Integritetspolicy

Gäller från 2026-04-28

Ebba Health AB (org.nr 559485-2518) ("Ebba", "vi") är personuppgiftsansvarig för den behandling av personuppgifter som beskrivs i denna integritetspolicy. Vi behandlar personuppgifter i enlighet med EU:s dataskyddsförordning (GDPR). När vi tillhandahåller hälso- och sjukvård gäller även svensk hälso- och sjukvårdsreglering, inklusive patientdatalagen och regler om journalföring.

1. När gäller denna policy?

Denna policy gäller när du:

  • använder våra digitala tjänster (webb och app)
  • kontaktar oss eller kommunicerar med oss (t.ex. e-post, SMS eller WhatsApp)
  • har kontakt med legitimerad hälso- och sjukvårdspersonal via Ebba (vårdkontakt)

2. Vilka personuppgifter behandlar vi?

Vi behandlar personuppgifter i den omfattning som behövs för att tillhandahålla tjänsten, uppfylla lagkrav och driva verksamheten. Exempel på kategorier:

  • Identitets- och kontaktuppgifter: namn, personnummer, telefonnummer, e-postadress.
  • Uppgifter för identifiering och säkerhet: uppgifter kopplade till inloggning och identifiering med BankID samt säkerhetsrelaterade loggar.
  • Betalningsuppgifter: uppgifter som behövs för betalning och abonnemangshantering (kortuppgifter hanteras av vår betaltjänstleverantör).
  • Kommunikationsuppgifter: meddelanden och innehåll du skickar till oss i våra kanaler (t.ex. e-post, SMS, WhatsApp, in-app).
  • Hälso- och vårduppgifter: uppgifter om hälsa, livsstil och behandling som du lämnar eller som dokumenteras av vårdpersonal vid vårdkontakt.
  • Tekniska uppgifter: IP-adress, enhetsuppgifter, loggar och uppgifter om hur du använder tjänsten. På vår webbplats kan cookies och liknande tekniker användas (se vår cookiepolicy).

3. Varför behandlar vi personuppgifter och på vilken grund?

Nedan följer en övergripande beskrivning av typiska ändamål och rättsliga grunder.

3.1 Tillhandahålla tjänsten och administrera konto

  • Ändamål: skapa och hantera konto, tillhandahålla funktioner, kundsupport och nödvändig kommunikation.
  • Rättslig grund: avtal (GDPR art. 6.1 b).

3.2 Hälso- och sjukvård samt journalföring

  • Ändamål: genomföra vårdkontakt, bedömningar och uppföljning, dokumentation och journalföring.
  • Rättslig grund: rättslig förpliktelse (GDPR art. 6.1 c) samt behandling som är nödvändig för hälso- och sjukvård (GDPR art. 9.2 h), i enlighet med patientdatalagen och annan tillämplig lagstiftning.

3.3 Betalning och ekonomi

  • Ändamål: hantera betalningar, abonnemang, eventuella avgifter, bokföring och ekonomisk administration.
  • Rättslig grund: avtal (GDPR art. 6.1 b) och rättslig förpliktelse (GDPR art. 6.1 c).

3.4 Säkerhet, kvalitet och utveckling

  • Ändamål: drift, felsökning, förebygga missbruk, förbättra användarupplevelse och säkerställa informationssäkerhet.
  • Rättslig grund: berättigat intresse (GDPR art. 6.1 f). När behandlingen avser hälso- och vårdrelaterade uppgifter kan även GDPR art. 9.2 h vara tillämplig när det krävs för vård och kvalitet.

3.5 Analys och sessioninspelning

  • Vi använder produktanalysverktyg för att förstå hur tjänsten används och felsöka problem. Detta inkluderar sammanfattande statistik om sidvisningar och händelser.
  • Sessioninspelning ('session replay') av användarinteraktioner används inte i nuläget. Om vi i framtiden aktiverar sessioninspelning sker det endast efter ditt uttryckliga samtycke i cookie-bannern, med automatisk maskering av inmatningsfält och med särskild uteslutning av flöden som hanterar hälso- och vårduppgifter.
  • Rättslig grund: samtycke (GDPR art. 6.1 a och LEK 9 kap. 28 §) för icke-nödvändig analys.

3.6 Marknadsföring (om tillämpligt)

  • Ändamål: skicka nyheter, erbjudanden och produktuppdateringar och mäta effekten av marknadsföring. Rättslig grund för marknadsföringskommunikation till dig som konsument: samtycke (GDPR art. 6.1 a och LEK 9 kap. 19 §). För befintlig kund kan vi i begränsade fall skicka information om liknande tjänster med stöd av berättigat intresse (GDPR art. 6.1 f), under förutsättning att du erbjudits enkel möjlighet att avregistrera dig vid varje utskick.
  • Avregistrering: varje marknadsföringsmejl innehåller en avregistreringslänk. Du kan också kontakta privacy@ebba.health för att avregistrera dig.
  • Viktig information: du kan normalt inte avregistrera dig från nödvändiga service- och säkerhetsmeddelanden, till exempel bekräftelser, påminnelser och information som krävs för att tillhandahålla tjänsten eller uppfylla lagkrav.

3.7 AI-stöd inom Tjänsten

  • Tjänsten använder AI-stöd som hjälper dig med kost-, tränings- och motivationsråd. AI-stödet utbildar, motiverar och samlar information från dig samt kan föreslå tips och innehåll. AI-stödet fattar inte medicinska beslut. All medicinsk bedömning, behandling och förskrivning utförs av legitimerad vårdpersonal.
  • Personuppgifter som lämnas till AI-stödet behandlas i enlighet med denna policy. AI-leverantörer som vi anlitar agerar som personuppgiftsbiträden enligt avtal som säkerställer GDPR-efterlevnad och, för hälsodata, krav enligt patientdatalagen. Vissa AI-tjänster kan innebära behandling utanför EU/EES med lämpliga skyddsåtgärder (se avsnitt 6).
  • Rättslig grund: avtal (GDPR art. 6.1 b) för AI-stöd som ingår i Tjänsten, samt GDPR art. 9.2 h när AI-stödet behandlar hälso- och vårduppgifter inom ramen för vården. Du informeras om att du interagerar med ett AI-stöd vid användning.

4. Var lagras personuppgifter?

  • Patientjournal förs i journalsystem som används för vårdadministration och journalföring.
  • Vår applikationsdata och databaser driftas i AWS inom EU (Stockholm-regionen).
  • Vissa tjänster för marknadswebb/analys kan innebära behandling även utanför EU/EES (se avsnitt 6).

5. Vilka delar vi personuppgifter med?

Vi delar personuppgifter endast i den utsträckning det är nödvändigt för att tillhandahålla våra tjänster, uppfylla lagkrav eller skydda vår verksamhet.

5.1 Kategorier av mottagare

Personuppgifter kan delas med följande kategorier av mottagare:

  • Hälso- och sjukvårdspersonal som behöver uppgifterna för att ge säker och korrekt vård.
  • Leverantörer av journalsystem och vårdadministration som används för journalföring och vårdrelaterad dokumentation.
  • Leverantörer av IT-drift och infrastruktur, till exempel för hosting, datalagring och teknisk drift.
  • Leverantörer av kommunikationstjänster, såsom e-post, SMS, video och andra digitala kommunikationskanaler.
  • Betaltjänstleverantörer för hantering av betalningar och abonnemang.
  • Leverantörer av analys- och utvecklingstjänster som används för att förbättra funktionalitet, säkerhet och användarupplevelse.
  • Myndigheter och andra offentliga organ, när vi är skyldiga enligt lag eller myndighetsbeslut.

5.2 Personuppgiftsbiträden

De leverantörer vi anlitar behandlar personuppgifter för vår räkning och enligt våra instruktioner, i egenskap av personuppgiftsbiträden. Vi ingår personuppgiftsbiträdesavtal som säkerställer att personuppgifter behandlas i enlighet med GDPR och tillämplig hälso- och sjukvårdslagstiftning.

6. Överföring utanför EU/EES

Vi strävar efter att behandla personuppgifter inom EU/EES. Vissa tekniska tjänster (till exempel för analys, kommunikation och drift) kan innebära överföring till, eller åtkomst från, länder utanför EU/EES. Vid sådan överföring använder vi lämpliga skyddsåtgärder, till exempel EU-kommissionens standardavtalsklausuler (SCC), EU-US Data Privacy Framework där tillämpligt, eller annan godkänd överföringsmekanism. För hälsodata tillämpas ytterligare skyddsåtgärder enligt patientdatalagen.

7. Hur länge sparar vi personuppgifter?

Vi sparar personuppgifter inte längre än nödvändigt för ändamålen ovan, om inte längre lagring krävs eller är tillåten enligt lag.

  • Patientjournal: som huvudregel minst 10 år efter sista anteckningen, enligt patientdatalagen.
  • Bokföringsunderlag: i enlighet med bokföringslagen (normalt 7 år).
  • Övriga uppgifter: så länge det behövs för att tillhandahålla tjänsten, hantera krav, eller tills du återkallar samtycke (om samtycke är grunden).

8. Säkerhet

Vi använder tekniska och organisatoriska åtgärder för att skydda personuppgifter, bland annat:

  • behörighetsstyrning och åtkomstkontroller
  • loggning och uppföljning där det är relevant
  • kryptering och säkra kommunikationskanaler
  • rutiner för incidenthantering och kontinuerligt säkerhetsarbete

9. Dina rättigheter

Du har rättigheter enligt GDPR, bland annat att:

  • begära tillgång (registerutdrag)
  • begära rättelse
  • begära radering (gäller inte i alla fall, t.ex. normalt inte för patientjournal)
  • begära begränsning av behandling
  • invända mot behandling som sker med berättigat intresse som grund
  • begära dataportabilitet när behandling sker med stöd av avtal eller samtycke
  • invända mot, eller begära mänsklig granskning av, behandling som baseras på automatiserat beslutsfattande enligt GDPR art. 22, om sådan behandling används vid bedömning av lämplighet eller åtkomst till Tjänsten. Inga medicinska beslut fattas dock automatiserat i Tjänsten. Alla medicinska beslut tas av legitimerad vårdpersonal.

För att skydda din integritet kan vi behöva verifiera din identitet.

Klagomål

Du kan lämna klagomål till Integritetsskyddsmyndigheten (IMY). För vårdfrågor kan du även vända dig till Inspektionen för vård och omsorg (IVO) eller Patientnämnden.

10. Ändringar i denna policy

Vi kan uppdatera denna integritetspolicy. Den senaste versionen finns alltid på vår webbplats. Vid väsentliga ändringar informerar vi på lämpligt sätt.

Börja din resa med Ebba

Kom igång
Tar 2 minuter • Ingen bindningstid
lösning
Steg-för-stegPriser
Juridisk
IntegritetspolicyAnvändarvillkorCookiepolicy
EBBA HEALTH
Vanliga frågorOm ossKontakt
© Ebba Health 2026, All Rights Reserved

Ebba Health AB (Sverige, Org.nr: 559485-2518). Medicinska tjänster utförs av legitimerade vårdpersonal i Sverige. Vi följer GDPR och Patientdatalagen.
Ebba AI är ett digitalt stöd och ersätter inte vårdkontakt. Vid akuta besvär – ring 112 eller kontakta vårdcentral.