1. Introduktion

ADDI Medical AB, org. nr. 559066-1608, (”ADDI”) är ett svenskt bolag som är experter på e-hälsa och digitalisering och som arbetar tillsammans med vårdgivarnas hälso- och sjukvårdspersonal mot ett gemensamt mål: att utveckla en mobil tjänst för att underlätta uppföljningen av behandlingseffekter, livsstilsförändringar, riskfaktorer och samsjukligheter. För oss på ADDI kommer du som individ och patient alltid först och i denna integritetspolicy (”Integritetspolicy”) redogör vi för vår hantering av dina personuppgifter i samband med att du upprättar ett digitalt Individkonto hos oss.

I detta dokument förklarar vi närmare hur ditt individuella konto hos ADDI (”Individkontot”) fungerar för dig som patient samt vem som ansvarar för den personuppgiftsbehandling som sker i samband med att du använder Individkontot. Vi beskriver även vilka personuppgifter om dig som behandlas när du använder Individkontot, hur vi behandlar personuppgifterna och varför. Vi beskriver också vilket lagstöd som motiverar behandlingen i fråga samt vad som gäller för eventuella utomstående parter som efter separat samtycke från dig kan komma att hantera personuppgifter om dig på aggregerad nivå (d.v.s. inte på sådan nivå att dina personuppgifter kan kopplas till dig som individ) för att vi ska kunna tillhandahålla Individkontot. Du får även information om dina rättigheter vad gäller den behandling som sker avseende dina personuppgifter och hur du kan gå tillväga för att utöva dessa rättigheter.

Bakgrund
I samband med att du sökt vård har du blivit erbjuden att använda en applikation för din telefon benämnd ”HOPE App” av din vårdgivare ”Vårdgivare”. I HOPE App blir du ombedd att registrera uppgifter kopplade till din fysiska och/eller psykiska hälsa. Du blir även ombedd att fylla i relevanta kontaktuppgifter.

De uppgifter som du registrerar i HOPE App lagras inte i telefonen utan på Vårdgivarens lagringsyta. Informationen är då tillgänglig för din Vårdgivare via webbapplikationen HOPE Practitioner. Din egen information överförs även till ditt personliga Individkonto. Det innebär att varje gång du tittar på historisk information som du själv registrerat i HOPE App hämtas denna information från ditt Individkonto. Individkontot förvaltas av ADDI. All information som överförs till ditt Individkonto ägs av dig och hanteras enligt bestämmelserna i Dataskyddsförordningen och Dataskyddslagen (2018:218). HOPE App är klassad som medicinteknisk produkt, Klass I (medicinskt informationssystem) och Läkemedelsverket är tillsynsmyndighet.

Personuppgifter som överförs från Vårdgivarens lagringsyta till Individkontot kallar vi nedan för ”Användardata”.

HOPE App tillhandahålls till dig som patient av din Vårdgivare. Det innebär att all information som du som patient registrerar i HOPE App förfogas över och lagras hos vården och hanteras av vården enligt Patientdatalagen, Patientdatalag (2008:355).

2. Vem är ansvarig för personuppgiftsbehandlingen i ditt Individkonto?

Det är ADDI som innehar de immateriella rättigheterna till och tillhandahåller Individkontot. Individkontot lagrar de uppskattningar och mätvärden som du själv genererat genom att HOPE App gett dig möjlighet att svara på frågor från Vårdgivare om symtom och levnadsvanor eller genom att du använt olika typer av enheter såsom digital våg, blodtrycksmätare, spirometer. ADDI är personuppgiftsansvarig för behandlingen av de personuppgifter som lagras på Individkontot, inklusive den behandling av personuppgifter som sker i samband med att du använder Individkontot.

Om du har frågor eller synpunkter på behandlingen av dina personuppgifter i samband med din användning av Individkontot är du alltid välkommen att kontakta oss och/eller vårt dataskyddsombud via vår hemsida på www.addimedical.se eller genom att skicka ett mejl till privacy@addimedical.se.

3. Varifrån samlar vi in de personuppgifter som behandlas om dig när du använder Individkontot?

3.1 De personuppgifter som behandlas är de som överförs från webbapplikationen HOPE Practitioner och som du själv registrerat via din användning av HOPE, samt viss teknisk information, såsom webbläsare och användarinställningar.

3.2 Information om vår användning av cookies framgår även av ADDIs policy för cookies.

4. Var lagras dina personuppgifter?

Individkontot är utvecklat, förfogas över och kontrolleras av ADDI. Individkontot utvecklas och kvalitetssäkras löpande. Dina personuppgifter som vi hanterar i samband med att du nyttjar Individkontot sparas inte i din mobil eller surfplatta. Dessa personuppgifter lagras istället på ditt Individkonto i ADDIs infrastruktur som tillhandahålls av ADDIs personuppgiftsbiträde. Personuppgifterna hanteras och lagras inom EU/EES och inga känsliga personuppgifter, såsom uppgifter relaterade till din hälsa, lagras utanför EU/EES i samband med nyttjandet av Individkontot.

5. Vilka personuppgifter behandlas när du använder Individkontot via HOPE App och varför?

5.1 ADDIs behandling av din Användardata

ADDI behandlar din Användardata (så som beskrivet ovan i avsnitt 3.1) för att kunna:

behandla din ansökan eller uppsägning av ditt Individkonto
ge dig behörighet att logga in och använda ditt Individkonto
upprätthålla korrekta och uppdaterade uppgifter om dig
låta dig ta del av historisk information som främst du själv registrerat
leverera Individkontot till dig enligt våra Allmänna villkor.
Vi stödjer oss på den rättsliga grunden ”Avtal” (artikel 6.1 b Dataskyddsförordningen, ”GDPR”) för att behandla dina personuppgifter genom det avtal (våra Användarvillkor) som du har ingått med ADDl, i syfte att kunna tillhandahålla Individkontot.

5.3 Tillhandahållande av supporttjänster relaterat till ditt nyttjande av Individkontot

ADDI kan komma att kommunicera med dig i din egenskap som användare av Individkontot. I detta ingår bl.a. att utreda tekniska supportärenden genom ADDIs supporttjänst via ADDIs digitala kanaler. Beroende på ditt ärende kan du komma att dela med dig av ytterligare Användardata som vi då behandlar i syfte att kunna hjälpa dig nyttja Individkontot på bästa sätt.

ADDI tillhandahåller support enligt ovan som en del av Individkontot (d.v.s. för att kunna fullgöra avtalet mellan dig och ADDI).

5.4 ADDI behandlar delar av din Användardata för att kunna förbättra Individkontot

ADDI behandlar delar av din Användardata (såsom beskrivet ovan i avsnitt 3.1) för följande ändamål:

Som underlag till förfrågan om att din använda din redan insamlade data i forskning. Vi kommer då först att be om ditt specifika samtycke innan sådan forskning får ske.
Som underlag för förfrågan om att undersöka möjligheterna för dig att ingå i forskningsstudie, i samband med erbjudanden med samarbetspartners till ADDI. Detta innefattar analys om dig och dina läkemedel, men även hur du använder Individkontot (t.ex. vilka sökningar på information du gjort och när de är gjorda). Vår analys innefattar även uppgifter om din ålder, bostadsort och om du är rökare. Vi kommer då först att be om ditt specifika samtycke innan sådan analys får ske.
ADDI tillvaratar även uppgifter om din användning av Individkontot i syfte att förbättra användarupplevelsen av Individkontot.
Förfrågan om eventuellt deltagande i forskningsstudier och/eller analys om dig och dina läkemedel sker först efter ditt specifika samtycke om att sådan förfrågan får framställas till dig. Givetvis kan du kan dra tillbaka ditt samtycke när du vill i enlighet med avsnitt 9 nedan.

5.5 För att fullgöra rättsliga förpliktelser

ADDI kan komma att behandla din Användardata med stöd av den rättsliga grunden ”rättslig förpliktelse” (enligt Dataskyddsförordningen) för att uppfylla skyldigheter enligt lagar, domar eller myndighetsbeslut, såsom beslut från Datainspektionen.

5.6 För att kunna utvärdera, utveckla och förbättra kvaliteten på Individkontot

ADDI kan komma att behandla dina personuppgifter i syfte att utveckla och förbättra Individkontot och de IT-system som används för att tillhandahålla Individkontot. Men även i syfte att kontinuerligt öka säkerheten och vår hantering av personuppgifter.

Vi behandlar endast känsliga personuppgifter om dig i syfte att kunna tillhandahålla Individkontot (d.v.s. för att kunna fullgöra avtalet mellan dig och ADDI). All annan utveckling av våra tjänster sker med stöd av avidentifierade data och med stöd av ditt samtycke som du kan återkalla när du vill.

6. Hur länge lagrar vi dina personuppgifter?

Vi hanterar endast dina personuppgifter så länge det är nödvändigt för de ändamål uppgifterna i fråga behandlas för enligt avsnitt 5 ovan, d.v.s. så länge det behövs för att kunna leverera Individkontot eller för att uppfylla de rättsliga skyldigheter som åligger oss. Vi har i övrigt rutiner för hur vi lagrar eller avidentifierar personuppgifter i syfte att löpande se till att dina personuppgifter vid var tid ska vara adekvata och relevanta för vårt fortsatta tillhandahållande av Individkontot. Dina Användaruppgifter raderas eller avidentifieras senast sex (6) månader från det att du avslutat ditt Individkonto hos oss, om personuppgifterna inte är nödvändiga att spara för att vi ska uppfylla våra skyldigheter enligt lagkrav eller uppgifterna annars behövs för att tillvarata rättsliga anspråk. Samtliga uppgifter som inte behövs för utförande och utveckling av Individkontot eller i kvalitetssäkringssyfte, anonymiseras och sparas efter att ändamålet med uppgifterna uppfyllts alternativt raderas automatiskt. Användardata som lagras på basis av ditt samtycke raderar vi om du återkallar ditt samtycke. Vi ber dig i detta avseende notera att ADDI hanterar dina personuppgifter i syften såsom teknisk leverantör av Individkontot åt Vårdgivare, bl.a. vid användning av Hope App. Återkallelse av samtycke påverkar inte Vårdgivares skyldighet att föra journal eller att behandla personuppgifter i enlighet med tillämpliga lagar.

7. Tredje parter som dina personuppgifter kan komma att delas med när du använder Individkontot

7.1 Underleverantörer till ADDI

För att vi ska kunna erbjuda dig Individkontot använder vi oss av ett antal externa leverantörer som i vissa fall behandlar personuppgifter. Våra IT-tjänsteleverantörer, såsom utvecklings-, drifts- och hostingleverantörer, arbetar endast på uppdrag av ADDI och enligt ADDI:s instruktioner i egenskap av s.k. Personuppgiftsbiträden.

8. Tredjelandsöverföring

Drifttjänsten för Individkontot, d.v.s. drift och lagring av Individkontot, ligger inom EU/EES.

9. Dina rättigheter som registrerad i HOPE App och användare av Individkontot

Du har rätt att erhålla information om vilka av dina personuppgifter som vi behandlar, i vilket syfte de behandlas, om sådana personuppgifter överförs till tredje land och vilka tredje parter som mottagit dina personuppgifter. Du kan närsomhelst vända dig till oss för att

(I) begära tillgång till och få information om vilka personuppgifter som behandlas i samband med ditt användande av HOPE App och/eller Individkontot, vem som har fått åtkomst till den och varför
(II) be oss att rätta eventuella felaktiga uppgifter om dig
(III) begära att dina personuppgifter raderas (här ber vi dig dock notera att Vårdgivaren har skyldigheter enligt lag att spara vissa personuppgifter, särskilt relaterade till Patientdata inklusive att föra journal i samband med nyttjande av Individkontot). På din förfrågan kommer all Patientdata som vi inte är har en rättslig skyldighet att behålla att raderas
(IV) begära att få flytta personuppgifter till annan personuppgiftsansvarig genom att erhålla dina personuppgifter, i den omfattning som de tillhandahållits från dig, i ett elektroniskt format som är allmänt använt för att kunna överföra dem till annan part (rätten till dataportabilitet)

Om du önskar komma i kontakt med oss angående någon av dessa punkter går det bra att kontakta oss via vår hemsida på www.addimedical.se eller genom att skicka ett mejl till privacy@addimedical.se.

10. Rätt att klaga till tillsynsmyndigheten

Vi hoppas att vi i denna beskrivning har tydliggjort på ett utförligt sätt hur vi hanterar dina personuppgifter, men om någonting är oklart tar vi tacksamt emot din feedback och besvarar dina frågor så att vi kan förbättra vår kommunikation kring detta. Vi vill här även upplysa dig om att du har rätt att lämna klagomål till Datainspektionen eller annan relevant tillsynsmyndighet för det fall du anser att personuppgiftsbehandlingen är felaktig och inte uppfyller lagenliga krav.