Integritetspolicy för ST-portalen

Version

1.0

Senast uppdaterad

13 juni 2026

Kontakt

info@stportal.se

Viktig ansvarsfördelning

Den anslutna verksamheten bestämmer varför och hur uppgifter om dess användare behandlas och är normalt personuppgiftsansvarig. Läkaruthyrning Sverige AB tillhandahåller ST-portalen och behandlar dessa uppgifter som personuppgiftsbiträde. För vissa begränsade egna ändamål, exempelvis avtal, support och säkerhet, kan Läkaruthyrning Sverige AB vara självständigt personuppgiftsansvarig.

1. Om denna integritetspolicy

Denna integritetspolicy beskriver hur personuppgifter behandlas när ST-portalen används. ST-portalen är en webbaserad tjänst för planering, dokumentation, bedömning och uppföljning av läkares specialiseringstjänstgöring samt för framtagning av underlag till specialistansökan.

Policyn omfattar både behandling som sker på uppdrag av en ansluten verksamhet och den begränsade behandling som Läkaruthyrning Sverige AB utför för egna ändamål. Den anslutna verksamheten kan lämna kompletterande information som gäller just dess behandling, rättsliga grund, lagringstider och interna mottagare.

2. Vem ansvarar för personuppgifterna?

2.1 Den anslutna verksamheten

Den region, vårdgivare, klinik, arbetsgivare eller annan organisation som har anslutit användaren till ST-portalen är normalt personuppgiftsansvarig för den utbildnings- och personalrelaterade behandling som sker i tjänsten. Verksamhetens namn, kontaktuppgifter och eventuellt dataskyddsombud ska visas i ST-portalen under användarens integritetsinformation.

Den personuppgiftsansvariga verksamheten bestämmer bland annat vilka användare som registreras, vilka uppgifter som ska behandlas, vilka roller som ska ha åtkomst, vilken rättslig grund som används och hur länge uppgifterna ska sparas.

2.2 Läkaruthyrning Sverige AB som personuppgiftsbiträde

Läkaruthyrning Sverige AB, org.nr 559259-4518, Södersätravägen 50 B, 192 65 Sollentuna, tillhandahåller och driver ST-portalen. Bolaget behandlar uppgifter i tjänsten på dokumenterade instruktioner från den anslutna verksamheten och är då personuppgiftsbiträde.

2.3 Läkaruthyrning Sverige AB som självständigt personuppgiftsansvarig

Läkaruthyrning Sverige AB kan vara självständigt personuppgiftsansvarig för begränsad behandling som är nödvändig för att administrera kundrelationer, hantera supportärenden och kontaktförfrågningar, förebygga missbruk, skydda tjänsten, uppfylla rättsliga skyldigheter samt fastställa, göra gällande eller försvara rättsliga anspråk. Sådan behandling hålls så långt möjligt åtskild från den behandling som utförs på kundens uppdrag.

3. Vilka personer omfattas?

ST-läkare och andra utbildningsläkare.

Huvudhandledare, instruktionshandledare och andra bedömare.

Studierektorer, verksamhetschefer och utbildningsansvariga.

Specialistläkare och andra användare som lämnar återkoppling eller intyg.

Lokala administratörer, systemadministratörer och kontaktpersoner hos anslutna verksamheter.

Personer som kontaktar supporten eller företräder en kundorganisation.

4. Vilka personuppgifter behandlas?

Kategori

Exempel

Identitets- och kontaktuppgifter

Namn, e-postadress, telefonnummer, adress och i förekommande fall personnummer eller samordningsnummer.

Anställnings- och organisationsuppgifter

Arbetsplats, verksamhetsområde, organisatorisk tillhörighet, yrkesroll, specialitet och behörighetsrelationer.

ST- och utbildningsuppgifter

ST-start, planerat slut, regelverk, individuella utbildningsplaner, delmål, placeringar, frånvaro som påverkar ST-tid, kurser, aktiviteter, handledning och uppföljning.

Bedömningar och återkoppling

Mini-CEX, DOPS, CBD, 360-gradersbedömningar, muntliga presentationer, självskattningar, återkoppling, uppnådd självständighetsnivå och handledaranteckningar.

Dokument och intyg

Kursintyg, tjänstgöringsintyg, diplom, vetenskapliga arbeten, kvalitetsarbeten, ansökningsunderlag och andra uppladdade filer.

Specialistansökan

Uppgifter som krävs i ansökan, exempelvis personnummer, adress, telefon, läkarexamen, legitimation, tidigare specialistbevis, tjänstgöringsperioder och bilageförteckning.

Konto- och kommunikationsuppgifter

Kontostatus, roll, inbjudningar, välkomstmeddelanden, lösenordsåterställning, påminnelser och supportkorrespondens.

Tekniska uppgifter och loggar

Tidpunkt för inloggning, IP-adress, enhets- och webbläsaruppgifter, sessionsuppgifter, säkerhetshändelser, ändringar, exporter och administrativa åtgärder.

Bedömningar av yrkesutövning och utbildningsprogression är normalt inte särskilda kategorier av personuppgifter enligt artikel 9 GDPR, men kan vara integritetskänsliga och omfattas därför av strikta behörighets- och säkerhetskrav.

5. Personnummer och uppgifter som inte ska registreras

5.1 Personnummer

Personnummer ska inte vara obligatoriskt för ett vanligt användarkonto. Det får registreras endast när säker identifiering eller ett särskilt ändamål, exempelvis framtagning av specialistansökan, gör det klart motiverat. Personnummer ska inte visas i onödan och ska maskeras i vyer där fullständigt nummer inte behövs.

5.2 Inga patientuppgifter

ST-portalen är inte ett journalsystem

Patienters namn, personnummer, kontaktuppgifter, journalnummer, exakta vårdtidpunkter eller andra uppgifter som direkt eller indirekt kan identifiera en patient får inte registreras i fritext, bedömningar, kommentarer eller uppladdade dokument. Patientfall ska beskrivas på en övergripande och icke identifierbar nivå.

Om patientuppgifter ändå registreras av misstag ska användaren omedelbart rapportera detta till sin verksamhet och till ST-portalens support så att uppgifterna kan begränsas, rättas eller raderas och händelsen kan bedömas enligt incidentrutinen.

5.3 Övriga känsliga uppgifter

Tjänsten är inte avsedd för uppgifter om användares hälsa, politiska åsikter, religion, fackliga medlemskap, sexualliv eller andra särskilda kategorier av personuppgifter. Sådana uppgifter ska inte registreras om inte den personuppgiftsansvariga verksamheten uttryckligen har beslutat att behandlingen är nödvändig, laglig och omfattas av lämpliga skyddsåtgärder.

6. Varifrån kommer uppgifterna?

Från användaren själv, exempelvis profiluppgifter, uppladdade dokument och uppgifter till specialistansökan.

Från den anslutna verksamheten, exempelvis konto, roll, organisationstillhörighet och handledarrelationer.

Från handledare, bedömare, studierektor eller administratör, exempelvis bedömningar, återkoppling och uppföljning.

Automatiskt från tjänsten, exempelvis sessionsuppgifter, loggar och säkerhetshändelser.

Från integrerade system eller importerade kalenderfiler om sådana funktioner aktiveras av verksamheten.

7. Varför behandlas uppgifterna?

Ändamål

Exempel på behandling

Administration av ST

Skapa och förvalta användarkonton, roller, relationer, individuella planer, placeringar, kurser och obligatoriska moment.

Bedömning och handledning

Genomföra, dokumentera och följa upp handledning, återkoppling och kompetensbedömningar.

Uppföljning och kvalitet

Ge ST-läkare, handledare, studierektor och behöriga chefer en sammanställd bild av progression och uppföljningsbehov.

Specialistansökan

Sammanställa och exportera ansökningsuppgifter, tjänsteförteckning, bilageförteckning och intygsunderlag.

Kommunikation

Skicka välkomstmeddelanden, lösenordsåterställning, systemmeddelanden och påminnelser.

Drift, support och säkerhet

Felsöka, hantera incidenter, förebygga obehörig åtkomst, säkerställa tillgänglighet och dokumentera administrativa åtgärder.

Rättsliga skyldigheter och anspråk

Uppfylla bokförings- och andra lagkrav samt fastställa, göra gällande eller försvara rättsliga anspråk.

8. Rättslig grund

Den anslutna verksamheten ansvarar för att bestämma och dokumentera rättslig grund för sin behandling i ST-portalen. För offentliga vårdgivare kan behandlingen exempelvis vara nödvändig för att utföra en uppgift av allmänt intresse eller fullgöra en rättslig förpliktelse. För andra arbetsgivare kan avtalsförhållande, rättslig förpliktelse eller intresseavvägning vara aktuellt. Samtycke bör inte användas som standardgrund i ett anställningsförhållande.

När Läkaruthyrning Sverige AB är självständigt personuppgiftsansvarig grundas behandlingen normalt på avtal, rättslig förpliktelse eller bolagets berättigade intresse av att administrera tjänsten, ge support, upprätthålla säkerhet och hantera rättsliga anspråk.

9. Vilka får ta del av uppgifterna?

Åtkomst styrs av användarens roll, organisationstillhörighet och uttryckliga relationer. En ansluten verksamhet ska inte kunna se en annan verksamhets uppgifter. Handledare får bredare åtkomst till sina egna ST-läkare, medan andra bedömare endast får den åtkomst som krävs för att lämna en bedömning eller återkoppling.

Ett begränsat antal särskilt behöriga systemadministratörer hos Läkaruthyrning Sverige AB kan tekniskt få åtkomst till flera verksamheter när det är nödvändigt för drift, säkerhet, support eller felsökning. Sådan åtkomst ska vara behovsstyrd, omfattas av sekretess och loggas i den utsträckning som krävs för spårbarhet.

Personuppgifter kan även behandlas av underbiträden som tillhandahåller hosting, databas, e-post och teknisk infrastruktur. Aktuell förteckning ska finnas tillgänglig för anslutna verksamheter.

10. Underbiträden och behandling utanför EU/EES

ST-portalen avser att placera primär applikationsdrift, databas och filstorage i en europeisk region när leverantören erbjuder detta. Vissa leverantörer är emellertid etablerade i USA eller använder global infrastruktur, support eller logghantering. Det kan därför förekomma åtkomst eller överföring till land utanför EU/EES.

Sådan behandling får endast ske om kraven i kapitel V GDPR är uppfyllda, exempelvis genom beslut om adekvat skyddsnivå, EU-kommissionens standardavtalsklausuler och vid behov kompletterande skyddsåtgärder. Den anslutna verksamheten ska informeras om relevanta underbiträden och överföringsmekanismer genom personuppgiftsbiträdesavtalet och underbiträdesförteckningen.

För närvarande planeras eller används följande kategorier av leverantörer: Vercel för applikationsplattform och hosting, Neon för databas, Resend för transaktionsmejl och Microsoft 365 för bolagets e-post och supportkommunikation. Aktuell faktisk konfiguration och lagringsregion ska verifieras före skarp drift.

11. Hur länge sparas uppgifterna?

Uppgifter som Läkaruthyrning Sverige AB behandlar som personuppgiftsbiträde sparas enligt den anslutna verksamhetens dokumenterade instruktioner. Ett inaktiverat konto är inte detsamma som permanent radering. Verksamheten bestämmer om uppgifterna ska behållas för återaktivering, utbildningsuppföljning, arkivkrav eller styrkande av meriter.

När avtal eller instruktion upphör ska uppgifterna återlämnas, exporteras, anonymiseras eller raderas enligt personuppgiftsbiträdesavtalet, om fortsatt lagring inte krävs enligt lag.

För behandling där Läkaruthyrning Sverige AB är självständigt personuppgiftsansvarig gäller som utgångspunkt följande:

Kund- och avtalskontakter: under avtalsförhållandet och normalt 24 månader därefter.

Supportärenden: normalt 24 månader efter att ärendet avslutats, längre om det behövs för en pågående tvist eller incidentutredning.

Säkerhets- och åtkomstloggar som bolaget behandlar för egna ändamål: normalt högst 12 månader, längre endast om en händelse behöver utredas eller dokumenteras.

Räkenskapsinformation: den tid som följer av bokföringslagstiftningen, normalt sju år efter utgången av det kalenderår då räkenskapsåret avslutades.

12. E-postmeddelanden

ST-portalen kan skicka välkomstmeddelanden, lösenordsåterställning, säkerhetsmeddelanden, påminnelser och andra tjänsterelaterade meddelanden. E-post ska begränsas till vad som är nödvändigt och bör inte innehålla personnummer, detaljerade bedömningar eller andra integritetskänsliga uppgifter. Länkar till inloggat innehåll ska användas i stället för att skicka själva innehållet i e-post.

13. Cookies

ST-portalen använder nödvändiga cookies för autentisering, sessionshantering, säkerhet och för att tjänsten ska fungera. Tjänsten använder inte marknadsföringscookies. Mer information finns i cookiepolicyn.

14. Säkerhet

Läkaruthyrning Sverige AB ska vidta lämpliga tekniska och organisatoriska åtgärder med hänsyn till behandlingens art, riskerna och tillgänglig teknik. Åtgärderna omfattar bland annat:

Rollbaserad och relationsbaserad behörighetsstyrning.

Logisk isolering mellan anslutna verksamheter.

Krypterad kommunikation och säker hantering av hemligheter och autentiseringsuppgifter.

Principen om minsta möjliga behörighet och begränsad administratörsåtkomst.

Loggning av säkerhetskritiska och administrativa händelser.

Säkerhetskopiering, återställningsrutiner och kontinuitetsplanering.

Rutiner för sårbarhetshantering, uppdateringar och personuppgiftsincidenter.

Dataminimering, särskilt för personnummer och fritext.

15. Dina rättigheter

Den registrerade kan, beroende på omständigheterna, ha rätt till information, tillgång, rättelse, radering, begränsning, invändning och dataportabilitet. Rättigheterna gäller inte ovillkorligt och kan begränsas av exempelvis rättsliga skyldigheter, arkivregler eller den rättsliga grund som används.

För uppgifter i ST-portalen ska den registrerade i första hand kontakta den anslutna verksamheten, eftersom den normalt är personuppgiftsansvarig. Läkaruthyrning Sverige AB bistår verksamheten i enlighet med personuppgiftsbiträdesavtalet.

För behandling där Läkaruthyrning Sverige AB är självständigt personuppgiftsansvarig kan frågor och begäranden skickas till info@stportal.se.

16. Klagomål

Den som anser att personuppgifter behandlas felaktigt bör först kontakta den personuppgiftsansvariga verksamheten eller dess dataskyddsombud. Det finns också rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY).

17. Automatiserade beslut

ST-portalen fattar inte automatiserade beslut som har rättsliga följder eller på liknande sätt i betydande grad påverkar en användare. Systemets indikatorer och sammanställningar är beslutsstöd och ersätter inte professionell bedömning av handledare, studierektor, verksamhetschef eller myndighet.

18. Ändringar

Policyn kan uppdateras när tjänsten, leverantörer, lagstiftning eller behandlingen förändras. Väsentliga ändringar ska meddelas anslutna verksamheter och, när det är relevant, användarna innan ändringen börjar tillämpas.

19. Kontakt

Läkaruthyrning Sverige ABOrg.nr 559259-4518Södersätravägen 50 B, 192 65 SollentunaE-post: info@stportal.se