AI-terapi 24/7 + legitimerade terapeuter.Prova nu →
GDPR-information

Dataskydd & GDPR

Senast uppdaterad: 8 mars 2026 · Gäller fr.o.m. 8 mars 2026

Hälsodata är känsliga personuppgifter. Innehållet i dina terapisamtal klassificeras som hälsodata enligt artikel 9 GDPR och åtnjuter därför ett förstärkt skydd. Vi behandlar dessa uppgifter enbart med ditt uttryckliga samtycke och med end-to-end-kryptering.

1. Personuppgiftsansvarig

Your Therapist

Adress: Riddargatan 70, 114 57 Stockholm, Sverige

E-post: info@yourtherapist.se

YourTherapist AB är personuppgiftsansvarig för de uppgifter som du lämnar direkt till oss. Där en legitimerad terapeut är kopplad till ditt konto är terapeuten och YourTherapist AB gemensamt personuppgiftsansvariga för samtal som terapeuten har tillgång till.

2. Vilka personuppgifter vi behandlar

KontouppgifterE-postadress, namn, lösenord (hashat), rolltyp
Hälsodata (art. 9)Innehåll i AI-chattsessioner, mående-skattningar (1–10), symtombeskrivningar, livstema-utforskningar
Tekniska uppgifterIP-adress, enhets- och webbläsarinformation, loggdata, tidsstämplar
BetaluppgifterBetalhistorik, fakturainformation (kortdata hanteras enbart av Stripe – vi lagrar det ej)
KommunikationE-postkorrespondens med oss, kontaktformulärsmeddelanden

3. Rättsliga grunder för behandlingen

Samtycke (art. 6.1 a, art. 9.2 a)

Behandling av hälsouppgifter och känsligt innehåll i chatt-sessioner. Samtycke är frivilligt och kan återkallas när som helst.

Avtal (art. 6.1 b)

Hantering av kontoinformation, betaluppgifter och teknisk drift av tjänsten som är nödvändig för att fullgöra avtalet med dig.

Rättslig förpliktelse (art. 6.1 c)

Bokföringslagen, penningtvättslagen och annan tillämplig lagstiftning som kräver att vi sparar vissa uppgifter.

Berättigat intresse (art. 6.1 f)

Säkerhet, bedrägeriförebyggande, statistik på aggregerad och anonymiserad nivå samt teknisk felsökning. Vi gör alltid en intresseavvägning.

4. Ändamål med behandlingen

  • Tillhandahålla och drifta AI-terapitjänsten och alla dess funktioner
  • Möjliggöra kommunikation och kontakt mellan patient och legitimerad terapeut
  • Personalisera och förbättra upplevelsen baserat på dina uppsatta mål och livsteman
  • Krisdetektering och -hantering för att skydda din säkerhet
  • Fakturering, betalningshantering och bokföring
  • Teknisk felsökning, säkerhet och förebyggande av missbruk
  • Uppfylla rättsliga skyldigheter

5. Lagring och lagringstider

Vi lagrar dina personuppgifter så länge det är nödvändigt för ändamålen eller så länge vi är skyldiga enligt lag. Nedan anges riktlinjer:

KontouppgifterTill dess kontot raderas + 90 dagar (backup-window)
Chattsessioner (hälsodata)Till dess du begär radering, dock max 3 år efter senaste session
Betalhistorik och fakturor7 år (bokföringslagens krav)
Säkerhetsloggar12 månader
Krisincidentloggar3 år (patientsäkerhetsskäl och rättslig förpliktelse)

6. Dina rättigheter

Rätt till tillgång (art. 15)

Du har rätt att få bekräftelse på om vi behandlar dina personuppgifter och, om så är fallet, en kopia av dessa samt information om hur de behandlas.

Rätt till rättelse (art. 16)

Du har rätt att utan onödigt dröjsmål få felaktiga personuppgifter rättade, och att komplettera ofullständiga uppgifter.

Rätt till radering (art. 17)

Du har rätt att begära att vi raderar dina personuppgifter ("rätten att bli glömd") när de inte längre är nödvändiga, om samtycke återkallas eller om behandlingen saknar rättslig grund.

Rätt till begränsning (art. 18)

Du har rätt att begära att behandlingen av dina uppgifter begränsas i vissa situationer, till exempel medan vi utreder en invändning mot behandlingen.

Rätt till dataportabilitet (art. 20)

Du har rätt att få ut dina uppgifter i ett strukturerat, allmänt använt och maskinläsbart format, samt att överföra dem till en annan personuppgiftsansvarig.

Rätt att invända (art. 21)

Du har rätt att invända mot behandling som grundar sig på berättigat intresse, inklusive profilering. Invänder du upphör vi att behandla uppgifterna om vi inte kan visa tvingande berättigade skäl.

Automatiserat beslutsfattande (art. 22): Vi använder AI för att generera terapeutiska svar och krisriskbedömningar. Dessa klassificeras som tekniska hjälpmedel – inga rättsligt bindande eller på liknande sätt ingripande beslut fattas enbart på automatiserad väg utan mänsklig kontroll. Din legitimerade terapeut granskar flaggade konversationer manuellt.

För att utöva dina rättigheter: info@yourtherapist.se. Vi besvarar begäran inom 30 dagar (art. 12).

7. Mottagare och tredjepartsöverföringar

Vi delar dina uppgifter med ett begränsat antal betrodda personuppgiftsbiträden. Alla biträdesavtal (DPA) är upprättade i enlighet med artikel 28 GDPR.

Anthropic / Claude APIAI-generering av terapisvarUSA (adequacy via SCCs)
Render.comHosting och databasinfrastrukturUSA (SCCs)
StripeBetalningshanteringUSA (SCCs / Privacy Shield)
ResendTransaktionsmail (e-postvarifieringar)USA (SCCs)
Legitimerade terapeuterTerapeutisk uppföljning (enbart för patienter knutna till terapeut)Sverige

Tredjelandsöverföringar: Vid överföring till länder utanför EU/EES utan adekvat skyddsnivå tillämpas EU-kommissionens standardavtalsklausuler (SCC, beslut 2021/914). Innehållet i dina chattsessioner krypteras med din personliga nyckel innan det lämnar vår infrastruktur.

8. Tekniska och organisatoriska säkerhetsåtgärder

  • End-to-end-kryptering: Chattsessioner krypteras med AES-256 och användarspecifika nycklar – inte ens systemadministratörer kan läsa ditt innehåll.
  • Kryptering i vila och transit: All data krypteras i databasen (at rest) och kommuniceras enbart via TLS 1.2+.
  • Åtkomstkontroll: Rollbaserad behörighet (RBAC) – terapeuter ser enbart sina egna patienter, admins saknar tillgång till chatt-innehåll.
  • Privacy by design (art. 25): Dataminimering, pseudonymisering och standardinställningar på den mest skyddande nivån.
  • Säkerhetsloggning: Alla känsliga operationer loggas i revisionslogg (audit log) med tidsstämpel och användar-ID.
  • Penetrationstestning: Regelbundna sårbarhetstester och kodgranskning mot OWASP Top 10.

9. Personuppgiftsincidenter

Vid en personuppgiftsincident som sannolikt innebär en risk för fysiska personers rättigheter och friheter anmäler vi detta till Integritetsskyddsmyndigheten (IMY) inom 72 timmar (art. 33). Om incidenten sannolikt innebär en hög risk för dig som registrerad informeras du utan onödigt dröjsmål (art. 34).

10. Cookies och spårning

Vi använder enbart tekniskt nödvändiga cookies för autentisering och sessionshantering. Vi använder inga tredjepartsspårare, marknadsföringscookies eller fingerprinting. Se vår integritetspolicy för fullständig cookie-information.

11. Rätt att klaga till tillsynsmyndigheten

Du har rätt att när som helst lämna klagomål till behörig tillsynsmyndighet (art. 77). I Sverige är detta:

Integritetsskyddsmyndigheten (IMY)

Box 8114, 104 20 Stockholm

www.imy.se

Frågor om dataskydd?

Kontakta oss på info@yourtherapist.se. Vi svarar inom 2 arbetsdagar.