Dataskydd & GDPR
Patientdata förtjänar samma omsorg som patienten.
Theta Manual Care behandlar personuppgifter och hälsodata enligt EU:s dataskyddsförordning (GDPR), Patientdatalagen (2008:355) och Socialstyrelsens föreskrifter. Här beskriver vi hur — i klartext, utan juristsvenska.
Senast uppdaterad: april 2026
Sex principer vi arbetar efter
GDPR:s grundprinciper översatta till hur vi faktiskt bygger och driver vår plattform.
Laglighet & ändamålsbegränsning
Vi samlar bara in uppgifter med tydlig rättslig grund (samtycke, avtal eller berättigat intresse) och använder dem aldrig för andra ändamål än de som anges vid insamlingen.
Uppgiftsminimering
Vi efterfrågar minsta möjliga information. Inget extra ”för säkerhets skull” — varje fält i ett formulär ska kunna motiveras.
Säkerhet & kryptering
All trafik krypteras med TLS 1.3. Personuppgifter lagras krypterat i vila i databaser inom EU. Åtkomst loggas och begränsas via roller.
EU-baserad infrastruktur
Vi väljer leverantörer med datalagring i EU/EES. När en överföring till tredje land måste ske används EU-kommissionens standardavtalsklausuler (SCC).
Transparens
Du har alltid rätt att få veta vilka uppgifter vi har om dig, varför vi har dem, hur länge — och få dem rättade eller raderade.
Inbyggd integritet (Privacy by Design)
Dataskydd är en designparameter, inte ett efterhandstillägg. Pseudonymisering, separation av roller och tydliga lagringstider byggs in från första kodraden.
Vilka uppgifter vi behandlar — och varför
En översikt över de personuppgiftskategorier som kan behandlas via vår webbplats och våra tjänster. För patientdata i samverkan med vårdcentral är vårdgivaren personuppgiftsansvarig och vi är personuppgiftsbiträde — se nästa avsnitt.
| Kategori | Ändamål | Rättslig grund | Lagringstid |
|---|---|---|---|
| Kontaktformulär (namn, e-post, organisation, telefon) | Besvara förfrågan, boka möte med vårdcentral | Berättigat intresse / förfrågan om avtal | 24 månader |
| Konton för administratörer (e-post, roll) | Inloggning till intern lead-vy | Avtal | Aktivt + 12 månader |
| Hälsodata via app & dashboard (i pilot) | Behandling, uppföljning, statistik åt vårdgivaren | Patientdatalagen (vårdgivare = ansvarig) | Enligt PDL & vårdgivarens beslut |
| Tekniska loggar (IP, tidsstämpel, sidvisning) | Säkerhet, drift och felsökning | Berättigat intresse | 90 dagar |
Roller: ansvarig och biträde
När vi samarbetar med en vårdcentral upprättas alltid ett personuppgiftsbiträdesavtal (PUB) enligt GDPR artikel 28 innan någon patientdata behandlas.
Personuppgiftsansvarig
Vårdcentralen / vårdgivaren
Äger patientrelationen, journalen och beslutar om ändamål och medel för behandlingen av patientdata.
Personuppgiftsbiträde
Theta Manual Care AB
Behandlar patientdata uteslutande på dokumenterad instruktion från vårdgivaren, inom ramen för PUB-avtalet — med tekniska och organisatoriska säkerhetsåtgärder enligt GDPR art. 32.
Underbiträden vi anlitar
För att driva plattformen anlitar vi noggrant utvalda leverantörer. Samtliga är bundna av PUB-avtal med oss och har dokumenterad GDPR-efterlevnad.
- Supabase / PostgreSQL (EU)Databas & autentisering (datalagring inom EU)
- Cloudflare Workers (EU edge)Edge-hosting & DDoS-skydd (EU-edge)
- Resend / e-postleverantörTransaktionell e-post för formulärsvar
Eventuella förändringar av underbiträden meddelas vårdgivare i god tid och kan invändas mot enligt PUB-avtalet.
Era rättigheter enligt GDPR
Som registrerad har du flera rättigheter — vi underlättar utövandet av dem och svarar inom en månad.
- Rätt till information om vilka uppgifter vi har (art. 13–15)
- Rätt till rättelse av felaktiga uppgifter (art. 16)
- Rätt till radering — ”rätten att bli glömd” (art. 17)
- Rätt till begränsning av behandling (art. 18)
- Rätt till dataportabilitet (art. 20)
- Rätt att invända mot behandling (art. 21)
Är du missnöjd med vår hantering kan du lämna klagomål till tillsynsmyndigheten Integritetsskyddsmyndigheten (IMY) — imy.se.
Lagstiftning & vägledningar vi följer
De viktigaste rättsakterna och myndighetsvägledningarna som styr vår behandling av personuppgifter och hälsodata.
EUR-Lex
EU 2016/679 — Allmänna dataskyddsförordningen (GDPR)
Riksdagen
Patientdatalag (2008:355)
Socialstyrelsen
HSLF-FS 2016:40 — Socialstyrelsens föreskrifter om journalföring och informationssäkerhet
IMY — Integritetsskyddsmyndigheten
Vägledning för personuppgiftsbiträden (PUB-avtal)
IMY
Behandling av personuppgifter inom hälso- och sjukvård
Frågor om dataskydd?
Hör av er till vår personuppgiftskontakt. Vi besvarar förfrågningar om åtkomst, rättelse eller radering inom en månad.