna. Det betyder att de åtar sig att hantera informationen enligt våra instruktioner och inte för egna syften. De får inte ta del av din journal förutom att lagra den och visa den för behörig vårdpersonal. I våra avtal med systemleverantörerna garanteras att data lagras inom EU/EES eller med likvärdigt skydd.
Åtkomst och behörighet: Endast behörig sjukvårdspersonal hos Plastikakademin har åtkomst till journalsystemen. Med behörig menas de som är direkt involverade i din vård, såsom plastikkirurger, anestesiologer, sjuksköterskor samt nödvändig administrationspersonal (t.ex. medicinsk sekreterare och verksamhetsansvarig). Alla som hanterar patientjournaler har tystnadsplikt enligt lag och interna policies. Vi arbetar efter principen om minst ingripande åtgärd – det vill säga att var och en bara kan se de uppgifter som krävs för deras arbetsuppgift. Systemen är lösenordsskyddade, kräver ofta tvåfaktorsautentisering, och alla inloggningar och läsningar av journaler loggas (så att det i efterhand går att se vem som tittat på vad). Att obehörigen gå in i en journal är ett allvarligt regelbrott som kan få arbetsrättsliga och juridiska konsekvenser. Du som patient har rätt att begära ett loggutdrag som visar vilka som har läst din journal och när, enligt 4 kap. 3 § patientdatalagen.
Pappersjournaler: Viss information kan förekomma på papper, t.ex. ifyllda hälsodeklarationer eller samtyckesblanketter som du undertecknar. Dessa handlingar förvaras säkert under lås när de inte används och scannas ofta in i det digitala systemet. Papperskopior förstörs på ett säkert sätt (shreddas) när de inte längre behöver bevaras i original.
Genom att upprätthålla dessa system och rutiner säkerställer vi att din patientinformation är åtkomlig för rätt personer, vid rätt tillfälle, samtidigt som den är skyddad mot obehöriga. Detta är en viktig del av patientdatalagen och något vi tar på största allvar.
Huvudregeln är att uppgifter ur din journal stannar hos oss på kliniken. Vi lämnar inte ut information om dig till utomstående om det inte finns en tydlig medicinsk anledning eller ett lagkrav. Nedan följer de situationer där dina personuppgifter ändå kan behöva delas med tredje parter, och hur vi i så fall gör det på ett kontrollerat sätt:
Andra vårdgivare vid remiss eller konsultation: Om ditt ärende kräver att vi samverkar med en annan vårdgivare (t.ex. om vi remitterar dig till en specialist, eller om du kommer till oss på remiss), kommer relevanta journaluppgifter att överföras till den vårdgivaren. Detta görs för din fortsatta vårds skull och i enlighet med sekretesslagstiftningen – mottagande vårdpersonal har samma tystnadsplikt som vi. Vi informerar dig i de fall en remiss skrivs eller om vi på annat sätt kommunicerar med en extern vårdgivare om dig.
Andra vårdgivare inom vårt samarbete (Läkarkonsultbolag): Vi samarbetar med fristående specialistläkare som utför behandlingar under namnet Plastikakademin men via sina egna bolag. Om din vård sker hos en sådan läkare kommer relevanta journaluppgifter och information att hanteras av det läkarens vårdbolag i deras journalsystem, eftersom det bolaget är din vårdgivare och personuppgiftsansvarig för behandlingen. Den läkare som behandlar dig är skyldig att informera dig om vilken vårdgivare det rör sig om i dessa fall, och den läkaren har samma tystnadsplikt samt skyldighet att skydda dina uppgifter enligt lag som vi har. Du hittar dessa namngivna under rubriken Läkarkonsultbolag ovan.
Laboratorier eller medicinska samarbetspartners: För vissa ingrepp kan prover behöva skickas till labb (t.ex. blodprover eller vävnadsprover). Då följer med provet de nödvändiga identifierande uppgifterna (som ditt födelsedatum eller en kod) så att resultatet kan kopplas till dig. Labben ser dock inte hela din journal, bara det som är relevant för analysen. De lyder under medicinsk sekretess.
Försäkringsbolag eller finansieringsbolag: Om din behandling täcks av en sjukvårdsförsäkring eller om du väljer att nyttja en finansieringslösning (t.ex. delbetalning via ett kreditbolag som Medical Finance), kan vi behöva lämna ut vissa uppgifter till det bolaget. Det rör sig då främst om information som bekräftar att en viss behandling ägt rum och kostat ett visst belopp, eller uppgifter för kreditprövning. Vi delar endast det nödvändiga – exempelvis behandlingsdatum, typ av ingrepp och kostnad, samt ditt personnummer om finansbolaget behöver det för kreditkontroll. Dessa bolag är självständigt personuppgiftsansvariga för sin hantering, vilket innebär att de också har egna skyldigheter att följa GDPR. Vi säkerställer att de förstår att uppgifterna kommer från en vårdkontakt (vilket i sig medför krav på sekretess hos dem med).
Betalningsförmedlare: När du betalar med kort hanteras transaktionen genom en extern betalningsleverantör (exempelvis Adyen N.V., som är PCI-DSS-certifierad). Vi själva lagrar inte dina kortuppgifter. Betalningsleverantören får information om belopp, ditt kortnummer etc., för att genomföra betalningen, och de kan i samband med detta ha tillgång till ditt namn och orderreferens. Adyen agerar som egen personuppgiftsansvarig för betalningsuppgifterna och följer både GDPR och strikta säkerhetsstandarder för betalningar.
Myndigheter: I sällsynta fall kan vi enligt lag vara skyldiga att lämna ut information, t.ex. vid en tillsyn av IVO, en begäran från Socialstyrelsen, eller om du begär ersättning via patientförsäkringen och utredningen kräver journalkopior. Innan vi lämnar ut något ser vi alltid till att det finns lagstöd och att mottagaren har rätt att få det (och vi informerar dig i möjligaste mån, om inte det försvårar en myndighetsutredning).
Utöver ovanstående situationer använder vi inte dina patientuppgifter för några andra syften och delar dem inte med andra utomstående. Vi säljer aldrig information om våra patienter vidare. Alla eventuella samarbetspartners (IT-leverantörer, laboratorier, finansbolag etc.) har avtal med oss som reglerar hur de får behandla uppgifterna – de får inte missbruka dem eller använda dem för egna ändamål.
Fotografier är en viktig del av verksamheten inom estetisk och rekonstruktiv kirurgi eller andra delar av vår verksamhet. De hjälper oss att dokumentera utgångsläget och resultatet av behandlingar. Samtidigt utgör bilder på en person personuppgifter, särskilt om ansikte eller andra kännetecken syns. Huvudregeln är att relevanta före- och efterbilder dokumenteras som en del av journalen. I undantagsfall kan omfattningen av dokumentationen diskuteras med ansvarig läkare. Här förklarar vi hur vi hanterar foton vi tar på våra patienter:
Del av patientjournalen: Alla före- och efterbilder som tas av kliniken i medicinskt syfte behandlas som journalhandlingar. Det betyder att de lagras säkert i journalsystemet och omfattas av samma sekretess som övriga journaluppgifter. Endast behörig vårdpersonal kan se dem, och syftet är att ha underlag för din vård (planering av ingrepp, dokumentation av resultat, uppföljning över tid). Till exempel tar vi ofta bilder före en operation för att kunna jämföra med resultatet vid efterkontroller. Dessa bilder får inte spridas eller visas för andra utan ditt tillstånd.
Intern användning för vårdkvalitet: I vissa fall kan bilder användas internt i utbildningssyfte eller för medicinska konferenser inom kliniken, t.ex. för att flera läkare gemensamt ska bedöma ett behandlingsresultat. Även då hanteras de under sekretess och patientens identitet skyddas så långt det går.
Publicering för marknadsföring kräver samtycke: Ibland frågar patienter om deras före/efter-bilder kan användas som referens för andra, eller så kanske vi vill fråga dig om lov att visa bilderna för att hjälpa andra patienter att förstå möjliga resultat. Inga bilder som kan identifiera dig kommer dock någonsin att användas externt (på vår Webbplats, i sociala medier, reklam eller broschyrer) utan att vi först inhämtat ditt uttryckliga skriftliga samtycke vilket kan ske skriftligen eller digitalt med e-post. Det är helt frivilligt att ge ett sådant samtycke, och oavsett ditt beslut påverkar det inte den vård du får. Om du samtycker till fotopublicering kan du när som helst ångra dig senare – meddela oss så tar vi bort bilden från vidare användning.
Anonymisering: I vissa fall kanske vi vill visa upp resultat men utan att röja identitet, t.ex. genom att beskära bilder så att ansikte inte syns eller ögon är täckta. Vi kommer ändå att be om ditt godkännande, eftersom även en kroppsbild (t.ex. före/efter på en näsa eller buk) i kombination med beskrivning kan uppfattas som en personuppgift. Vi tar inga risker här – ditt privatliv går först.
Lagring av bilder: Eftersom bilderna är en del av journalen, lagras de i minst tio år precis som andra journaluppgifter. Om du har invändningar mot att vi alls sparar bilder (vissa patienter kan tycka att det känns känsligt), tala med oss – i undantagsfall kan man diskutera hur mycket som behöver dokumenteras. Dock är grundregeln att relevanta bilder behövs för att säkerställa kvalitet och möjlighet till medicinsk bedömning, och vi följer Socialstyrelsens rekommendationer kring journalföring av bilder.
Sammanfattningsvis: Dina bilder tillhör dig, och vi lånar dem endast för att förbättra din vård och – om du vill – för att kunna visa upp exempel på vårt arbete. Vi frågar först, och respekterar ditt beslut. Alla bilder skyddas lika strängt som resten av din journal.
Vi strävar efter att inte lagra personuppgifter längre än nödvändigt. Olika typer av data kan omfattas av olika lagkrav och praktiska behov som styr lagringstiden:
Patientjournaler: Enligt patientdatalagen måste vi spara journaluppgifter minst tio (10) år efter det att den sista anteckningen gjordes. I praktiken innebär det att om din senaste kontakt med oss var år 2025, så kommer din journal normalt tidigast att gallras (tas bort) år 2035 eller senare. Vi kan spara den längre om det finns särskilda skäl, men aldrig kortare än tio år. (Om kliniken mot förmodan skulle upphöra med verksamheten, ansvarar vi ändå för att dina journaler bevaras i minst 10 år och att de överlämnas till arkiv eller annan vårdgivare enligt gällande rutiner.)
Bokförings- och betalningsdata: Uppgifter kopplade till ekonomi, t.ex. fakturor, kvitton och betalningshistorik, sparas enligt Bokföringslagens krav i sju (7) år efter utgången av det kalenderår då räkenskapsåret avslutades. Det betyder exempelvis att en faktura från 2025 måste sparas t.o.m. utgången av 2032. Dessa uppgifter hålls åtkomliga endast för vår ekonomiavdelning/revisor och delas inte externt annat än till myndighet vid revision.
Kontaktförfrågningar (icke-patient): Om du bara kontaktat oss med frågor men inte blivit patient, behåller vi som nämnt ovan dina uppgifter bara tills ärendet är avslutat. Smånoteringar (som e-postkonversation) rensas ut regelbundet, normalt inom ett år.
Nyhetsbrevslistor: Dina uppgifter för utskick finns kvar så länge du är prenumerant. Vid avanmälan tas de bort omedelbart från vår sändlista (med undantag för eventuell sparad information om att du tidigare gett samtycke, vilket i så fall lagras högst ett par år extra för att vi ska kunna visa det om det skulle ifrågasättas).
Webbplatsdata: Analysdata från Google Analytics eller liknande verktyg anonymiseras och aggregeras vanligtvis, men råa besöksloggar raderas efter några månader. Kakor i din webbläsare lagras som längst i ett par år (många försvinner tidigare eller vid sessionens slut, beroende på typ). Du kan också själv radera kakor när du vill.
Övrigt: Om lag kräver en viss lagringstid följer vi såklart den. Om inte, så utgår vi från principen att inte spara onödigt. När uppgifter inte längre behöver behandlas för det syfte de samlades in, raderar vi dem eller anonymiserar dem så att de inte längre kan kopplas till dig. Vi dokumenterar våra gallringsrutiner i vår interna datahanteringspolicy.
Notera att dina rättigheter inkluderar att du kan begära radering av vissa uppgifter (se nedan), men om lag kräver att vi sparar dem kan vi inte radera dem direkt även om du begär det. Exempel: vi kan inte ta bort din patientjournal tidigare än 10 år enligt lag, och vi kan inte radera transaktionsdata som hör till bokföringen innan 7 år har gått. I sådana fall kommer vi istället se till att uppgifterna bara används för att uppfylla lagen och inget annat.
Som registrerad (d.v.s. den person som uppgifterna handlar om) har du ett flertal rättigheter enligt GDPR. Vi vill att du ska känna till dem och hur du kan använda dem:
Rätt till information och tillgång: Du har rätt att få bekräftelse på ifall vi behandlar personuppgifter om dig, och i så fall få tillgång till dessa uppgifter samt information om hur vi behandlar dem. Detta kallas ofta för rätten till registerutdrag. På din begäran kommer vi att ta fram en sammanställning av de personuppgifter vi har om dig och en förklaring av ändamålen, vilka vi eventuellt har delat dem med, hur länge de ska lagras etc. För patientspecifika uppgifter innebär detta i praktiken rätten att få en kopia av din journal. Registerutdrag/kopia lämnas kostnadsfritt en gång (vid upprepade eller orimliga begäranden kan en avgift tas ut enligt GDPR).
Rätt till rättelse: Om du upptäcker att vi har felaktiga eller ofullständiga uppgifter om dig, har du rätt att få dessa korrigerade. Det kan t.ex. vara att ditt namn är felstavat eller att kontaktinformationen ändrats. När det gäller medicinska uppgifter i journalen får vi av juridiska skäl inte radera något i efterhand, men vi kan rättelsemärka journalen och tillföra din korrigerande uppgift så att det framgår vad som är korrekt.
Rätt till radering ("rätten att bli glömd"): Du har i vissa fall rätt att be oss radera dina personuppgifter. Om du t.ex. har gett samtycke till något (som nyhetsbrev eller bildpublicering) och ångrar dig, har du rätt att få de uppgifterna borttagna. Vi ska också radera uppgifter som inte längre behövs för sitt ändamål. Undantag: Denna rätt är inte absolut. Vi kan inte radera uppgifter som vi enligt lag är skyldiga att spara. Det betyder att patientjournaler och ekonomiska transaktioner inte kan raderas på begäran innan lagringstiden löpt ut. Vi kan inte heller radera uppgifter som behövs för att fastställa, göra gällande eller försvara rättsliga anspråk. Men sådana uppgifter kommer då bara att bevaras för det ändamålet och inget annat.
Rätt till begränsning av behandling: Du har rätt att be oss begränsa behandlingen av dina uppgifter under vissa omständigheter. Det innebär att vi markerar uppgifterna så att de bara får användas till vissa avgränsade syften. Du kan begära begränsning t.ex. om du anser att uppgifterna är felaktiga (medan vi utreder detta), eller om du invänt mot en behandling baserat på berättigat intresse (medan vi kontrollerar intresseavvägningen). Om behandlingen har begränsats får vi utöver lagring i princip inte göra något mer med uppgifterna utan ditt samtycke, förutom om det behövs för rättsliga anspråk eller för att skydda någon annans rättigheter.
Rätt att göra invändningar: Du har alltid rätt att invända mot behandlingar som stödjer sig på vårt berättigade intresse (artikel 6.1 f GDPR). Om du t.ex. inte vill att vi använder vissa data för intern statistik eller marknadsföring som vi bedömt är ett berättigat intresse, kan du meddela oss detta. Då måste vi antingen upphöra med behandlingen eller kunna påvisa tvingande berättigade skäl som väger tyngre än dina skäl. Invänder du mot direktmarknadsföring (t.ex. utskick av nyhetsbrev) så upphör vi givetvis med det omedelbart – det är inget vi kan överpröva.
Rätt till dataportabilitet: För de uppgifter du själv tillhandahållit oss och som vi behandlar med stöd av ditt samtycke eller för att fullgöra ett avtal, har du rätt att få ut dessa i ett strukturerat, maskinläsbart format, eller begära att vi överför dem till en annan tjänsteleverantör där det är tekniskt möjligt. I praktiken är detta mest relevant för enklare data som kontaktuppgifter eller bokningshistorik. Dina medicinska journaldata omfattas inte direkt av portabilitet (eftersom de behandlas med stöd av lagkrav, inte samtycke eller direktavtal), men du kan alltid få en kopia av journalen och ge till valfri annan läkare.
Rätt att återkalla samtycke: Om vi behandlar någon uppgift baserat på att du har samtyckt (t.ex. användning av din e-mail för nyhetsbrev, eller att vi får använda dina bilder i marknadsföring), så har du rätt att när som helst ta tillbaka ditt samtycke. Kontakta oss så ordnar vi det genast. Återkallandet påverkar inte lagligheten i den behandling som redan skett men innebär att vi upphör med fortsatt behandling av just de uppgifter och det ändamål som samtycket gällde.
För att utöva dina rättigheter, kontakta oss (se Kontakt ovan). För vissa åtgärder, främst vid registerutdrag eller känsliga ändringar, kan vi behöva säkerställa din identitet – det kan ske genom t.ex. skriftlig undertecknad begäran eller identifiering med giltig legitimation vid besök. Detta är för att skydda din integritet så att vi inte lämnar ut uppgifter till fel person. Vi kommer att svara dig så snart som möjligt, vanligtvis inom 1 månad enligt GDPR:s krav. Om vi av någon anledning skulle behöva längre tid eller inte kan uppfylla en begäran (t.ex. radera en lagstadgad journal), meddelar vi dig skälen till detta.
Slutligen vill vi påminna om att du alltid har rätt att lämna eventuella klagomål kring vår personuppgiftsbehandling till Integritetsskyddsmyndigheten (IMY). IMY är tillsynsmyndighet i Sverige och du kan besöka deras Webbplats imy.se för att få information om hur man gör en anmälan. Vi hoppas dock att du i första hand vill prata med oss direkt så att vi kan reda ut eventuella missförstånd.
Vi vidtar tekniska och organisatoriska åtgärder för att skydda personuppgifter mot obehörig åtkomst, förlust eller annan otillåten hantering. Det innebär bland annat att vi använder kryptering, åtkomstkontroller och loggning i våra system samt utbildar personal i datasäkerhet och sekretess. Våra IT-leverantörer ansvarar för att genomföra säkerhetsgranskningar och vi uppdaterar löpande våra rutiner för att säkerställa att skyddsnivån är hög.
Tystnadsplikt: Som vårdgivare är sekretesslagstiftningen mycket sträng. All personal, inklusive administrativ personal, omfattas av lagstadgad tystnadsplikt (offentliga vårdgivare enligt Offentlighets- och sekretesslagen, privata vårdgivare genom avtal och etik). Att röja en patientuppgift för någon obehörig är inte bara skäl för disciplinär åtgärd utan också potentiellt ett lagbrott. Vi pratar aldrig om våra patienter på ett identifierbart sätt med utomstående. Internt diskuteras patientfall endast i professionellt syfte och bakom stängda dörrar.
Incidenthantering: Skulle det, mot förmodan, inträffa en personuppgiftsincident (t.ex. obehörig åtkomst, dataförlust eller liknande) har vi rutiner för att hantera det. Vi kommer att meddela berörda individer och rapportera till IMY inom 72 timmar om incidenten bedöms medföra risker för de registrerades rättigheter, allt enligt GDPR:s bestämmelser. Vi arbetar proaktivt för att undvika att incidenter uppstår.
Genom dessa åtgärder vill vi säkerställa att dina uppgifter hos oss är i trygga händer. Teknik och hotbild förändras ständigt, men vi uppdaterar löpande våra säkerhetsmetoder för att ligga steget före. Om du har specifika frågor om vår datasäkerhet är du alltid välkommen att fråga. Att du ska känna förtroende för hur vi skyddar din integritet är väldigt viktigt för oss.
Denna integritetspolicy kan komma att uppdateras vid behov – t.ex. om lagarna ändras eller om vi inför nya system som påverkar hur vi hanterar personuppgifter. Om vi gör väsentliga ändringar kommer vi att informera om det, antingen via vår Webbplats eller direkt till berörda (t.ex. via e-post till patienter/kunder om det är något viktigare). Den senaste versionen av policyn finns alltid publicerad på vår Webbplats. Längst upp i policyn anges från vilket datum den gäller.
Vi rekommenderar att du läser igenom policyn med jämna mellanrum för att hålla dig informerad. Fortsätter du att använda våra tjänster efter att en uppdaterad policy trätt i kraft, betraktar vi det som att du godtar ändringarna. Skulle någon förändring kräva ditt samtycke (om det t.ex. gäller ett nytt ändamål vi vill använda dina uppgifter till), så kommer vi såklart att inhämta det separat.
Tack för att du har tagit dig tid att läsa vår integritetspolicy. Din integritet och ditt förtroende betyder mycket för oss. Vi gör alltid vårt bästa för att skydda dina uppgifter och din rätt till privatliv. Har du fler frågor är du varmt välkommen att kontakta oss – vi finns här för att hjälpa dig!
Copyright © 2025 Plastikakademin
