Integritetspolicy

Norra Hamn Kliniken AB (org.nr 559249-4081), som driver Dibélle, är personuppgiftsansvarig för de personuppgifter som behandlas i samband med vår verksamhet.

Adress: Kullagatan 40, 252 20 Helsingborg

Telefon: 072-020 20 62

E-post: info@dibelle.se

Ansvarig: Abir Mustafa, legitimerad sjuksköterska

Vi samlar in följande kategorier av personuppgifter beroende på hur du interagerar med oss:

Via kontaktformuläret:

• Namn
• E-postadress
• Ämne (valfritt)
• Meddelande

Via nyhetsbrev:

• E-postadress
• Datum för samtycke

Via AI-chatten (behandlingsguiden):

• Dina frågor (sanitiserade, sparas i upp till 500 tecken per meddelande)
• En slumpmässig sessionsnyckel (ej kopplad till identitet)
• Vilken sida du befinner dig på

Via webbplatsbesök (med analyssamtycke):

• IP-adress (anonymiserad av Google Analytics)
• Enhets- och webbläsarinformation
• Besökta sidor och interaktion
• Geografisk plats (stadsnivå)
• En sessionsnyckel i sessionStorage (raderas när du stänger fliken) för att gruppera sidvisningar till en besöksresa

Via bokning hos Bokadirekt:

• Bokningsuppgifter hanteras av Bokadirekt AB enligt deras integritetspolicy. Vi har inte tillgång till dina betalningsuppgifter.

I serverns minne (flyktigt, ej långtidslagrat):

• IP-adress för spamskydd och rate limiting. Raderas vid nästa server-omstart, normalt inom timmar.

Vi behandlar dina personuppgifter för följande ändamål:

• Besvara förfrågningar (kontaktformulär). Rättslig grund: Berättigat intresse att kunna ge god kundservice
• Hantera bokningar (via Bokadirekt). Rättslig grund: Fullgörande av avtal
• Analysera webbplatstrafik (Google Analytics). Rättslig grund: Samtycke
• Förbättra webbplatsens prestanda (Vercel Analytics). Rättslig grund: Berättigat intresse (inga cookies, inga personuppgifter)
• Uppfylla bokföringslagen. Rättslig grund: Rättslig förpliktelse

Vi behandlar aldrig dina personuppgifter för reklam, profilering eller vidareförsäljning.

Att lämna personuppgifter till oss är frivilligt. Om du inte fyller i kontaktformuläret eller nyhetsbrevet kan du fortfarande besöka webbplatsen och boka behandlingar via Bokadirekt. Kontaktformulär och nyhetsbrev är valfria tjänster.

För att faktiskt boka en behandling krävs dock att Bokadirekt (tredje part, separat personuppgiftsansvarig) samlar in vissa uppgifter enligt avtal.

Vår webbplats använder cookies och lokal lagring (localStorage) i enlighet med LEK (2022:482) kap. 9 § 28 och ePrivacy-direktivet (2002/58/EG) art. 5(3). Vi delar in dem i tre kategorier som du själv väljer i vår cookiebanner:

Nödvändiga (alltid aktiva, kräver inget samtycke):

• Samtyckesinställning: sparar ditt val om cookies (localStorage, 6 månader)
• Sessiondata: AI-chatt under pågående besök (sessionStorage, raderas när fliken stängs)

Analys (kräver ditt samtycke):

• Google Analytics 4: mäter webbplatstrafik och beteende. Aktiveras först efter ditt samtycke via cookiebannern.

Funktionella (kräver ditt samtycke):

• Chatthistorik: sparar din konversation med behandlingsguiden så den finns kvar vid återbesök (localStorage, 7 dagar)
• Behandlingsrekommendationer: aggregerad anonym data om vilka behandlingar besökare tittar på används för att visa rekommendationer

Du kan när som helst ändra ditt samtycke genom att rensa webbläsarens data och besöka webbplatsen igen. Bannern visas på nytt efter 6 månader.

Med analyssamtycke använder vi två analysverktyg:

Google Analytics 4 (Google Ireland Limited, personuppgiftsbiträde):

• Mäter sidvisningar, sessionslängd, enhetstyp, trafikens källa
• IP-adress anonymiseras innan den når Googles servrar
• Google Consent Mode v2 — tjänsten laddas överhuvudtaget inte förrän du gett samtycke
• Datalagring i GA4: högst 14 månader

Microsoft Clarity (Microsoft Corporation, egen personuppgiftsansvarig):

• Heatmaps och anonymiserade sessionsinspelningar
• Microsoft agerar som egen ansvarig och kan använda datan för egna ändamål enligt Microsofts integritetspolicy (https://privacy.microsoft.com/privacystatement)
• Inspelningarna maskerar automatiskt text och formulärfält
• Datalagring: mellan 30 dagar och 13 månader beroende på datatyp

Besöksresa (journey tracking): Med analyssamtycke loggar vi pseudonymt vilka sidor du besöker under sessionen och om du klickar på bokningsknappen. Lagras i Vercel-loggar enligt deras standardretention. Utan samtycke är funktionen helt inaktiverad.

Utan analyssamtycke aktiveras ingen av dessa tjänster och ingen data samlas in.

Vi delar personuppgifter med följande tredjeparter (personuppgiftsbiträden eller separata personuppgiftsansvariga), uteslutande för att leverera våra tjänster:

• Bokadirekt AB (Sverige): Bokningsplattform. Separat personuppgiftsansvarig.
• Resend Inc. (USA): E-postleverans. Certifierad under EU-US Data Privacy Framework sedan 2025 + SCC. Data raderas inom 90 dagar efter avslut.
• Vercel Inc. (USA): Webbhosting och serverloggar. Certifierad under EU-US Data Privacy Framework sedan 2019 (aktiv, omcertifiering 2026-04-29) + SCC. Underbiträden: AWS, Microsoft Azure, Google Cloud. Runtime-loggar sparas som standard i några dagar.
• Upstash Inc. (EU-region, Irland): Redis-databas. GDPR-kompatibel, DPA med underleverantörer. Ingen överföring utanför EU.
• Moonshot AI Ltd. (servrar i Singapore): Driver AI-chatten. Viktigt: deras policy tillåter att innehållet används för modellträning. Vi skickar aldrig namn, e-post eller IP — endast chattinnehåll och systemprompt.
• Google Ireland Limited (Google Analytics 4, Google Maps): Google LLC är certifierad under EU-US Data Privacy Framework + SCC. Kräver samtycke.
• Microsoft Corporation (Clarity): Certifierad under EU-US Data Privacy Framework + SCC. Microsoft agerar som egen personuppgiftsansvarig för Clarity-data. Kräver samtycke.
• Cloudflare Inc. (USA): DNS och CDN. Certifierad under EU-US Data Privacy Framework + SCC. Åtkomstloggar upp till 12 månader.

Vi säljer aldrig dina uppgifter. DPA-avtal finns med samtliga biträden.

När du skickar ett meddelande via kontaktformuläret samlar vi in ditt namn, e-postadress och meddelande. Uppgifterna används enbart för att besvara din förfrågan.

Meddelandet skickas via Resend till vår e-post. Vi lagrar inte dina uppgifter i någon databas, de finns enbart i vår inkorg.

Din IP-adress sparas tillfälligt i serverns minne för att förhindra missbruk (skräppost). Den raderas automatiskt vid nästa serveromstart och sparas aldrig permanent.

Vi erbjuder ett frivilligt nyhetsbrev via Resend. Vi använder dubbel opt-in: efter anmälan skickas ett bekräftelsemail där du måste klicka en länk innan du läggs till på listan. Detta uppfyller kravet på uttryckligt samtycke i marknadsföringslagen (2008:486).

• Rättslig grund: Samtycke (GDPR art. 6.1.a)
• Vad vi sparar: Din e-postadress samt datum för samtycke
• Avprenumeration: En avanmälningslänk finns längst ner i varje mail (One-Click Unsubscribe, RFC 8058). Du kan också maila info@dibelle.se.
• Leverantör: Resend Inc. — data kan överföras till USA enligt standardavtalsklausuler

Vår AI-behandlingsguide hjälper besökare hitta rätt behandling. Chatten drivs av Moonshot AI (servrar i Singapore).

Vad som samlas in:

• Dina frågor i chatten (sanitiserade)
• En slumpmässig sessionsnyckel i sessionStorage (raderas när du stänger fliken)
• Vilken sida du befinner dig på

Vad som INTE samlas in:

• AI:ns svar loggas aldrig
• Ingen IP-adress, inget namn, ingen e-post sparas i samband med chatten

Observera — Moonshots modelträning: Moonshots policy tillåter att API-innehåll används för att förbättra deras modeller. Eftersom vi aldrig skickar direkt identifierbar information är risken begränsad, men om du har frågor som kan identifiera dig (t.ex. medicinsk historia, adress) — använd kontaktformuläret istället. Din konsultation i kliniken täcks av helt separata sekretessregler (patientdatalagen).

Lagring av frågor hos oss: Frågor lagras tillfälligt i Upstash Redis (EU, Irland) i en rullande FIFO-lista med max 500 senaste frågor, som rensas automatiskt av vår dagliga sammanställning. Rättslig grund: berättigat intresse (GDPR art. 6.1.f) för att förbättra FAQ och behandlingsbeskrivningar.

Chatthistorik (med funktionellt samtycke): Om du godkänner funktionella cookies sparas din konversation i din webbläsares localStorage (max 7 dagar). Data lämnar aldrig din webbläsare.

Aggregerad analys: Antalet gånger en behandling nämns aggregeras i Upstash Redis för att identifiera trendande behandlingar — utan koppling till enskild användare.

På vår kontaktsida visar vi en Google Maps-karta för att hjälpa dig hitta till kliniken. När kartan laddas kan Google samla in din IP-adress och sätta cookies.

Läs Googles integritetspolicy för mer information: https://policies.google.com/privacy

Dibélle visar före- och efterbilder på webbplatsen för att illustrera behandlingsresultat. Dessa bilder utgör särskilda kategorier av personuppgifter (hälsouppgifter) enligt GDPR art. 9.

• Rättslig grund: Uttryckligt skriftligt samtycke (GDPR art. 9.2.a) — inhämtas separat från varje patient på en dedikerad samtyckesblankett innan publicering
• Omfattning av samtycket: Varje patient får specifik information om hur, var och hur länge bilderna publiceras
• Rätt att återkalla: Du kan när som helst begära att vi tar bort dina bilder genom att maila info@dibelle.se — bilderna avlägsnas så snart som möjligt, senast inom 14 dagar
• Lagring: Originalbilderna lagras krypterat och delas inte med tredje part utöver webbpublicering

Om du känner igen dig själv på en publicerad bild och inte gett samtycke, kontakta oss omedelbart — det ska inte kunna hända och vi åtgärdar det samma dag.

När du faktiskt får en behandling hos oss gäller patientdatalagen (2008:355) samt lagen om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar (2021:363). Vi är då personuppgiftsansvariga för din patientjournal.

• Rättslig grund: Rättslig förpliktelse (GDPR art. 6.1.c) samt vård (art. 9.2.h)
• Journalinnehåll: Anamnes, behandlingsdokumentation, produkter och doser, uppföljning
• Lagringstid: 10 år efter senaste anteckning (patientdatalagen 3 kap. 17 §)
• Sekretess: Endast legitimerad personal har tillgång. Tystnadsplikt enligt patientsäkerhetslagen (2010:659)
• Tillsyn: Inspektionen för vård och omsorg (IVO)

Denna behandling är helt skild från webbplatsens databehandling — journalen hanteras inte via dibelle.se.

Vi använder inte automatiserat beslutsfattande eller profilering som har rättslig verkan eller på liknande sätt väsentligt påverkar dig (GDPR art. 22).

Behandlingsrekommendationer som visas i AI-chatten är informativa och ersätter aldrig ett personligt konsultationsbesök. Inga bokningar eller behandlingar godkänns automatiskt — allt kräver personlig bedömning av legitimerad personal.

• Kontaktformulär: Tills din förfrågan besvarats, plus 12 månader för uppföljning
• Bokningsuppgifter: Hanteras av Bokadirekt enligt deras policy
• Bokföringsunderlag: 7 år enligt svensk bokföringslag
• Google Analytics-data: Högst 14 månader
• Samtyckesinställning: 6 månader (sedan visas cookiebannern igen)

När lagringstiden löpt ut raderas eller anonymiseras uppgifterna.

Enligt GDPR har du följande rättigheter:

• Rätt till tillgång: Du kan begära att få veta vilka uppgifter vi har om dig.
• Rätt till rättelse: Du kan begära att felaktiga uppgifter korrigeras.
• Rätt till radering: Du kan begära att dina uppgifter raderas, om inte lagkrav hindrar det.
• Rätt till begränsning: Du kan begära att vi begränsar behandlingen av dina uppgifter.
• Rätt till dataportabilitet: Du kan begära att få dina uppgifter i ett maskinläsbart format.
• Rätt att invända: Du kan invända mot behandling som baseras på berättigat intresse.
• Rätt att återkalla samtycke: Du kan när som helst återkalla ett givet samtycke utan att det påverkar lagligheten av tidigare behandling.

Kontakta oss på info@dibelle.se för att utöva dina rättigheter. Vi besvarar din begäran inom 30 dagar.

Vissa tjänsteleverantörer behandlar data utanför EU/EES:

• USA (Google, Vercel, Resend, Microsoft, Cloudflare): Alla är certifierade under EU-US Data Privacy Framework — ett adekvansbeslut från EU-kommissionen (juli 2023) som gör att överföringen är säker utan ytterligare skyddsåtgärder. Vi har dessutom SCC som backup.
• Singapore (Moonshot AI): Inget adekvansbeslut finns. Vi begränsar överföringen till chattinnehåll utan direkt identifierbar information. Rättslig grund: berättigat intresse (GDPR art. 6.1.f). Moonshots policy tillåter modellträning.

Vill du inte att din chatt skickas till Singapore — använd kontaktformuläret, telefon eller e-post istället.

Vi vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda dina personuppgifter. All datatrafik krypteras med SSL/TLS. Tillgången till personuppgifter är begränsad till behörig personal.

Vid en personuppgiftsincident som innebär risk för dina rättigheter meddelar vi dig och Integritetsskyddsmyndigheten inom 72 timmar.

Dibélle utför inte behandlingar på personer under 18 år. Vi samlar inte medvetet in personuppgifter från minderåriga. Om du är under 18 år, vänligen skicka inte in personuppgifter via vår webbplats.

Om du anser att vi behandlar dina personuppgifter på ett felaktigt sätt har du rätt att lämna in ett klagomål till:

Integritetsskyddsmyndigheten (IMY)

Box 8114, 104 20 Stockholm

Telefon: 08-657 61 00

E-post: imy@imy.se

Webbplats: www.imy.se

Vi kan komma att uppdatera denna integritetspolicy. Vid väsentliga ändringar informerar vi via webbplatsen. Datum för senaste uppdatering anges alltid överst på sidan.