Integritetspolicy (GDPR)
Senast uppdaterad: 28 augusti 2025
Den här integritetspolicyn beskriver hur Testum AB (”Testum”, ”vi”, ”vår”, ”oss”) behandlar personuppgifter när du besöker https://testum.se, använder vårt journalsystem (journal.testum.se) med BankID-inloggning samt handlar i vår webbshop (WordPress/WooCommerce). Policyn uppfyller EU:s dataskyddsförordning (GDPR) och svensk lag, inklusive Patientdatalagen (PDL) när den är tillämplig.
1) Personuppgiftsansvarig
Namn: Testum AB (org.nr 559414-8073)
Adress: Dalaplan 4, postbox 241, 214 28 Malmö, Sverige
E-post: privacy@testum.se
Telefon: +46 76-165 32 92
Dataskyddsombud (DPO): Adam Trojette — E-post: adam@testum.se
2) Vilka personuppgifter vi behandlar
A. Identitet & kontakt – namn, personnummer (inkl. via BankID), adress, e-post, telefon.
B. Kontouppgifter & inloggning – BankID-identifiering (personnummer, namn från banken, tidsstämplar), tekniska loggar kopplade till inloggning/QR.
C. Kundrelation & köp – beställningar (produkter/tjänster, betalstatus), leveransuppgifter, supportärenden, meddelanden.
D. Journal- & hälsodata (särskilda kategorier) – analyssvar/biomarkörer, provtagningsinformation, labb-PDF:er, kommentarer/bedömningar.
E. Tekniska data – IP-adress, enhets- och webbläsarinformation, cookies/liknande tekniker, säkerhets- och felsökningsloggar.
F. Kommunikation & marknadsföring – valfria nyhetsbrev och preferenser, driftinformation; öppnings-/klickstatistik endast om du har godkänt detta.
3) Varifrån vi får uppgifterna
Direkt från dig via formulär, beställningar, meddelanden och inloggningar.
BankID (Finansiell ID-Teknik BID AB) och din bank för säker e-identifiering.
Laboratoriepartners (t.ex. Unilabs, Synlab, Giddir, Provio, [Karolinska]) för provsvar/journaldata.
Betalningsleverantörer (Stripe, Swish, Klarna, WooPayments) i samband med betalningar.
Tekniskt via cookies/SDK:er, loggar och våra IT-driftsleverantörer.
4) Ändamål och rättslig grund
Vi behandlar uppgifter endast med stöd av laglig grund enligt GDPR art. 6 och, för hälsodata, art. 9.
| Ändamål | Exempel på uppgifter | Rättslig grund |
|---|---|---|
| Skapa/administrera konto & BankID-inloggning | Personnummer, namn (från BankID), inloggningsloggar | Avtal (tillhandahålla tjänsten) och berättigat intresse (IT-säkerhet, missbruksförebyggande) |
| Köp/leverans & kundtjänst | Kontaktuppgifter, orderdata | Avtal och rättslig förpliktelse (bokföring m.m.) |
| Visa och lagra laboratorieresultat i din journal | Hälsodata, provsvar, PDF:er | Art. 9.2(h) nödvändigt för hälso- och sjukvårdsändamål om vi agerar som vårdgivare enligt PDL; annars uttryckligt samtycke (art. 9.2(a)) |
| Säkerhet, loggning & felsökning | IP, enhetsdata, händelseloggar | Berättigat intresse |
| Marknadsföring/nyhetsbrev (valfritt) | Namn, e-post, interaktioner | Samtycke (när det krävs) eller berättigat intresse (snäva kundutskick/”soft opt-in”) |
| Rättsliga skyldigheter | Fakturaunderlag, transaktionsdata | Rättslig förpliktelse (t.ex. bokföringslagen) |
Obs om hälsodata: Hälsouppgifter tillhör särskilda kategorier (GDPR art. 9). När behandlingen inte faller under hälso-/sjukvårdsundantaget enligt art. 9.2(h) behandlar vi endast med uttryckligt samtycke. Du kan återkalla samtycke när som helst utan att det påverkar lagligheten före återkallelsen.
5) Mottagare och roller
Vi delar uppgifter endast när nödvändigt och med lämpligt skydd.
Laboratorier/medicinska leverantörer (Synlab, Unilabs, Giddir, Provio, [Karolinska]) – för provhantering och analyssvar. Dessa kan vara självständigt personuppgiftsansvariga för sin del av behandlingen.
BankID och banker – Finansiell ID-Teknik BID AB och din bank (självständigt personuppgiftsansvariga).
IT-drift och moln – Google/Firebase & Google Cloud (EU/EES-regioner där möjligt), Vercel (hosting av journalsystemet), [Webbhotell/Strato] för WordPress. Dessa agerar normalt personuppgiftsbiträden.
Betalningsleverantörer – Stripe, Swish, Klarna, WooPayments (vanligen självständigt personuppgiftsansvariga).
Kommunikation – [E-post/SMS-tjänst] (personuppgiftsbiträde).
Myndigheter – när lag kräver eller för att försvara rättsanspråk.
Vi har personuppgiftsbiträdesavtal (DPA) med biträden. När mottagare befinner sig utanför EU/EES använder vi EU-kommissionens standardavtalsklausuler (SCC) och bedömer skyddsnivån, kompletterat med tekniska/organisatoriska åtgärder (t.ex. kryptering).
6) Lagringsplatser och överföringar
Primärt behandlas uppgifter inom EU/EES. Om tredjelandsöverföring sker använder vi lagliga skydd (SCC) och lämpliga kompletterande åtgärder. Vi strävar efter datalokalisering inom EU/EES där det är möjligt.
7) Lagringstider (gallring)
Vi sparar uppgifter endast så länge som behövs för respektive ändamål:
Kund- och orderuppgifter: under avtalstiden och därefter enligt svensk bokföringslagstiftning.
Journal-/hälsodata: enligt PDL när tillämplig eller enligt ändamål du godkänt (minimitid och gallring enligt interna rutiner).
Inloggnings- och säkerhetsloggar: kortast möjliga tid för säkerhet och spårbarhet.
Marknadsföring: tills du återkallar samtycke eller invänder.
Exakta tider framgår av våra interna gallringsrutiner. På begäran lämnar vi mer detaljer.
8) Cookies och liknande tekniker
Vi använder cookies/SDK:er för funktion (t.ex. inloggning), statistik och, i förekommande fall, marknadsföring. Se vår [Cookiepolicy] för detaljer och hur du ändrar inställningar. Du kan när som helst uppdatera dina val via [svart cirkel med en vit eller ljus kontur till vänster].
9) Säkerhet
Vi arbetar riskbaserat och använder bl.a. kryptering, åtkomstkontroller, åtkomstloggning (PDL), regelbundna uppdateringar, principen om minsta behörighet och avtalade säkerhetskrav för biträden. Vi genomför DPIA när det krävs och särskilt skyddar hälsodata. Åtkomst till journaldata är behörighetsstyrd och loggas enligt PDL.
10) Dina rättigheter
Du har rätt att:
få information om vår behandling,
begära tillgång (registerutdrag),
begära rättelse,
begära radering (”rätten att bli bortglömd”),
begära begränsning av behandling,
invända mot behandling som grundas på berättigat intresse eller direktmarknadsföring,
få dataportabilitet för uppgifter du tillhandahållit (när grundas på avtal eller samtycke och sker automatiserat),
återkalla samtycke när som helst.
Begränsningar kan gälla när annan lag kräver fortsatt behandling (t.ex. bokföring, patientsäkerhet och PDL).
11) Så utövar du dina rättigheter
Kontakta oss via uppgifterna i avsnitt 1. Svara gärna från den e-post du använde hos oss och var beredd att styrka din identitet (t.ex. via BankID). Vi svarar inom 30 dagar (kan förlängas upp till 2 månader vid komplexa begäranden).
12) Klagomål till tillsynsmyndighet
Du kan vända dig till Integritetsskyddsmyndigheten (IMY):
Webb: https://www.imy.se/ • E-post: imy@imy.se • Telefon: 08-657 61 00
Adress: Box 8114, 104 20 Stockholm
13) Barns personuppgifter
Våra tjänster riktar sig till vuxna. Om vi behandlar barns uppgifter säkerställer vi samtycke från vårdnadshavare där det krävs.
14) Automatiserat beslutsfattande & profilering
Vi tillämpar inte automatiserat beslutsfattande med rättsverkningar för dig. Eventuell profilering för marknadsföringssyften sker endast enligt denna policy och dina inställningar/samtycken.
15) Personuppgifter i journalsystemet
Journaldata visas för dig och behöriga administratörer, och överförs säkert från laboratoriepartners.
Publicering till din journal kan generera en PDF som lagras i vår säkra fil-lagring; länken skyddas och kräver behörighet.
Du kan begära utdrag eller radering där det är förenligt med lag och patientsäkerhet.
Åtkomst till journal uppfyller PDL-krav på åtkomstloggning och behörighetsstyrning.
16) Våra leverantörer (översikt)
Exempel – uppdatera så listan speglar verkligheten innan publicering:
Finansiell ID-Teknik BID AB (BankID)
Google Ireland Limited (Firebase/GCP – drift, databaser, autentisering, fil-lagring)
Vercel, Inc. (hosting av journalsystemet)
[Webbhotell/Strato] (WordPress/WooCommerce)
[E-post/SMS-tjänst]
[Betalningsleverantörer: Stripe/Swish/Klarna/WooPayments]
[Laboratorier: Unilabs/Synlab/Provio/Giddir/[Karolinska]]
Med alla biträden har vi biträdesavtal. Vid tredjelandsöverföring använder vi SCC och lämpliga skydd. Åtkomst begränsas enligt minsta behörighet.
17) Personuppgiftsincidenter
Vi har rutiner för att upptäcka, utreda och anmäla personuppgiftsincidenter. När så krävs anmäler vi till IMY inom 72 timmar och informerar berörda individer när risken är hög.
18) Ändringar i denna policy
Vi uppdaterar policyn när våra behandlingar förändras eller när lag kräver det. Den senaste versionen finns alltid här. Vid större förändringar informerar vi tydligt (t.ex. i inloggat läge, e-post eller banner).
19) Kontakt
Frågor om integritet? Kontakta privacy@testum.se eller support@testum.se.