Integritetspolicy

Ikraftträdandedatum: 2025-04-18

Introduktion till vår integritetspolicy

Välkommen till AI DiagMe! Smart Medical Care Ltd (”vi”, ”oss”, ”vår”) värnar om integriteten och säkerheten för dina personuppgifter. Den här integritetspolicyn förklarar tydligt hur vi hanterar dina uppgifter. AI DiagMe är ett varumärke som tillhör Smart Medical Care Ltd.

Det här dokumentet beskriver hur vi samlar in, använder och skyddar dina personuppgifter när du använder vår webbplats aidiagme.com (”webbplatsen”) och våra AI-drivna tjänster för tolkning av provsvar (”tjänsterna”). Det informerar dig också om dina rättigheter när det gäller dataskydd. Vi uppmuntrar dig att läsa hela integritetspolicyn noggrant. Genom att använda våra tjänster bekräftar du att du har tagit del av den. För behandlingen av dina hälsouppgifter inhämtar vi ditt uttryckliga samtycke separat.

1. Personuppgiftsansvarig och integritetskontakt

Vår roll som personuppgiftsansvarig

Personuppgiftsansvarig för behandlingen av dina personuppgifter är:

  • Företag: Smart Medical Care Ltd
  • Säte: 167-169 Great Portland Street, 5th Floor, London, W1W 5PF, Storbritannien
  • Organisationsnummer: 15309552
  • Kontakt-e-postadress: contact@aidiagme.com

Din integritetskontakt

Vid frågor om denna integritetspolicy eller dina personuppgifter kan du kontakta:

Smart Medical Care Ltd samarbetar med Smart Medical Care SAS (franskt SAS-bolag, RCS Nice 932 924 194), som hanterar verksamheten inom Europeiska ekonomiska samarbetsområdet (EES). För användare bosatta inom EES kan Smart Medical Care SAS fungera som kontaktpunkt vid frågor om dataskydd.

2. De personuppgifter vi samlar in

För att tillhandahålla och förbättra våra tjänster samlar vi in flera kategorier av personuppgifter. Det här avsnittet beskriver vad vi samlar in.

  • Identifierings- och kontaktuppgifter: Det handlar om ditt namn och din e-postadress. Vi använder ditt namn för att pseudonymisera din labrapport innan AI-bearbetning, och din e-postadress för att skicka AI-rapporten till dig.
  • Hälsouppgifter och kontextuell information: Det handlar om labrapporten (t.ex. blod, urin) som du laddar upp, samt om kontextuell information du anger — såsom ålder, kön och sjukdomshistoria — som hjälper oss att skapa en mer relevant förklaring.
  • Transaktionsuppgifter: Vi samlar in information om ditt köp, som vår betalningsleverantör Stripe hanterar direkt. Vi lagrar inte dina fullständiga kortuppgifter, men vi sparar en historik över dina transaktioner med oss.
  • Tekniska uppgifter och interaktionsuppgifter: Med verktyg som Google Analytics samlar vi in information om hur du interagerar med vår webbplats, under förutsättning att du har samtyckt till cookies. Det kan handla om din IP-adress (anonymiserad där det är möjligt), webbläsartyp och besökta sidor.
  • Cookieuppgifter: Vi samlar in information via cookies enligt vår cookiepolicy och utifrån dina samtyckesval.
  • Kommunikationsuppgifter: Det handlar om all information du lämnar när du kontaktar vår kundsupport.

3. Hur vi använder dina uppgifter: Syfte och rättsliga grunder

Vår behandling av dina uppgifter sker för specifika ändamål och stödjer sig på en rättslig grund i enlighet med GDPR.

  • För att tillhandahålla AI-tjänsten: Vi använder dina hälsouppgifter och din labrapport för att skapa din AI-tolkning, med stöd av ditt uttryckliga samtycke.
  • Pseudonymisering av din rapport: Vi använder ditt namn för att ta bort direkta identifierare ur rapporten innan AI-bearbetning. Det handlar om pseudonymisering (inte fullständig anonymisering), eftersom den kontextuella information du anger (ålder, kön, sjukdomshistoria) behålls för att säkerställa att AI-tolkningen blir relevant. Det är ett nödvändigt steg för att fullgöra vårt avtal med dig.
  • För att leverera din rapport: Vi använder din e-postadress för att skicka rapporten, vilket är nödvändigt för att vi ska kunna fullgöra vårt avtal med dig.
  • För att hantera betalningar och konton: Dina transaktions- och kontaktuppgifter används för att hantera betalningar och din kundrelation, med stöd av fullgörandet av vårt avtal.
  • För att förbättra säkerheten på webbplatsen och i tjänsten: Vi analyserar användningsuppgifter för att förbättra vår plattform. Denna behandling stödjer sig på ditt samtycke till analyscookies och vårt berättigade intresse av att säkra våra tjänster.
  • För att förbättra våra AI-modeller: Vi kan komma att använda pseudonymiserade hälsouppgifter för att förbättra våra tjänster, med stöd av vårt berättigade intresse. Du har när som helst rätt att invända mot denna behandling.
  • För att svara på dina önskemål: När du kontaktar supporten använder vi dina uppgifter för att kunna svara, med stöd av vårt berättigade intresse av att ge dig god service.
  • För att uppfylla rättsliga skyldigheter: Vi kan komma att behandla personuppgifter i den utsträckning det är nödvändigt för att följa lagen.

4. Delning av dina personuppgifter

Vi säljer aldrig dina personuppgifter. Vi delar dina uppgifter endast med betrodda tredje parter under strikta villkor.

  • Tjänsteleverantörer (personuppgiftsbehandlare): Vi delar uppgifter med viktiga partners, däribland Microsoft Azure, för säker driftshosting. För användare bosatta inom Europeiska ekonomiska samarbetsområdet (EES) lagras hälsouppgifter uteslutande på Microsoft Azure-servrar i Frankrike, vilket omfattas av den franska certifieringen för hälsodatahosting (HDS). För användare bosatta utanför EES lagras uppgifterna på Microsoft Azure-servrar i USA.
  • Leverantörer av transaktionella e-postmeddelanden: Vi använder externa tjänsteleverantörer (t.ex. SendGrid, Mailgun) för att leverera din AI-rapport via e-post. De behandlar tillfälligt din e-postadress och rapportens innehåll enbart för teknisk routing och leverans.
  • Leverantörer av AI-infrastruktur: Vi använder specialiserade routingtjänster, såsom OpenRouter, för att säkert kunna kommunicera med AI-modeller från tredje part. Det är viktigt att notera att endast strikt pseudonymiserade uppgifter skickas till dessa leverantörer för att skapa din rapport.
  • Rättsliga och affärsmässiga skyldigheter: Vi kan komma att lämna ut uppgifter om det krävs enligt lag eller vid en företagsöverlåtelse (som en fusion), under förutsättning att den nya enheten övertar våra åtaganden enligt denna integritetspolicy.

Vi kräver att alla partners skyddar dina uppgifter och behandlar dem lagligt, samt undertecknar strikta personuppgiftsbiträdesavtal för att garantera sekretessen för dina uppgifter.

5. Internationella överföringar av personuppgifter

Som ett brittiskt företag med internationell verksamhet behandlar vi personuppgifter i flera jurisdiktioner. Det här avsnittet förklarar hur vi skyddar dina uppgifter beroende på var du bor.

Om du är bosatt inom Europeiska ekonomiska samarbetsområdet (EES)

Dina hälsouppgifter (labrapporter, kontextuell information och AI-rapporter) lagras uteslutande på Microsoft Azure-servrar i Frankrike. Dessa servrar omfattas av den franska HDS-certifieringen för hälsodatahosting, som uppfyller de strängaste europeiska kraven för känsliga hälsouppgifter. Dina hälsouppgifter överförs inte utanför Frankrike för lagringsändamål.

För att skapa din AI-rapport överförs dock pseudonymiserade uppgifter (dina labresultat med direkta identifierare som ditt namn borttagna, men där kontextuell information som ålder, kön och sjukdomshistoria behålls) till vår leverantör av AI-infrastruktur OpenRouter Inc. i USA. Överföringen regleras av Europeiska kommissionens standardavtalsklausuler (SCC), kompletterade med ytterligare tekniska skyddsåtgärder — bland annat själva pseudonymiseringsprocessen — vilket avsevärt minskar risken vid överföringen.

Analysuppgifter (Google Analytics) överförs till USA i enlighet med EU-US Data Privacy Framework (DPF). Både Google LLC och Microsoft Corporation är certifierade enligt DPF. Betalningsuppgifter behandlas av Stripe Inc. i USA, som också är certifierat enligt DPF.

Smart Medical Care Ltd samarbetar med Smart Medical Care SAS, ett franskt företag (RCS Nice 932 924 194), som bedriver verksamhet inom EES. För ytterligare information om hur dina uppgifter hanteras inom EES kan du kontakta oss på contact@aidiagme.com.

Om du bor i Storbritannien

Dina uppgifter lagras på Microsoft Azure-servrar. Överföringar mellan Storbritannien och Frankrike (där hälsouppgifter inom EES lagras) omfattas av Europeiska kommissionens beslut om adekvat skyddsnivå avseende Storbritannien. Överföringar till USA (OpenRouter, Google, Microsoft, Stripe) regleras av den brittiska utvidgningen av EU-US Data Privacy Framework (UK-US Data Bridge) och, i tillämpliga fall, av det brittiska avtalet om internationell dataöverföring (UK IDTA).

Om du bor i USA eller någon annanstans

Dina uppgifter lagras på Microsoft Azure-servrar i USA. Eftersom dina uppgifter inte lämnar USA för lagring krävs ingen internationell överföringsmekanism för lagring. De pseudonymiserade uppgifter som överförs till OpenRouter för AI-bearbetning finns också kvar i USA.

Om du bor i en jurisdiktion med särskilda dataskyddslagar (såsom amerikanska delstaters integritetslagar) hittar du information om dina specifika rättigheter i våra allmänna villkor.

Viktig information om pseudonymisering före överföring

Oavsett var du befinner dig pseudonymiseras alla labrapporter innan de skickas till vår leverantör av AI-infrastruktur. Det innebär att ditt för- och efternamn automatiskt tas bort från dokumentet. Kontextuell information (ålder, kön, sjukdomshistoria) behålls dock för att säkerställa att AI-tolkningen blir relevant. Det här är pseudonymisering i den mening som avses i artikel 4.5 i GDPR — inte oåterkallelig anonymisering. Vi tillämpar denna skyddsåtgärd som ett extra skyddslager för alla användare världen över.

6. Vårt engagemang för datasäkerhet

Vi tillämpar robusta tekniska och organisatoriska säkerhetsåtgärder för att skydda dina personuppgifter. Dessa omfattar bland annat:

Geografiskt segmenterad hosting. Hälsouppgifter för användare bosatta inom Europeiska ekonomiska samarbetsområdet (EES) lagras uteslutande på Microsoft Azure-servrar i Frankrike, HDS-certifierade (Health Data Hosting) i enlighet med de strängaste franska och europeiska standarderna för hälsouppgifter. Hälsouppgifter för användare bosatta utanför EES lagras på Microsoft Azure-servrar i USA och omfattas av Microsofts omfattande säkerhetscertifieringar (ISO 27001, SOC 2 Type II).

Pseudonymisering före AI-bearbetning. Innan någon labrapport skickas till vår AI-infrastrukturleverantör för analys identifierar och tar vårt system automatiskt bort direkta identifierare (för- och efternamn) från dokumentet. Kontextuell information (ålder, kön, sjukdomshistoria) behålls för att säkerställa att AI-tolkningen blir relevant. Den här processen minskar risken för återidentifiering hos externa leverantörer, samtidigt som tjänstens kvalitet bibehålls.

Kryptering under överföring och i vila. All data som överförs mellan din enhet och våra servrar krypteras med TLS (Transport Layer Security). All lagrad data krypteras i vila med AES-256 på Microsoft Azure-infrastrukturen.

Strikta interna åtkomstkontroller. Åtkomst till personuppgifter och hälsouppgifter är begränsad till behörig personal, enligt principen om minsta möjliga behörighet. Multifaktorautentisering (MFA) är obligatorisk för all åtkomst till produktionsmiljöer. Åtkomsträttigheter ses över kvartalsvis.

Kontinuerlig övervakning. Vi använder övervakningsverktyg från Microsoft Azure för att upptäcka avvikelser och potentiella säkerhetshot. Säkerhetsincidenter hanteras enligt vår incidenthanteringsplan, med definierade eskaleringsprocedurer och tidsfrister för anmälningar.

Regulatorisk bekräftelse. AI DiagMe har bekräftats som en icke-medicinteknisk produkt av den franska läkemedelsmyndigheten ANSM (Agence nationale de sécurité du médicament et des produits de santé) — referens GIO 23593272, ärende 2500297. Klassificeringen erhölls efter en grundlig granskning av tjänsten av ANSM:s innovationsavdelning.

7. Lagring av personuppgifter

Vi lagrar dina personuppgifter endast så länge det är nödvändigt för de ändamål de samlades in för, inklusive för att uppfylla eventuella rättsliga, redovisnings- eller rapporteringskrav. Lagringstiden för dina huvudsakliga personuppgifter beror på statusen för ditt konto. Viktig information om användarkonton: För närvarande fungerar vår tjänst utan att ett formellt konto skapas. Dina historiska uppgifter (kontextuell information och AI-rapporter) är kopplade till din e-postadress och lagras i högst 3 år efter din senaste användning, i väntan på lanseringen av vår säkra patientportal. 

När portalen lanseras officiellt kommer följande bestämmelser att gälla fullt ut, och lagringstiden för dina huvudsakliga personuppgifter beror då på statusen för ditt konto:

  • För aktiva konton: Dina kontouppgifter, kontakt- och kontextuell information samt dina AI-rapporter sparas så länge ditt konto är aktivt. Det gör att du kan använda våra tjänster och få åtkomst till din historik via patientportalen.
  • För inaktiverade konton: Vid inaktivering sparar vi dina uppgifter (konto, kontakt, kontext, AI-rapporter) i högst 3 år. Det gör att du kan återaktivera ditt konto under tiden. Om kontot inte återaktiveras inom denna period raderas uppgifterna permanent.
  • Ursprunglig rapport: I enlighet med principen om uppgiftsminimering behåller vi denna fil i högst 90 dagar för att kunna lösa eventuella leveransproblem, varefter den raderas på ett säkert sätt.
  • Transaktionsuppgifter: Sparas under den period som krävs enligt våra rättsliga och redovisningsmässiga skyldigheter (vanligtvis 6 år i Storbritannien).
  • Pseudonymiserade uppgifter för AI-förbättring: Uppgifter där direkta identifierare har tagits bort kan användas för forskning och förbättring av våra AI-modeller, med stöd av vårt berättigade intresse. Eftersom kontextuell information (ålder, kön, sjukdomshistoria) behålls, omfattas dessa uppgifter fortsatt av GDPR-skydd som pseudonymiserade uppgifter. Du har när som helst rätt att invända mot denna behandling genom att kontakta oss.

En begäran om att permanent radera ditt konto utlöser radering av alla uppgifter som anges ovan, förutom i de fall där vi har en överordnad rättslig skyldighet att behålla dem (t.ex. transaktionsuppgifter) eller för uppgifter som redan har anonymiserats oåterkalleligt.

8. Dina rättigheter enligt dataskyddslagstiftningen

Beroende på var du bor har du rättigheter gällande dina personuppgifter:

  • Rätt till åtkomst, rättelse och radering: Du kan begära en kopia av dina uppgifter, korrigera dem eller begära att de raderas.
  • Rätt till begränsning eller invändning: Du kan invända mot behandling som grundas på vårt berättigade intresse (t.ex. användning av pseudonymiserade uppgifter för AI-förbättring).
  • Rätt att återkalla samtycke: Du kan när som helst återkalla ditt samtycke till behandling av hälsouppgifter.

Hantera ditt konto: Inaktivering och radering

Du har rätt att radera dina personuppgifter. När vår patientportal lanseras får du två olika alternativ för att hantera ditt konto och dina uppgifter direkt från din personliga översikt:

  • Inaktivera ditt konto: Det här alternativet låter dig ta en paus från våra tjänster. Ditt konto och dina personuppgifter (din profil, AI-rapporter osv.) är inte längre aktivt tillgängliga, utan lagras säkert under en period på 3 år. Det gör att du kan återaktivera ditt konto och få åtkomst till din historik när som helst under perioden. Om kontot inte återaktiveras inom 3 år raderas det och alla tillhörande personuppgifter permanent, med undantag för uppgifter som omfattas av en lagstadgad lagringsskyldighet.
  • Radera ditt konto permanent: Det här alternativet motsvarar utövandet av din rätt till radering. Det utlöser en oåterkallelig och omedelbar radering av ditt konto och alla tillhörande personuppgifter (profil, uppladdade dokument, AI-rapporter), med undantag för uppgifter som omfattas av lagstadgade lagringsskyldigheter (särskilt transaktionsuppgifter). När åtgärden är utförd går uppgifterna inte att återställa.

Hur du utövar dina rättigheter

I väntan på den officiella lanseringen av patientportalen kan du när som helst utöva din rätt till radering och begära permanent radering av dina uppgifter (kopplade till din e-postadress) genom att kontakta oss på contact@aidiagme.com. Så snart portalen är tillgänglig kommer alternativen för att inaktivera eller permanent radera ditt konto att vara direkt åtkomliga via dina inställningar.

9. Skydd av minderårigas personuppgifter

Våra tjänster är inte avsedda för personer under 18 år. Följaktligen samlar vi inte medvetet in personuppgifter från minderåriga.

10. Kakor och spårningstekniker

Vår cookiepolicy ger detaljerad information om hur vi använder cookies. Läs den för att se hur du hanterar dina inställningar.

11. Ändringar i denna integritetspolicy

Vi kan komma att uppdatera denna integritetspolicy regelbundet. Datumet ”Senast uppdaterad” högst upp anger alltid den senaste versionen. Vi uppmuntrar dig att besöka sidan regelbundet.

12. Hur man lämnar in ett klagomål

Om du har frågor om vår datahantering ber vi dig att kontakta oss först. Du har också rätt att lämna in ett klagomål till en tillsynsmyndighet, såsom Information Commissioner's Office (ICO) i Storbritannien.

Om du är bosatt inom Europeiska ekonomiska samarbetsområdet kan du också lämna in ett klagomål till dataskyddsmyndigheten i ditt bosättningsland. I Sverige är detta Integritetsskyddsmyndigheten (IMY) — www.imy.se. I Frankrike är det Commission Nationale de l'Informatique et des Libertés (CNIL) www.cnil.fr.

13. Ytterligare företagsresurser

  • Publikationer: Upptäck våra artiklar och guider.
  • Kom igång: Lär dig hur vårt AI-drivna verktyg fungerar.
  • Vanliga frågor: Hitta svar på de vanligaste frågorna om datasäkerhet och hur tjänsten används.
  • Fransk webbplats: För fransktalande, besök aidiagme.fr