Policys och riktlinjer

Attendos uppförandekod är ett centralt dokument som beskriver bolagets värderingar och principer och gäller för samtliga medarbetare. Attendos uppförandekod för leverantörer anger motsvarande förväntningar på affärspartners och leverantörer.

Eftersom omsorgstjänster är starkt reglerade innehåller koncernpolicyerna övergripande vägledande principer som gäller för alla marknader och segment. Samtliga koncernpolicyer har en utsedd policyansvarig, ses över årligen och uppdateras vid behov samt godkänns av Attendos styrelse. Attendos riktlinjer har utsedda ansvariga och uppdateras regelbundet.

Uppförandekod

Attendos uppdrag är att stärka individen, vilket innebär att se, stödja och stärka varje person i vår omsorg till ett självständigt och meningsfullt liv. Det gör vi utifrån våra värderingar – omsorg, engagemang och kompetens – på ett sätt som präglas av öppenhet och kontinuerligt lärande. Vårt uppdrag och våra värderingar är både långsiktiga mål och dagliga verktyg för att nå våra höga ambitioner. Genom att förankra vårt dagliga arbete i vårt uppdrag och våra värderingar når vi vårt strategiska mål – att vara det mest attraktiva valet inom nordisk omsorg.

Attendos uppförandekod utgår från våra kärnvärden och våra löften till kunder och närstående, till våra kollegor och till samhället. Den ger en gemensam grund för hur vi uppträder i vårt arbete. Koden är avsedd att vägleda och stödja våra beslut och handlingar, särskilt när de är svåra eller osäkra. Koden är också ett uttryck för Attendos åtagande för öppenhet och för hur vi tillsammans skapar en kultur baserad på ansvar, tillit och laganda.

Uppförandekoden innehåller omfattande information om hur Attendos chefer och medarbetare ska agera. I det dagliga arbetet ska varje medarbetare vägledas av följande principer – dessa principer speglar det förhållningssätt som ska ligga till grund för allt vi gör på Attendo.

Uppförandekoden är i linje med FN:s Agenda 2030 för hållbar utveckling, FN:s vägledande principer för företag och mänskliga rättigheter, OECD:s riktlinjer för multinationella företag om ansvarsfullt företagande samt ILO:s deklaration om grundläggande principer och rättigheter i arbetslivet. Uppförandekoden fastslår respekt för de mänskliga rättigheterna och etablerar nolltolerans mot diskriminering, trakasserier, barnarbete och tvångsarbete. Den värnar även medarbetares rätt till föreningsfrihet och kollektiv representation, liksom skydd för visselblåsare och yttrandefrihet.

Uppförandekod för leverantörer

Attendo ställer höga krav på ansvar, kvalitet och hållbarhet, inte bara i den egna verksamheten utan även hos våra leverantörer. Företagets leverantörskod beskriver de grundläggande principer som alla leverantörer och affärspartner förväntas följa som en del av Attendos inköpskrav. Attendo förväntar sig att leverantörer aktivt arbetar för att minska sin miljö- och klimatpåverkan och för att skydda konfidentiell information och personuppgifter. Efterlevnad av koden följs upp genom dialog och, vid behov, genom bedömningar.

Genom tydliga krav och nära samarbete arbetar Attendo tillsammans med sina leverantörer för att främja en ansvarsfull och hållbar leveranskedja.

Leverantörskoden bygger på respekt för mänskliga rättigheter, goda arbetsvillkor, miljöansvar och god affärsetik. Leverantörer förväntas följa tillämplig lagstiftning samt internationella standarder, inklusive FN:s vägledande principer för företag och mänskliga rättigheter och ILO:s deklaration om grundläggande principer och rättigheter. Barnarbete, tvångsarbete, diskriminering och korruption accepteras inte. Medarbetare ska ha säkra arbetsförhållanden och skäliga anställningsvillkor.

Hållbarhetspolicy

Attendo är fast beslutet att bedriva en hållbar verksamhet och att särskilt bidra till en hållbar samhällsutveckling. Denna policy syftar till att tydliggöra ansvar och ange principer som ska vägleda organisationen i hur verksamheten ska bedrivas i enlighet med Attendos övergripande och långsiktiga mål inom de sociala, styrnings- och miljömässiga dimensionerna (ESG).

Hållbarhetspolicyn reglerar Attendos långsiktiga mål och ESG-åtaganden. Policyn anger även att Attendo återkommande ska utvärdera hur bolaget samspelar med och påverkar sin omvärld och sina intressenter. Resultatet av denna analys ska vägleda Attendos arbete med att hantera inverkan, risker och möjligheter inom miljö, socialt ansvar och bolagsstyrning. Dokumentet beskriver också de kontinuerliga uppföljningsmekanismer som finns på plats. Policyn reglerar vidare olika roller och ansvar samt hållbarhetsrapportering.

Miljöpolicy

Attendo strävar efter att säkerställa att verksamheten bedrivs med ansvar och hänsyn även för miljö och klimat. Denna policy syftar till att tydliggöra ansvar och ange principer som ska vägleda organisationen mot hållbara val i nyckelområden utifrån miljö- och klimatpåverkan.

Miljöpolicyn reglerar Attendos väsentliga miljöpåverkansområden och ansvar för uppföljning kopplat till Attendos miljöarbete.

Kvalitetspolicy

Attendos medarbetare ger omsorg till mer än 30 000 kunder. Attendo strävar efter att vara det naturliga valet inom omsorgssektorn, med ett engagemang som säkerställer att kunder ses som individer och att deras närstående kan känna trygghet och förtroende. Kvalitet är djupt integrerat i Attendos kärnverksamhet och är ett av våra viktigaste strategiska fokusområden. Denna policy ska beaktas vid utveckling av alla verksamhetsområden inom Attendo och genomsyra alla processer och aktiviteter.

Attendos kvalitetspolicy baseras på Attendos uppförandekod. Kvalitetspolicyn beskriver koncerngemensamma mål och fokusområden, det övergripande ramverk som styr ledning, styrning och utveckling av kvalitetsarbetet i bolaget, samt roller och ansvar kopplade till Attendos kvalitetsarbete.

HR-policy

Attendo har 33 000 medarbetare vars engagemang och delaktighet är avgörande för företagets kvalitet, kultur och utveckling. Attendo strävar efter att vara den mest attraktiva arbetsgivaren inom omsorgssektorn och erbjuder en inkluderande och stimulerande arbetsplats för alla som vill växa, bidra till omsorgens utveckling och göra verklig skillnad i många människors vardag.

Den koncerngemensamma HR‑policyn syftar till att tydliggöra och stärka HR‑relaterade ansvar och åtaganden samt ge vägledning till ledare och medarbetare i hela organisationen. Policyn omfattar koncerngemensamma HR‑frågor och gäller samtliga medarbetare inom Attendo‑koncernen.

HR‑policyn baseras på uppförandekoden för medarbetare och omfattar flera områden som är gemensamma inom koncernen. Policyn anger att alla nya medarbetare ska genomgå ett obligatoriskt introduktionsprogram, uppmuntrar kompetensutveckling och betonar vikten av personlig utveckling i arbetet. Vidare beskriver policyn hur det systematiska arbetsmiljöarbetet bedrivs och lyfter fram att jämställdhet och mångfald ses som styrkor. Policyn fastslår nolltolerans mot diskriminering och trakasserier, bekräftar varje persons rätt till föreningsfrihet och anger att bolaget verkar för ett gott samarbete med de fackliga organisationer som företräder medarbetarna.

Riktlinje anti-korruption och mutor

Utöver Attendos uppförandekod, så finns flera interna riktlinjer som reglerar frågor i syfte att upprätthålla förtroendet för Attendo och Attendos omsorgstjänster. Dessa gäller perspektiv av Attendos medarbetare, kunder, leverantörer och samarbetspartners samt beställare.

Attendos riktlinjer för mutor och bestickning beskriver det ansvar Attendos medarbetare har att uppträda på ett sätt som bidrar till att kunder och närstående har stort förtroende för bolaget, samt vilka risker som är förknippade med gåvor och förmåner i tjänsten och hur man bör agera om en situation uppstår. Riktlinjen definierar mutor, gåvor, belöningar och andra former av förmåner. Det är inte tillåtet för medarbetare att ta emot eller erbjuda personliga gåvor, belöningar eller förmåner som kan undergräva objektivitet, påverka affärstransaktioner eller beslut, eller skapa beroendeställning till kund eller annan tredje part. Alla former av gåvor eller representation ska ges av ren artighet, vara av måttligt värde och följa vedertagna affärsseder, och får aldrig påverka beslutsfattande. Gåvor till offentliga tjänstemän är förbjudna.

Attendos riktlinje för meddelarfrihet och lojalitetsplikt beskriver innebörden av både meddelarskydd och lojalitetsplikt samt hur synpunkter och klagomål ska framföras. Riktlinjen beskriver även Attendos visselblåsartjänst och hur den används.

Attendos riktlinje för upphandling och leverantörsuppföljning baseras på inköpspolicyn och reglerar hur upphandlingar genomförs, hur samverkan med leverantörer sker samt hur leverantörsuppföljning genomförs.

Riktlinje visselblåsning

Inom Attendo är det en självklarhet att vi alltid strävar efter att erbjuda en trygg och säker omsorg med våra kunder i centrum, och att vi arbetar som ett team för att skapa en kultur av transparens, öppenhet och tillit. Det är också självklart att Attendo och alla våra medarbetare ska agera i enlighet med lagar, förordningar, Attendos uppförandekod och andra tillämpliga policys och ramverk. Attendo uppmuntrar öppenhet, transparens och kommunikation – även i svåra situationer. Attendo har en intern visselblåsarpolicy som gäller för alla medarbetare i koncernen och som ger instruktioner och information om hur misstänkta missförhållanden kopplade till Attendos verksamhet ska rapporteras.

Policyn beskriver tillgängliga rapporteringskanaler och ger en detaljerad beskrivning av visselblåsarfunktionen. Den förklarar när visselblåsarfunktionen ska användas, hur den fungerar, rätten att rapportera anonymt samt processen för hantering av visselblåsarärenden. Policyn beskriver även meddelarfrihet och meddelarskydd.

Attendos visselblåsarkanal finns på lokala språk och är tillgänglig dygnet runt, alla dagar. Antalet rapporter som inkommit via visselblåsarfunktionen, liksom antalet kvalificerade visselblåsarärenden i enlighet med direktiv (EU) 2019/1937, redovisas i års- och hållbarhetsredovisningen.

Informationssäkerhetspolicy

Vårt åtagande för informationssäkerhet

Attendo verkar inom en sektor där skyddet av känsliga personuppgifter inte bara är ett regulatoriskt krav – det är grundläggande för det förtroende som de individer vi vårdar, deras anhöriga och våra samarbetspartners visar oss. Informationssäkerhet är därför en strategisk prioritet inom Attendo, och vi tillämpar ett heltäckande och strukturerat arbetssätt för att hantera och skydda våra informationstillgångar.

Attendos systematiska, formaliserade och riskbaserade ledningssystem för informationssäkerhet (ISMS) är baserat på och uppbyggt i linje med internationellt erkända standarder (ISO 27001:2022, Informationssäkerhet, cybersäkerhet och skydd av personuppgifter – Ledningssystem för informationssäkerhet) och omfattar styrning, riskhantering samt ett brett spektrum av operativa säkerhetskontroller.

ISMS tillämpas i hela Attendo-koncernen och omfattar alla medarbetare, system och processer. Dataskydd är integrerat i ISMS: ISMS har utökats till att även omfatta dataskydd och NIS2.

Styrning och organisation

Informationssäkerheten inom Attendo styrs genom en tydligt definierad organisationsstruktur. Styrelsen har det yttersta ansvaret, med stöd av ett råd för informationssäkerhet som tillhandahåller strategisk styrning och samordnar säkerhetsarbetet inom samtliga affärsområden. Ansvar är tydligt fördelade både på koncern‑ och affärsområdesnivå. Dedikerade roller, inklusive informationssäkerhetsansvariga, dataskyddsombud på koncernnivå samt dataskyddsansvariga på affärsområdesnivå, säkerställer att säkerhets‑ och integritetskrav är integrerade i det dagliga arbetet. Vår styrningsmodell innefattar regelbunden rapportering till styrelse och koncernledning samt fastställda eskaleringsvägar. Alla medarbetare får rollanpassad utbildning och information om informationssäkerhet regelbundet. Ett strukturerat program för kommunikation och kompetensutveckling säkerställer att kunskap om informationssäkerhet hålls aktuell inom organisationen.

Riskhantering och klassificering av informationstillgångar

Samtliga informationstillgångar, inklusive data, system och verksamhetsprocesser, ska inventeras, klassificeras utifrån känslighet och verksamhetskritikalitet samt tilldelas en namngiven informationsägare. Klassificeringsresultaten avgör direkt vilken skyddsnivå som krävs. Riskbedömningar genomförs regelbundet både på ledningssystemnivå och för enskilda informationstillgångar. Vår riskaptit och risktolerans är formellt fastställda, och identifierade risker följs upp och hanteras genom en strukturerad process. Interna kontroller genomförs årligen och täcker hela omfattningen av ISMS över en treårig cykel.

Efterlevnad av lagar och regler

Attendo upprätthåller ett särskilt regelefterlevnadsramverk som omfattar våra skyldigheter enligt GDPR, NIS2 och relevant nationell lagstiftning i de länder där vi bedriver verksamhet. Vi har fastställda processer för att bedöma både nya och förändrade behandlingar av personuppgifter, hantera registrerades rättigheter, hantera personuppgiftsincidenter samt rapportera till tillsynsmyndigheter.

Våra processer för informations- och dokumenthantering säkerställer att information bevaras, skyddas och gallras i enlighet med gällande krav.

Operativa säkerhetskontroller

Vårt ramverk för operativ säkerhet omfattar hela spektrat av tekniska och organisatoriska kontroller som krävs för att skydda information vid användning, lagring och överföring. Centrala områden inkluderar:

• Åtkomstkontroll: Åtkomst till system och data beviljas utifrån ett riskbaserat behov‑av‑veta‑principen, med formella behörighetsprocesser, regelbundna granskningar samt särskilda kontroller för privilegierad åtkomst och molntjänster.
• Utrustnings‑ och enhetshantering: Företagsägda och privata enheter omfattas av tydliga regler för tillåten användning, med kontroller för mobila enheter, flyttbara lagringsmedia och fysisk utrustningssäkerhet.
• Kryptografi: Kryptering tillämpas baserat på klassificering och risk, med fastställda standarder för algoritmer, nyckelhantering samt särskilda krav för e‑post, fjärråtkomst och lagring av data.
• Driftsäkerhet: IT‑drift styrs av kontroller avseende förändringshantering, skydd mot skadlig kod, säkerhetskopiering och återställning, loggning samt sårbarhetshantering.
• Kommunikationssäkerhet: Krav omfattar både elektronisk kommunikation (inklusive tillåten användning av e‑post och meddelandetjänster) och nätverksdesign, segmentering och övervakning.
• Systemanskaffning och utveckling: Säkerhetskrav integreras i alla anskaffnings‑ och utvecklingsprocesser för system, inklusive leverantörsbedömningar, säkra utvecklingsstandarder och strukturerade acceptanstester.
• Självutvärdering och extern revision: En årlig självutvärdering av kritiska IT‑system genomförs för att säkerställa att interna kontroller är korrekta och effektiva. Därutöver genomför en extern finansiell revisor årligen en ITGC‑revision relaterad till den finansiella rapporteringen.

Leverantörs‑ och tredjepartshantering

Vi är medvetna om att tredjepartsleverantörer kan innebära betydande risker för vår informationssäkerhet. Vårt ramverk för leverantörshantering kräver noggrann due diligence före avtal, formell dokumentation av informationssäkerhets‑ och dataskyddskrav i samtliga avtal samt löpande uppföljning av leverantörers prestationer. Molntjänstleverantörer och underbiträden omfattas av särskilda och utökade kontroller.

Incidenthantering och kontinuitetsplanering

Attendo har etablerade och övade förmågor för att hantera informationssäkerhetsincidenter. Vår incidenthanteringsprocess omfattar klassificering, åtgärder, regulatorisk rapportering samt lärande efter incidenter. Ett utbildat incidenthanteringsteam finns på plats, med rutiner anpassade till GDPR:s och NIS‑regelverkens rapporteringskrav. Planering för verksamhetskontinuitet omfattar tillgänglighet och motståndskraft för kritiska informationstillgångar. Vi genomför konsekvensanalyser och riskbedömningar för att identifiera beroenden och prioritera återställning. Kontinuitetsplaner för centrala informationssystem upprätthålls och ses över regelbundet.

Kontinuerlig förbättring

Informationssäkerhet inom Attendo är inte en statisk disciplin. Vårt ISMS är utformat för kontinuerlig förbättring: avvikelser identifieras och åtgärdas systematiskt, prestationsdata analyseras och rapporteras till ledningen, och systemet granskas och uppdateras regelbundet för att spegla förändringar i hotbild, regelverk och vår verksamhet. Vi är fast beslutna att upprätthålla en hög nivå av informationssäkerhet, inte bara för att uppfylla juridiska och avtalsmässiga krav, utan för att det är rätt gentemot de individer som anförtror oss sin vård och sina uppgifter.

Datasäkerhetspolicy

Vårt åtagande och vår syn på dataskydd

Attendo är fast besluten att skydda integriteten för alla som har en relation med vår organisation. Vi ser dataskydd och skydd av personuppgifter inte enbart som juridiska skyldigheter, utan som en grundpelare för förtroendet mellan Attendo och de individer vi verkar för. Attendo tillhandahåller alltid aktuell information om sina personuppgiftsbehandlingar på ett tydligt och transparent sätt på sin webbplats för respektive verksamhetsområde, genom Attendos integritetspolicy (Data Privacy Notice).

Attendo tillämpar ett riskbaserat arbetssätt samtidigt som individers grundläggande rätt till integritet respekteras. All behandling av personuppgifter inom Attendo ska ske på ett ansvarsfullt, öppet och etiskt sätt.

Grundprinciper

Attendos arbete med dataskydd styrs av fyra grundprinciper: att individens perspektiv sätts i centrum; att all behandling av personuppgifter föregås av en efterlevnadsgranskning inklusive integritetsanalys och konsekvensbedömning avseende dataskydd; att en hög medvetenhet upprätthålls i hela organisationen;

Attendos dataskyddsorganisation

Attendo har en dataskyddspolicy som gäller för samtliga bolag inom koncernen samt alla medarbetare inom Attendo. Dataskyddspolicyn beslutas av Attendos styrelse och revideras årligen. Policyn fastställer den interna styrningsstrukturen för integritet och dataskydd.

Enligt dataskyddspolicyn tillämpar Attendo en modell med tre försvarslinjer. Den dagliga hanteringen av personuppgifter sker på operativ nivå av alla Attendo-medarbetare som deltar i behandlingen av personuppgifter, av informationsägaren med stöd av verksamhetsområdets Data Protection Manager (DPM) (första försvarslinjen). Övervakning och riskhantering tillhandahålls av koncernens och verksamhetsområdenas juridiska funktioner, inklusive dataskyddsombudet (DPO) (andra försvarslinjen).

Oberoende kontroller genomförs av internkontrollfunktionen (tredje försvarslinjen).

The Data Protection Manager 

DPM ansvarar för att stödja och samordna det dagliga dataskyddsarbetet inom respektive verksamhetsområde. Detta innefattar att införa och upprätthålla processer för att säkerställa efterlevnad av ISMS och andra policyer, hantering av registrerades rättighetsförfrågningar, utarbetande av informations- och utbildningsinsatser om integritet vid behov, upprätthållande av register över personuppgiftsbehandlingar samt genomförande av konsekvensbedömningar avseende dataskydd och operativa granskningar.

DPM fungerar som den primära kontaktpunkten för Attendos medarbetare i frågor som rör hantering av personuppgifter. DPM ansvarar även för regelbunden rapportering till Rådet för informationssäkerhet om pågående dataskyddsarbete inom verksamhetsområdet samt för rapportering av väsentliga ärenden, inklusive personuppgiftsincidenter, till dataskyddsombudet DPO.

Dataskyddsombud

Attendo har utsett ett dataskyddsombud på koncernnivå som ska informera och ge råd till Attendo och dess medarbetare om deras skyldigheter enligt dataskyddslagstiftningen, särskilt avseende konsekvensbedömningar avseende dataskydd på begäran. Dataskyddsombudet övervakar även Attendos efterlevnad av dataskyddslagstiftningen, inklusive ansvarsfördelning, medvetandehöjande åtgärder och utbildning av personal som deltar i personuppgiftsbehandling samt relaterade revisioner. DPO rapporterar årligen till ledningen och styrelsen om Attendos arbete med integritets- och dataskyddsfrågor.

Utöver detta fungerar DPO som kontaktpunkt gentemot tillsynsmyndigheter och registrerade i frågor som rör personuppgiftsbehandling.  

Personuppgiftsincidenter

Attendo har etablerat en intern process för incidentrapportering som möjliggör tidig upptäckt, snabb hantering och rättidig rapportering av informationssäkerhetsincidenter, inklusive personuppgiftsincidenter. Detta gör det möjligt för Attendo att minimera negativa konsekvenser, säkerställa verksamhetens kontinuitet samt uppfylla lagstadgade och regulatoriska rapporteringskrav.

Utbildningsprogram för dataskydd

Samtliga medarbetare inom Attendo är skyldiga att delta i obligatoriska utbildningar inom dataskydd, vilka bland annat omfattar Attendos principer för personuppgiftsbehandling och organisation, rutiner för hantering av personuppgiftsincidenter samt informationssäkerhetsaspekter vid hantering av personuppgifter. De obligatoriska utbildningarna ska genomföras vid anställningens start och därefter årligen.