Integritetspolicy

Gäller från 2026-01-29

Ebba Health AB (org.nr 559485-2518) ("Ebba", "vi") är personuppgiftsansvarig för den behandling av personuppgifter som beskrivs i denna integritetspolicy. Vi behandlar personuppgifter i enlighet med EU:s dataskyddsförordning (GDPR). När vi tillhandahåller hälso- och sjukvård gäller även svensk hälso- och sjukvårdsreglering, inklusive patientdatalagen och regler om journalföring.

1. När gäller denna policy?

Denna policy gäller när du:

  • använder våra digitala tjänster (webb och app)
  • kontaktar oss eller kommunicerar med oss (t.ex. e-post, SMS eller WhatsApp)
  • har kontakt med legitimerad hälso- och sjukvårdspersonal via Ebba (vårdkontakt)

2. Vilka personuppgifter behandlar vi?

Vi behandlar personuppgifter i den omfattning som behövs för att tillhandahålla tjänsten, uppfylla lagkrav och driva verksamheten. Exempel på kategorier:

  • Identitets- och kontaktuppgifter: namn, personnummer, telefonnummer, e-postadress.
  • Uppgifter för identifiering och säkerhet: uppgifter kopplade till inloggning och identifiering med BankID samt säkerhetsrelaterade loggar.
  • Betalningsuppgifter: uppgifter som behövs för betalning och abonnemangshantering (kortuppgifter hanteras av vår betaltjänstleverantör).
  • Kommunikationsuppgifter: meddelanden och innehåll du skickar till oss i våra kanaler (t.ex. e-post, SMS, WhatsApp, in-app).
  • Hälso- och vårduppgifter: uppgifter om hälsa, livsstil och behandling som du lämnar eller som dokumenteras av vårdpersonal vid vårdkontakt.
  • Tekniska uppgifter: IP-adress, enhetsuppgifter, loggar och uppgifter om hur du använder tjänsten. På vår webbplats kan cookies och liknande tekniker användas (se vår cookiepolicy).

3. Varför behandlar vi personuppgifter och på vilken grund?

Nedan följer en övergripande beskrivning av typiska ändamål och rättsliga grunder.

3.1 Tillhandahålla tjänsten och administrera konto

  • Ändamål: skapa och hantera konto, tillhandahålla funktioner, kundsupport och nödvändig kommunikation.
  • Rättslig grund: avtal (GDPR art. 6.1 b).

3.2 Hälso- och sjukvård samt journalföring

  • Ändamål: genomföra vårdkontakt, bedömningar och uppföljning, dokumentation och journalföring.
  • Rättslig grund: rättslig förpliktelse (GDPR art. 6.1 c) samt behandling som är nödvändig för hälso- och sjukvård (GDPR art. 9.2 h), i enlighet med patientdatalagen och annan tillämplig lagstiftning.

3.3 Betalning och ekonomi

  • Ändamål: hantera betalningar, abonnemang, eventuella avgifter, bokföring och ekonomisk administration.
  • Rättslig grund: avtal (GDPR art. 6.1 b) och rättslig förpliktelse (GDPR art. 6.1 c).

3.4 Säkerhet, kvalitet och utveckling

  • Ändamål: drift, felsökning, förebygga missbruk, förbättra användarupplevelse och säkerställa informationssäkerhet.
  • Rättslig grund: berättigat intresse (GDPR art. 6.1 f). När behandlingen avser hälso- och vårdrelaterade uppgifter kan även GDPR art. 9.2 h vara tillämplig när det krävs för vård och kvalitet.

3.5 Analys och sessioninspelning (om och när det är aktiverat)

Vi kan använda produktanalysverktyg för att förstå hur tjänsten används och för att felsöka. Det kan, om och när funktionen är aktiverad, även omfatta sessioninspelning (så kallad "session replay") av användarinteraktioner.

  • Ändamål: förbättring och felsökning.
  • Rättslig grund: samtycke (GDPR art. 6.1 a) för icke-nödvändig analys, särskilt om sessioninspelning används.
  • Skyddsåtgärder: vi konfigurerar inspelningar för att minimera insamling, inklusive maskning/uteslutning av inmatningsfält och innehåll där känsliga uppgifter normalt kan förekomma. Du kan när som helst återkalla ditt samtycke via inställningar/cookiepreferenser.

3.6 Marknadsföring (om tillämpligt)

  • Ändamål: skicka nyheter och erbjudanden och mäta effekten av marknadsföring.
  • Rättslig grund: samtycke (GDPR art. 6.1 a) eller berättigat intresse (GDPR art. 6.1 f), beroende på kanal och typ av utskick.
  • Avregistrering: varje marknadsföringsmejl innehåller en avregistreringslänk. Du kan också kontakta privacy@ebba.health för att avregistrera dig. Om du får marknadsföring i andra kanaler (t.ex. SMS) följer du instruktionerna i meddelandet eller kontaktar oss.
  • Viktig information: du kan normalt inte avregistrera dig från nödvändiga service- och säkerhetsmeddelanden, till exempel bekräftelser, påminnelser och information som krävs för att tillhandahålla tjänsten eller uppfylla lagkrav.

4. Var lagras personuppgifter?

  • Patientjournal förs i journalsystem som används för vårdadministration och journalföring.
  • Vår applikationsdata och databaser driftas i AWS inom EU (Stockholm-regionen).
  • Vissa tjänster för marknadswebb/analys kan innebära behandling även utanför EU/EES (se avsnitt 6).

5. Vilka delar vi personuppgifter med?

Vi delar personuppgifter endast i den utsträckning det är nödvändigt för att tillhandahålla våra tjänster, uppfylla lagkrav eller skydda vår verksamhet.

5.1 Kategorier av mottagare

Personuppgifter kan delas med följande kategorier av mottagare:

  • Hälso- och sjukvårdspersonal som behöver uppgifterna för att ge säker och korrekt vård.
  • Leverantörer av journalsystem och vårdadministration som används för journalföring och vårdrelaterad dokumentation.
  • Leverantörer av IT-drift och infrastruktur, till exempel för hosting, datalagring och teknisk drift.
  • Leverantörer av kommunikationstjänster, såsom e-post, SMS, video och andra digitala kommunikationskanaler.
  • Betaltjänstleverantörer för hantering av betalningar och abonnemang.
  • Leverantörer av analys- och utvecklingstjänster som används för att förbättra funktionalitet, säkerhet och användarupplevelse.
  • Myndigheter och andra offentliga organ, när vi är skyldiga enligt lag eller myndighetsbeslut.

5.2 Personuppgiftsbiträden

De leverantörer vi anlitar behandlar personuppgifter för vår räkning och enligt våra instruktioner, i egenskap av personuppgiftsbiträden. Vi ingår personuppgiftsbiträdesavtal som säkerställer att personuppgifter behandlas i enlighet med GDPR och tillämplig hälso- och sjukvårdslagstiftning.

6. Överföring utanför EU/EES

Vi strävar efter att behandla personuppgifter inom EU/EES. Tjänster kopplade till marknadswebben (t.ex. Google Analytics och Google Tag Manager) kan innebära överföring till, eller åtkomst från, länder utanför EU/EES. Vid sådan överföring använder vi lämpliga skyddsåtgärder, till exempel EU-kommissionens standardavtalsklausuler (SCC) eller annan godkänd överföringsmekanism.

7. Hur länge sparar vi personuppgifter?

Vi sparar personuppgifter inte längre än nödvändigt för ändamålen ovan, om inte längre lagring krävs eller är tillåten enligt lag.

  • Patientjournal: som huvudregel minst 10 år efter sista anteckningen, enligt patientdatalagen.
  • Bokföringsunderlag: i enlighet med bokföringslagen (normalt 7 år).
  • Övriga uppgifter: så länge det behövs för att tillhandahålla tjänsten, hantera krav, eller tills du återkallar samtycke (om samtycke är grunden).

8. Säkerhet

Vi använder tekniska och organisatoriska åtgärder för att skydda personuppgifter, bland annat:

  • behörighetsstyrning och åtkomstkontroller
  • loggning och uppföljning där det är relevant
  • kryptering och säkra kommunikationskanaler
  • rutiner för incidenthantering och kontinuerligt säkerhetsarbete

9. Dina rättigheter

Du har rättigheter enligt GDPR, bland annat att:

  • begära tillgång (registerutdrag)
  • begära rättelse
  • begära radering (gäller inte i alla fall, t.ex. normalt inte för patientjournal)
  • begära begränsning av behandling
  • invända mot behandling som sker med berättigat intresse som grund
  • begära dataportabilitet när behandling sker med stöd av avtal eller samtycke

För att skydda din integritet kan vi behöva verifiera din identitet.

Klagomål

Du kan lämna klagomål till Integritetsskyddsmyndigheten (IMY). För vårdfrågor kan du även vända dig till Inspektionen för vård och omsorg (IVO) eller Patientnämnden.

10. Ändringar i denna policy

Vi kan uppdatera denna integritetspolicy. Den senaste versionen finns alltid på vår webbplats. Vid väsentliga ändringar informerar vi på lämpligt sätt.

Börja din resa med Ebba

Kom igång
lösning
Steg-för-stegPriserEbba AI coach
Juridisk
IntegritetspolicyAnvändarvillkorCookiepolicy
EBBA HEALTH
Vanliga frågorOm ossKontakt
© Ebba Health 2025, All Rights Reserved

Ebba Health AB (Sverige, Org.nr: 559485-2518). Medicinska tjänster utförs av legitimerade vårdpersonal i Sverige. GDPR-efterlevnad.