Privatlivspolitik

Norra Hamn Kliniken AB (org.nr 559249-4081), der driver Dibélle, er dataansvarlig for de personoplysninger, der behandles i forbindelse med vores virksomhed.

Adresse: Kullagatan 40, 252 20 Helsingborg, Sverige

Telefon: +46 72-020 20 62

E-mail: info@dibelle.se

Ansvarlig: Abir Mustafa, autoriseret sygeplejerske

Vi indsamler følgende kategorier af personoplysninger afhængigt af hvordan du interagerer med os:

Via kontaktformularen:

• Navn
• E-mailadresse
• Emne (valgfrit)
• Besked

Via nyhedsbrevet:

• E-mailadresse
• Dato for samtykke

Via AI-chatten (behandlingsguiden):

• Dine spørgsmål (saniteret, op til 500 tegn pr. besked)
• En tilfældig sessionsnøgle (ikke koblet til identitet)
• Hvilken side du er på

Via hjemmesidebesøg (med analysesamtykke):

• IP-adresse (anonymiseret af Google Analytics)
• Enheds- og browserinformation
• Besøgte sider og interaktion
• Geografisk placering (byniveau)
• En sessionStorage-nøgle (slettes når fanen lukkes) til at gruppere sidevisninger til en besøgsrejse

Via booking hos Bokadirekt:

• Bookingdata håndteres af Bokadirekt AB iht. deres privatlivspolitik. Vi har ikke adgang til dine betalingsoplysninger.

I serverens hukommelse (flygtigt, ikke langtidslagret):

• IP-adresse til spambeskyttelse og rate limiting. Slettes ved næste serverstart, normalt inden for få timer.

Vi behandler dine personoplysninger til følgende formål:

• Besvare henvendelser (kontaktformular). Retsgrundlag: Legitim interesse i at yde god kundeservice
• Håndtere bookinger (via Bokadirekt). Retsgrundlag: Opfyldelse af kontrakt
• Analysere webtrafik (Google Analytics). Retsgrundlag: Samtykke
• Forbedre hjemmesidens ydeevne (Vercel Analytics). Retsgrundlag: Legitim interesse (ingen cookies, ingen personoplysninger)
• Overholdelse af bogføringslov. Retsgrundlag: Retlig forpligtelse

Vi behandler aldrig dine personoplysninger til reklame, profilering eller videresalg.

At afgive personoplysninger til os er frivilligt. Hvis du ikke udfylder kontaktformularen eller nyhedsbrevet, kan du stadig bruge hjemmesiden og booke via Bokadirekt. Kontaktformular og nyhedsbrev er valgfri tjenester.

For faktisk at booke en behandling har Bokadirekt (tredjepart, særskilt dataansvarlig) brug for visse oplysninger i henhold til aftale.

Vores hjemmeside bruger cookies og lokal lagring (localStorage) i overensstemmelse med LEK (2022:482) kap. 9 § 28 og ePrivacy-direktivet (2002/58/EF) art. 5(3). Vi deler dem op i tre kategorier, som du selv vælger i vores cookiebanner:

Nødvendige (altid aktive, kræver ikke samtykke):

• Samtykkesindstilling: gemmer dit cookievalg (localStorage, 6 måneder)
• Sessiondata: AI-chat under det aktuelle besøg (sessionStorage, slettes når fanen lukkes)

Analyse (kræver dit samtykke):

• Google Analytics 4: måler hjemmesidetrafik og adfærd. Aktiveres først efter dit samtykke via cookiebanneret.

Funktionelle (kræver dit samtykke):

• Chathistorik: gemmer din samtale med behandlingsguiden til genbesøg (localStorage, 7 dage)
• Behandlingsanbefalinger: aggregeret anonym data om hvilke behandlinger besøgende ser bruges til at vise anbefalinger

Du kan til enhver tid ændre dit samtykke ved at rydde browserdata og besøge hjemmesiden igen. Banneret vises igen efter 6 måneder.

Med analysesamtykke bruger vi to værktøjer:

Google Analytics 4 (Google Ireland Limited, databehandler):

• Måler sidevisninger, sessionslængde, enhedstype, trafikkilde
• IP-adressen anonymiseres inden den når Googles servere
• Google Consent Mode v2 — tjenesten indlæses slet ikke før samtykke
• Dataopbevaring i GA4: op til 14 måneder

Microsoft Clarity (Microsoft Corporation, egen dataansvarlig):

• Heatmaps og anonymiserede sessionsoptagelser
• Microsoft agerer som egen dataansvarlig og kan bruge data til egne formål iht. Microsofts privatlivspolitik (https://privacy.microsoft.com/privacystatement)
• Optagelser maskerer tekst og formularfelter
• Dataopbevaring: 30 dage til 13 måneder afhængigt af datatype

Besøgsrejse: Med analysesamtykke logger vi pseudonymt hvilke sider du besøger. Opbevares i Vercel-logs iht. deres standardretention. Uden samtykke er funktionen helt deaktiveret.

Uden analysesamtykke aktiveres ingen af disse tjenester.

Vi deler personoplysninger med følgende tredjeparter (databehandlere eller særskilte dataansvarlige):

• Bokadirekt AB (Sverige): Bookingplatform. Særskilt dataansvarlig.
• Resend Inc. (USA): E-maillevering. Certificeret under EU-US Data Privacy Framework (2025) + SCC. Data slettes inden for 90 dage efter opsigelse.
• Vercel Inc. (USA): Hosting og serverlogs. Certificeret under EU-US Data Privacy Framework siden 2019 (aktiv, gencertificering 2026-04-29) + SCC. Underbehandlere: AWS, Microsoft Azure, Google Cloud.
• Upstash Inc. (EU-region, Irland): Redis. GDPR-kompatibel. Ingen overførsel uden for EU.
• Moonshot AI Ltd. (servere i Singapore): AI-chat. Vigtigt: deres politik tillader at indhold bruges til modeltræning. Vi sender aldrig navn, e-mail eller IP.
• Google Ireland Limited (GA4, Maps): Google LLC er certificeret under EU-US Data Privacy Framework + SCC. Kræver samtykke.
• Microsoft Corporation (Clarity): Certificeret under EU-US Data Privacy Framework + SCC. Microsoft er egen dataansvarlig. Kræver samtykke.
• Cloudflare Inc. (USA): DNS/CDN. Certificeret under EU-US Data Privacy Framework + SCC. Adgangslogs op til 12 måneder.

Vi sælger aldrig dine oplysninger. DPA-aftaler er indgået med samtlige behandlere.

Når du sender en besked via kontaktformularen, indsamler vi dit navn, din e-mailadresse og din besked. Oplysningerne bruges udelukkende til at besvare din henvendelse.

Beskeden sendes via Resend til vores e-mail. Vi gemmer ikke dine oplysninger i nogen database, de findes kun i vores indbakke.

Din IP-adresse gemmes midlertidigt i serverens hukommelse for at forhindre misbrug (spam). Den slettes automatisk ved næste servergenstart og gemmes aldrig permanent.

Vi tilbyder et frivilligt nyhedsbrev via Resend. Vi bruger dobbelt opt-in: efter tilmelding sendes en bekræftelsesmail, som du skal klikke på inden du tilføjes. Dette opfylder kravet om udtrykkeligt samtykke i svensk markedsføringslov (2008:486).

• Retsgrundlag: Samtykke (GDPR art. 6.1.a)
• Hvad vi gemmer: Din e-mailadresse samt dato for samtykke
• Afmelding: Et ét-klik afmeldingslink findes i bunden af hver mail (RFC 8058). Du kan også maile info@dibelle.se.
• Udbyder: Resend Inc. — data kan overføres til USA under standardkontraktbestemmelser

Vores AI-behandlingsguide hjælper besøgende med at finde den rigtige behandling. Chatten drives af Moonshot AI (servere i Singapore).

Hvad vi indsamler:

• Dine spørgsmål i chatten (saniteret)
• En tilfældig sessionsnøgle i sessionStorage (slettes når du lukker fanen)
• Hvilken side du er på

Hvad vi IKKE indsamler:

• AI-svar logges aldrig
• Ingen IP, navn eller e-mail gemmes med chatten

Bemærk — Moonshot modeltræning: Moonshots politik tillader at API-indhold bruges til at forbedre deres modeller. Da vi aldrig sender direkte identificerbare oplysninger, er risikoen begrænset, men har du spørgsmål der kan identificere dig — brug kontaktformularen i stedet. Din konsultation i klinikken dækkes af helt separate fortrolighedsregler (svensk patientdatalag).

Opbevaring af spørgsmål hos os: Spørgsmål opbevares midlertidigt i Upstash Redis (EU, Irland) i en rullende FIFO-liste med maks 500 seneste spørgsmål, der ryddes automatisk af vores daglige digest. Retsgrundlag: legitim interesse (GDPR art. 6.1.f).

Chathistorik (med funktionelt samtykke): Hvis du tillader funktionelle cookies, opbevares din samtale i browserens localStorage (op til 7 dage). Dataene forlader aldrig din browser.

Aggregeret analyse: Antallet af gange en behandling nævnes aggregeres i Upstash Redis for at identificere trendende behandlinger.

På vores kontaktside viser vi et Google Maps-kort for at hjælpe dig med at finde klinikken. Når kortet indlæses, kan Google indsamle din IP-adresse og sætte cookies.

Læs Googles privatlivspolitik for mere information: https://policies.google.com/privacy

Dibélle viser før- og efterbilleder på hjemmesiden for at illustrere behandlingsresultater. Disse billeder udgør særlige kategorier af personoplysninger (helbredsoplysninger) i henhold til GDPR art. 9.

• Retsgrundlag: Udtrykkeligt skriftligt samtykke (GDPR art. 9.2.a) — indhentes separat fra hver patient på en dedikeret samtykkeblanket inden offentliggørelse
• Samtykkets omfang: Hver patient får specifik information om hvordan, hvor og hvor længe billederne offentliggøres
• Ret til tilbagekaldelse: Du kan til enhver tid anmode om fjernelse af dine billeder ved at maile info@dibelle.se — billederne fjernes hurtigst muligt, senest inden for 14 dage
• Lagring: Originalbilleder gemmes krypteret og deles ikke med tredjeparter ud over webpublicering

Hvis du genkender dig selv på et offentliggjort billede og ikke har givet samtykke, kontakt os straks — det skal ikke kunne ske, og vi retter det samme dag.

Når du faktisk modtager en behandling hos os, gælder patientdatalagen (2008:355) og lagen om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar (2021:363). Vi er da dataansvarlige for din patientjournal.

• Retsgrundlag: Retlig forpligtelse (GDPR art. 6.1.c) og sundhedsbehandling (art. 9.2.h)
• Journalens indhold: Anamnese, behandlingsdokumentation, produkter og doser, opfølgning
• Opbevaringstid: 10 år efter seneste notat (patientdatalagen 3 kap. 17 §)
• Tavshedspligt: Kun autoriseret personale har adgang. Tavshedspligt i henhold til patientsikkerhedsloven (2010:659)
• Tilsyn: Inspektionen för vård och omsorg (IVO)

Denne behandling er helt adskilt fra hjemmesidens databehandling — journalen håndteres ikke via dibelle.se.

Vi bruger ikke automatiseret beslutningstagning eller profilering, der har retsvirkning eller på lignende måde væsentligt påvirker dig (GDPR art. 22).

Behandlingsanbefalinger vist i AI-chatten er informative og erstatter aldrig en personlig konsultation. Ingen booking eller behandling godkendes automatisk — alt kræver personlig vurdering af autoriseret personale.

• Kontaktformular: Indtil din henvendelse er besvaret, plus 12 måneder til opfølgning
• Bookingoplysninger: Håndteres af Bokadirekt i henhold til deres politik
• Bogføringsmateriale: 7 år i henhold til svensk bogføringslov
• Google Analytics-data: Højst 14 måneder
• Samtykkeindstilling: 6 måneder (derefter vises cookiebanneret igen)

Når opbevaringsperioden udløber, slettes eller anonymiseres oplysningerne.

I henhold til GDPR har du følgende rettigheder:

• Ret til indsigt: Du kan anmode om at vide, hvilke data vi har om dig.
• Ret til berigtigelse: Du kan anmode om, at fejlagtige data rettes.
• Ret til sletning: Du kan anmode om, at dine data slettes, medmindre lovkrav forhindrer det.
• Ret til begrænsning: Du kan anmode om, at vi begrænser behandlingen af dine data.
• Ret til dataportabilitet: Du kan anmode om at modtage dine data i et maskinlæsbart format.
• Ret til indsigelse: Du kan gøre indsigelse mod behandling baseret på legitim interesse.
• Ret til at trække samtykke tilbage: Du kan til enhver tid trække dit samtykke tilbage, uden at det påvirker lovligheden af tidligere behandling.

Kontakt os på info@dibelle.se for at udøve dine rettigheder. Vi besvarer din anmodning inden for 30 dage.

Nogle udbydere behandler data uden for EU/EØS:

• USA (Google, Vercel, Resend, Microsoft, Cloudflare): Alle er certificeret under EU-US Data Privacy Framework — en adækvansafgørelse fra EU-Kommissionen (juli 2023). Vi har derudover SCC som backup.
• Singapore (Moonshot AI): Ingen adækvansafgørelse. Vi begrænser overførslen til chatindhold uden direkte identificerbare oplysninger. Retsgrundlag: legitim interesse. Moonshots politik tillader modeltræning.

Ønsker du ikke at din chat sendes til Singapore, brug kontaktformularen, telefon eller e-mail i stedet.

Vi træffer passende tekniske og organisatoriske foranstaltninger for at beskytte dine personoplysninger. Al datatrafik er krypteret med SSL/TLS. Adgangen til personoplysninger er begrænset til autoriseret personale.

I tilfælde af et brud på personoplysninger, der udgør en risiko for dine rettigheder, underretter vi dig og det svenske datatilsyn (IMY) inden for 72 timer.

Dibélle udfører ikke behandlinger på personer under 18 år. Vi indsamler ikke bevidst personoplysninger fra mindreårige. Hvis du er under 18 år, bedes du ikke indsende personlige oplysninger via vores hjemmeside.

Hvis du mener, at vi behandler dine personoplysninger forkert, har du ret til at indgive en klage til:

Det svenske datatilsyn (Integritetsskyddsmyndigheten, IMY)

Box 8114, 104 20 Stockholm, Sverige

Telefon: +46 8-657 61 00

E-mail: imy@imy.se

Hjemmeside: www.imy.se

Vi kan opdatere denne privatlivspolitik. Ved væsentlige ændringer informerer vi via hjemmesiden. Datoen for den seneste opdatering angives altid øverst på siden.