Integritetspolicy

Version: 1.0 | Ikraftträdandedatum: 18 nov. 2025

1. Introduktion och Personuppgiftsansvarig

Denna Integritetspolicy förklarar hur vi samlar in, använder, delar och skyddar dina personuppgifter när du använder Ekho Psychology-plattformen ("Plattformen"). Vi är engagerade i att skydda din integritet och följa tillämpliga dataskyddslagar, inklusive Dataskyddsförordningen (GDPR) och svenska hälso- och sjukvårdsregler.

Personuppgiftsansvarig:
EKHO Psychology
E-post: [email protected]
Webbplats: www.ekhopsychology.se

Vid frågor om hur vi behandlar dina personuppgifter eller för att utöva dina rättigheter, vänligen kontakta oss via ovanstående kontaktuppgifter.

2. Vilka Personuppgifter Vi Samlar In

Vi samlar in och behandlar följande kategorier av personuppgifter:

2.1 Identitets- och Kontaktuppgifter

  • Namn (förnamn, efternamn)
  • Födelsedatum
  • E-postadress
  • Telefonnummer
  • Postadress (land, postnummer, stad, gatuadress)
  • Föredraget språk och tidszon

2.2 Konto- och Autentiseringsdata

  • Kontouppgifter (e-postadress och hashat lösenord)
  • Verifieringsstatus för e-post och telefonnummer
  • Kontoinställningar och notifikationspreferenser
  • Inloggningshistorik och autentiseringsposter
  • Verifieringstoken och säkerhetskoder

2.3 Boknings- och Tjänsteuppgifter

  • Bokningsinformation (datum, tid, varaktighet)
  • Bokningsstatus och avbokningshistorik
  • Tjänsteförbrukningsposter
  • Sessionsanteckningar och kliniska observationer (förda av vårdgivare)
  • Behandlingsavtal och vårdöverenskommelser
  • Resultat av tjänsteleverans

2.4 Finansiell Information och Betalningsuppgifter

  • Betalningstransaktionshistorik
  • Fakturainformation
  • Kredit- och monetära huvudboksposter
  • Valuta- och prisinformation
  • Betalningsmetod (hanteras av vår betalningsleverantör)
  • Återbetalnings- och justeringshistorik

2.5 Hälso- och Kliniska Uppgifter

För tjänster som tillhandahålls av legitimerade vårdgivare:

  • Dokumentation av behandlingssessioner
  • Kliniska anteckningar och observationer
  • Tjänsteförbrukningsposter
  • Behandlingsplaner och vårdöverenskommelser
  • Hälsorelaterad information som krävs för tjänsteleverans

2.6 Kommunikationsdata

  • Meddelanden skickade via kontaktformulär
  • E-postkorrespondens
  • Notifikationspreferenser
  • Kommunikationshistorik

2.7 Tekniska- och Användningsuppgifter

  • IP-adress (anonymiserad för analysändamål)
  • Webbläsartyp och version
  • Operativsystem och enhetsinformation
  • User agent-sträng
  • Sidvisningar och interaktionsdata
  • Sessionslängd och engagemangsstatistik
  • Hänvisningsinformation och navigationsmönster
  • Språk- och tidszonsinställningar

2.8 Kampanj- och Attributionsdata

  • UTM-kampanjparametrar
  • Annonsklicksidentifierare
  • Landningssida och hänvisningskälla
  • Konverteringshändelser
  • Engagemangsstatistik
  • Ursprungsland (härlett från anonymiserad IP-adress)

2.9 Rättslig Efterlevnadsdata

  • Samtyckesregister för användarvillkor och integritetspolicy
  • IP-adress och user agent vid samtyckestillfället
  • Dokumentversion och tidpunkt för godkännande
  • Granskningsspårsinformation

3. Rättslig Grund för Behandling

Vi behandlar dina personuppgifter på följande rättsliga grunder:

3.1 Avtalets Fullgörande (GDPR Artikel 6(1)(b))

Behandling som är nödvändig för att tillhandahålla tjänster du har begärt:

  • Skapande och hantering av konto
  • Bokning och hantering av tider
  • Leverans av tjänster och hantering av sessioner
  • Betalningshantering och ekonomisk redovisning
  • Kommunikation relaterad till din användning av våra tjänster

3.2 Rättslig Förpliktelse (GDPR Artikel 6(1)(c))

Behandling som krävs enligt lag:

  • Ekonomisk redovisning och skatteuppfyllelse
  • Journalföring inom hälso- och sjukvård (för legitimerade vårdgivare)
  • Efterlevnad av bokförings- och faktureringskrav
  • Svar på rättsliga förfrågningar från myndigheter

3.3 Samtycke (GDPR Artikel 6(1)(a))

Behandling baserad på ditt uttryckliga samtycke:

  • Analys och användningsspårning för tjänsteförbättring
  • Kampanjattribution och marknadsföringsanalys
  • Icke-nödvändig kommunikation
  • Behandling av särskilda kategorier av data (där så är tillämpligt)

Du kan när som helst återkalla ditt samtycke via dina kontoinställningar eller genom att kontakta oss.

3.4 Berättigat Intresse (GDPR Artikel 6(1)(f))

Behandling som är nödvändig för våra berättigade intressen:

  • Bedrägeribekämpning och säkerhetsövervakning
  • Tjänsteförbättring och utveckling
  • Optimering av plattformens prestanda
  • Kundsupport och problemlösning

Vi väger noggrant våra berättigade intressen mot dina rättigheter och friheter innan vi behandlar data på denna grund.

3.5 Särskilda Kategorier av Data

Hälso- och kliniska uppgifter utgör särskilda kategorier av personuppgifter enligt GDPR Artikel 9. Vi behandlar sådan data:

  • Med ditt uttryckliga samtycke för behandlingsändamål
  • När det är nödvändigt för vård enligt tillämplig lag
  • Under ytterligare skyddsåtgärder och professionell sekretess

4. Journalföring och Hälsojournaler

4.1 Vårdgivare Under Svensk Lag

Legitimerade vårdgivare i Sverige och som omfattas av Patientdatalagen för journalhandlingar enligt lagkrav. Dessa journaler:

  • Sparas i minst 10 år från senaste patientkontakt
  • Hanteras med lämpliga sekretess- och säkerhetsåtgärder
  • Kan begäras ut av patienten enligt svensk lag
  • Omfattas av tystnadsplikt

4.2 Vårdgivare i Andra Jurisdiktioner

Vårdgivare registrerade i andra länder omfattas av respektive lands journalföringskrav. Tider för bevarande och tillgång kan variera enligt lokal lagstiftning.

4.3 Plattformleverantör

Som plattformsleverantör upprätthåller vi tekniska och administrativa register för att stödja vårdtjänster, inklusive bokningsuppgifter, tjänsteförbrukning och avtalsinformation. Dessa register sparas enligt tillämpliga affärsmässiga krav och kan skilja sig från journaler som förs av enskilda vårdgivare.

4.4 Ljud- och Bildinspelningar

Ljud- och bildinspelningar från video- eller telefonkonsultationer lagras inte på plattformen. Vårdgivare ansvarar själva för att följa lagar om de hanterar sådana inspelningar.

5. Datadelning och Tredjepartsleverantörer

Vi prioriterar att hålla dina uppgifter internt och delar endast personuppgifter med tredje part när det är nödvändigt för tjänsteleverans eller rättslig efterlevnad.

5.1 Tredjepartsleverantörer

Vi anlitar noggrant utvalda personuppgiftsbiträden som behandlar personuppgifter för vår räkning under strikta avtal:

  • SMS-verifiering:
    Leverantör: Twilio Inc.
    Data som delas: Telefonnummer, verifieringskoder
    Syfte: Verifiering av telefonnummer och SMS-baserad autentisering
    Plats: USA (enligt standardavtalsklausuler och adekvansbeslut)
  • Betalningshantering:
    Leverantör: Stripe, Inc. (via individuella vårdgivarkonton)
    Data som delas: E-postadress, belopp, transaktionsmetadata
    Syfte: Hantering av betalningar för tjänster
    Not: Varje vårdgivare har eget Stripe-konto; vi hanterar inte centrala betalningar
    Plats: USA och Europa (enligt standardavtalsklausuler och adekvansbeslut)

5.2 Andra Vårdgivare

Vid remiss eller samordning av vård kan dina hälso- och sjukvårdsuppgifter delas med:

  • Mottagande vårdgivare
  • Regionala vårdsystem (om tillämpligt)

Sådan delning sker endast med ditt samtycke eller när det krävs enligt lag.

5.3 Myndigheter och Tillsynsorgan

Vi kan lämna ut personuppgifter till:

  • Skattemyndigheter (för ekonomisk efterlevnad)
  • Hälso- och sjukvårdsmyndigheter (enligt lag)
  • Brottsbekämpande myndigheter (vid giltiga rättsliga förfrågningar)
  • Domstolar och juridiska ombud (vid rättsliga processer)

6. Lagring av Uppgifter

Vi sparar personuppgifter endast så länge det är nödvändigt för ändamålet och för att uppfylla rättsliga skyldigheter.

6.1 Hälsojournaler

  • Svenska vårdgivare: Minst 10 år från senaste patientkontakt, enligt svensk lag
  • Andra jurisdiktioner: Enligt tillämpliga journalföringskrav

6.2 Konto- och Tjänsteuppgifter

  • Aktiva konton: Så länge du har ett aktivt konto hos oss
  • Inaktiva konton: Sparas under rimlig tid efter inaktivitet, därefter anonymiseras eller raderas de
  • Tjänsteposter: Sparas så länge det krävs för tjänsteleverans och problemlösning

6.3 Ekonomiska Uppgifter

  • Transaktionshistorik: Sparas enligt skatte- och bokföringskrav (vanligtvis 7 år)
  • Huvudboksposter: Sparas permanent för revisionsändamål

6.4 Rättsliga och Efterlevnadsuppgifter

  • Samtyckesregister: Sparas under relationens varaktighet och därefter för att visa efterlevnad
  • Granskningsspår: Sparas enligt lagkrav

6.5 Analys- och Tekniska Uppgifter

  • Sessionsdata: Sparas i 30 dagar
  • Anonymiserad analysdata: Kan sparas på obestämd tid i aggregerad, icke-identifierbar form

6.6 Radering och Anonymisering

På begäran eller efter gällande lagringstid:

  • Raderar vi personuppgifter permanent från aktiva system
  • Anonymiserar data där radering skulle påverka rättsliga eller affärsmässiga skyldigheter
  • Säkerställer att säkerhetskopior med personuppgifter rensas enligt vår lagringspolicy

7. Dina Rättigheter enligt GDPR

Du har följande rättigheter gällande dina personuppgifter:

7.1 Rätt till Tillgång (Artikel 15)

Du kan begära:

  • Bekräftelse på om vi behandlar dina personuppgifter
  • En kopia av dina personuppgifter
  • Information om hur vi behandlar dina uppgifter

Första kopian är gratis. För ytterligare kopior kan vi ta ut en rimlig administrativ avgift.

7.2 Rätt till Rättelse (Artikel 16)

Du kan begära rättelse av felaktiga eller ofullständiga personuppgifter. Du kan uppdatera det mesta direkt via dina kontoinställningar.

7.3 Rätt till Radering (Artikel 17)

Du kan begära radering av dina personuppgifter när:

  • Uppgifterna inte längre behövs för det syfte de samlades in
  • Du återkallar samtycke och det finns ingen annan rättslig grund
  • Du invänder mot behandling baserat på berättigat intresse och det saknas övervägande skäl
  • Uppgifterna har behandlats olagligt
  • Radering krävs enligt lag

Begränsningar: Vi kan neka radering om det krävs för:

  • Efterlevnad av rättsliga skyldigheter (t.ex. bokföring, journalföring)
  • Fastställande, utövande eller försvar av rättsliga anspråk
  • Arkivering för allmänintresset

7.4 Rätt till Begränsning av Behandling (Artikel 18)

Du kan begära begränsning av behandling när:

  • Du bestrider riktigheten av personuppgifter (under verifiering)
  • Behandlingen är olaglig men du föredrar begränsning framför radering
  • Vi inte längre behöver uppgifterna men du behöver dem för rättsliga anspråk
  • Du har invänt mot behandling (i väntan på verifiering av berättigade skäl)

7.5 Rätt till Dataportabilitet (Artikel 20)

Du kan begära:

  • Dina personuppgifter i ett strukturerat, allmänt använt, maskinläsbart format
  • Överföring av dina uppgifter direkt till en annan personuppgiftsansvarig (om tekniskt möjligt)

Denna rätt gäller för uppgifter som behandlas baserat på samtycke eller avtal och som behandlas automatiserat.

7.6 Rätt att Invända (Artikel 21)

Du kan invända mot behandling baserat på:

  • Berättigat intresse: Du kan invända av skäl som rör din specifika situation
  • Direktmarknadsföring: Du kan invända när som helst (vi bedriver för närvarande ingen direktmarknadsföring)

7.7 Rätt att Återkalla Samtycke

Om behandling sker med stöd av samtycke kan du när som helst återkalla detta. Återkallelse påverkar inte lagligheten av behandling före återkallelsen.

7.8 Rätt att Lämna in Klagomål

Du har rätt att lämna in klagomål till en tillsynsmyndighet, särskilt i det land där du bor, arbetar eller där överträdelsen har ägt rum.

Svensk tillsynsmyndighet:
Integritetsskyddsmyndigheten (IMY)
Webbplats: www.imy.se
E-post: [email protected]
Telefon: +46 8 657 61 00

7.9 Utövande av Dina Rättigheter

För att utöva någon av dessa rättigheter, kontakta oss på [email protected]. Vi svarar inom en månad, men tiden kan förlängas med två månader vid komplexa ärenden.

Vi kan begära ytterligare information för att verifiera din identitet innan vi behandlar din begäran.

8. Datasäkerhet

Vi vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda dina personuppgifter mot obehörig åtkomst, ändring, utlämnande eller förstörelse.

8.1 Vårdgivares Ansvar

Vårdgivare som använder plattformen ansvarar själva för:

  • Att upprätthålla professionell sekretess
  • Att införa lämpliga säkerhetsåtgärder för hälso- och sjukvårdsdata
  • Att följa hälso- och sjukvårdsspecifika dataskyddskrav

9. Kontakt och Frågor

9.1 Integritetsfrågor

För att utöva dina GDPR-rättigheter eller begära information om dina personuppgifter:
E-post: [email protected]
Ange: Fullständigt namn, e-postadress och specifik begäran
Vi svarar inom en månad efter verifiering

9.2 Tillgång till Hälsojournaler

För tillgång till journaler som förs av din vårdgivare:

  • Kontakta din vårdgivare direkt
  • Svenska patienter: Du har rätt att ta del av din journal enligt Patientdatalagen
  • Vårdgivare svarar enligt gällande hälso- och sjukvårdsregler

Språk: Denna integritetspolicy finns på engelska, svenska och ungerska. Vid skillnader mellan versionerna gäller den engelska versionen för tolkning.