Wilhelmsson Labs

Integritetspolicy

Senast uppdaterad: 2026-05-11 | Version: 1.0 | Giltigt fr.o.m.: 2026-05-11

Detta är allmän vägledning och ett juridiskt utkast. Granska med kvalificerad jurist innan publicering, i synnerhet för vertikalerna AdvokatAI och TandläkarAI som berörs av sekretesslagstiftning och hälsodata.

1. Personuppgiftsansvarig

Rickard Wilhelmsson (enskild firma under bildning till aktiebolag, org.nr: [TBD: ange korrekt organisationsnummer]) är personuppgiftsansvarig för de personuppgifter som behandlas via Wilhelmsson Labs och dess tjänster (se avsnitt 2).

Uppgift	Detalj
Namn	Rickard Wilhelmsson
Adress	[TBD: postadress krävs]
E-post	[email protected]
Telefon	[TBD: valfritt men rekommenderat]
Webbplats	wilhelmsson-labs.se (under uppbyggnad)

Not om AB-bildning: När aktiebolag är registrerat ska detta avsnitt uppdateras med bolagets organisationsnummer och officiella namn. Enskild firma och AB är separata juridiska enheter med avseende på GDPR-ansvar.

2. Tillämpningsområde

Denna policy gäller för alla tjänster under Wilhelmsson Labs-paraplyet:

RestaurangAI: AI-verktyg för besöksnäringen (restaurangai.se)
AdvokatAI: AI-stöd för juridisk verksamhet
SiffrAI: AI-stöd för redovisning och revision
TandläkarAI: AI-stöd för tandvård
Nordibo: AI-stöd för handel och butik
Nordklick: AI-stöd för hantverkare och byggbranschen
OS-projektet: cross-bransch AI-verktyg

För vertikalerna AdvokatAI, SiffrAI och TandläkarAI gäller kompletterande villkor i Bilaga A (Vertikal-specifika tillägg), vilka tar över vid eventuell konflikt med denna generella policy.

GDPR Art. 13-14 Denna policy uppfyller informationsplikten för personuppgifter som samlas in direkt från den registrerade (Art. 13) respektive från tredje part (Art. 14).

3. Vilka personuppgifter behandlar vi

3.1 Kontaktuppgifter och kontodata

Namn, e-postadress, telefonnummer
Företagsnamn, organisationsnummer (för B2B-kunder)
Användarnamn och krypterat lösenord
IP-adress och inloggningshistorik

3.2 Betalningsuppgifter

Fakturaadress
Betalningsreferenser (hanteras av Stripe; vi lagrar ej kortuppgifter direkt)
Prenumerationsstatus och transaktionshistorik

3.3 Användningsdata och AI-interaktioner

Loggar över API-anrop och tjänsteanvändning
Konversationshistorik med AI-tjänster (i förekommande fall)
Felrapporter och prestandamätningar

3.4 Känsliga personuppgifter Kräver extra skydd

Vissa vertikaler kan beröra känsliga personuppgifter enligt GDPR Art. 9. Se Bilaga A för detaljer per vertikal.

TandläkarAI: Hälsodata (Art. 9.2(h), sjukvårdsändamål)
AdvokatAI: Potentiellt känsliga uppgifter i klientärenden

TBD (kräver Rickards input): Lagrar er AI-tjänst faktiska patientjournaler, journalutdrag eller diagnos-information? Detta avgör om Patientdatalagen (2008:355) är direkt tillämplig och om ett personuppgiftsbiträdesavtal (GDPR Art. 28) med varje tandläkarpraktik är obligatoriskt.

3.5 Data vi inte samlar in

Vi samlar inte in personnummer utan uttryckligt samtycke och lagkrav
Vi använder inte biometriska data eller genetisk information
Vi säljer inga personuppgifter till tredje part

4. Ändamål och rättslig grund

Vi behandlar personuppgifter för följande ändamål och med stöd av följande rättsliga grunder (GDPR Art. 6):

Ändamål	Rättslig grund	Lagrum
Tillhandahålla och administrera avtalad tjänst	Avtal (fullgörande av avtal med den registrerade)	Art. 6.1(b)
Fakturering och betalningshantering	Avtal och rättslig förpliktelse (bokföringslagen)	Art. 6.1(b) och 6.1(c)
Kundsupport och ärendehantering	Berättigat intresse (support av befintliga kunder)	Art. 6.1(f)
Säkerhet, felsökning och loggning	Berättigat intresse (skydda tjänsten och användarna)	Art. 6.1(f)
Marknadsföring till befintliga kunder	Berättigat intresse (mjuk marknadsföring, soft opt-out)	Art. 6.1(f)
Marknadsföring till nya prospekt (cold email)	Samtycke ELLER berättigat intresse [TBD]	Art. 6.1(a) eller 6.1(f)
Förbättring av AI-modeller och tjänster	[TBD: kräver Rickards input]	Art. 6.1(a) eller 6.1(f)
Behandling av hälsodata (TandläkarAI)	Uttryckligt samtycke ELLER sjukvårdsändamål	Art. 9.2(a) eller 9.2(h)
Uppfylla legala skyldigheter (bokföring, skatt)	Rättslig förpliktelse	Art. 6.1(c)

TBD (kritisk fråga om AI-träning): Används konversationsdata för att träna, finjustera eller förbättra AI-modeller? Om ja krävs separat rättslig grund (troligtvis samtycke, Art. 6.1(a)) och det ska kommuniceras tydligt. Om ni enbart vidarebefordrar data till Anthropic/OpenAI utan att träna egna modeller gäller sub-processor-reglerna.

5. Lagringstider

Datakategori	Lagringstid	Motivering
Aktiva kundkonton	Under avtalstid och 2 år efter	Avtalstid och rimlig preskriptionstid
Fakturerings- och transaktionsdata	7 år	Bokföringslagens krav (BFL 7 kap. 2 §)
Supportärenden och loggar	12 månader	Felsökning och GDPR Art. 32 revisionsändamål
AI-konversationshistorik	[TBD: kräver Rickards input]	Definieras per vertikal baserat på ändamål
Marknadsförings-leads (prospekt)	2 år utan aktivitet	Berättigat intresse, rimlig förväntning
Hälsodata (TandläkarAI)	[TBD: per patientdatalagens krav]	Patientdatalagen 3 kap. och Socialstyrelsens föreskrifter
Säkerhetsloggar och åtkomstloggar	12 månader	ISO 27001 och GDPR Art. 32
Uppgifter i tvistlösningsärenden	Till tvistens avslut och 1 år efter	Berättigat intresse och rättsliga anspråk

6. Mottagare och underbiträden

Vi delar personuppgifter med noggrant utvalda tredjepartsleverantörer (underbiträden) enbart i den utsträckning det är nödvändigt för att leverera tjänsten. Fullständig lista finns på vår sub-processor-sida.

Huvudkategorier av mottagare:

Infrastruktur: Hetzner Online GmbH (servrar, EU-baserade)
CDN och nätverkssäkerhet: Cloudflare Inc. (EU-datacenter tillgängliga)
Betalningar: Stripe Payments Europe, Ltd. (Irland, EU)
E-post: Google Workspace via Google Ireland Ltd. (EU)
AI-modeller: Anthropic PBC (USA) och Google Vertex AI, se avsnitt 7
Automatisering: n8n-server (self-hosted på Hetzner DE)

Vi lämnar aldrig ut personuppgifter till reklambolag, datahandlare eller tredje part utan rättslig grund eller ditt samtycke.

Myndigheter kan få åtkomst till uppgifter om vi är rättsligt skyldiga att lämna ut dem.

7. Överföring till tredjeland

Vår primära infrastruktur finns i EU (Hetzner, Frankfurt). Viss data skickas till USA via API-anrop till AI-modeller. Vi hanterar detta enligt följande:

Mottagare	Land	Skyddsåtgärd	Status
Anthropic PBC	USA	EU-US Data Privacy Framework (DPF)	[TBD: verifiera på dataprivacyframework.gov]
OpenAI LLC	USA	EU-US Data Privacy Framework (DPF)	[TBD: verifiera om OpenAI används]
Google Vertex AI	EU-region möjlig	Bearbetning inom EU-region möjlig	Bekräfta region i GCP-konsolen
Cloudflare	USA (HQ)	DPF-certifierad och EU-datacenter	OK med EU-routing aktiverat
Stripe	Irland (EU-entity)	Inom EU/EES	OK

DPF-information: EU-US Data Privacy Framework (beslut 2023/1795) är det nuvarande ramverket efter Schrems II. Verifiera att Anthropic och OpenAI är listade på dataprivacyframework.gov. Om DPF inte täcker er användning krävs SCC (Standard Contractual Clauses) enligt GDPR Kap. V.

8. Dina rättigheter

Som registrerad har du följande rättigheter enligt GDPR Kap. III:

Rättighet	Lagrum	Vad det innebär
Åtkomst (registerutdrag)	Art. 15	Få en kopia av dina personuppgifter vi behandlar
Rättelse	Art. 16	Korrigera felaktiga eller ofullständiga uppgifter
Radering ("rätten att bli glömd")	Art. 17	Begär radering (gäller ej legalt lagringskrav, t.ex. bokföring)
Begränsning av behandling	Art. 18	Begär att vi begränsar behandlingen under utredning
Dataportabilitet	Art. 20	Exportera dina uppgifter i maskinläsbart format (JSON/CSV)
Invändning	Art. 21	Invända mot behandling baserad på berättigat intresse
Återkalla samtycke	Art. 7.3	Återkalla samtycke när som helst utan negativa konsekvenser
Klaga till tillsynsmyndighet	Art. 77	Klaga till IMY (Integritetsskyddsmyndigheten)

Skicka begäran om rättighetsutövning till [email protected] med ämnesraden "GDPR-begäran". Vi svarar inom 30 dagar (GDPR Art. 12.3).

Klaga till IMY: Integritetsskyddsmyndigheten, Box 8114, 104 20 Stockholm. www.imy.se

9. Säkerhetsåtgärder

Vi vidtar lämpliga tekniska och organisatoriska åtgärder (GDPR Art. 32) för att skydda dina personuppgifter:

Kryptering i transit: TLS 1.2+ på alla anslutningar
Kryptering i vila: Databas på Hetzner med disk-kryptering
Åtkomstkontroll: Rollbaserad behörighetsstyrning (RBAC), MFA för adminåtkomst
Loggning: Åtkomstloggar sparas i 12 månader
Backup: Dagliga säkerhetskopior med kryptering (3-2-1-principen)
Incidenthantering: Rutin för personuppgiftsincidenter med 72-timmarsanmälan till IMY (Art. 33)
Leverantörsgranskning: Avtal med underbiträden per Art. 28

10. Barn

Våra tjänster riktar sig till verksamheter och yrkesverksamma (B2B). Vi samlar inte medvetet in personuppgifter om barn under 16 år. Om du är förälder och tror att ditt barn lämnat personuppgifter kontaktar du oss omgående.

11. Ändringar i policyn

Vi kan uppdatera denna policy när tjänsterna förändras eller lagstiftning ändras. Väsentliga ändringar kommuniceras via e-post till registrerade kunder senast 30 dagar innan de träder i kraft. Datum för senaste uppdatering anges alltid i sidhuvudet.

12. Kontakt

Har du frågor om hur vi behandlar dina personuppgifter, kontakta oss på:

E-post: [email protected]
Post: Rickard Wilhelmsson, [TBD adress], Sverige
Ämne: Använd "GDPR" i ämnesraden för snabb hantering

Not om DPO: Vi har inte utsett ett dataskyddsombud (DPO). Skyldighet att utse DPO föreligger inte för verksamheter under 250 anställda utom i specifika fall (Art. 37: storskalig behandling av känsliga data eller systematisk övervakning). Rekommendation: om TandläkarAI-volymerna växer eller AdvokatAI hanterar stora mängder klientdata, överväg frivillig DPO-utnämning som B2B-signal.