Integritetspolicy

Senast uppdaterad: 4 maj 2026

Supernormal AB, org.nr 559270-6336, är personuppgiftsansvarig för behandlingen av personuppgifter som beskrivs i denna integritetspolicy. Supernormal AB är en registrerad vårdgivare i Sverige (hos Inspektionen för vård och omsorg, IVO) och inväntar besked i Finland (LVV). Det innebär att olika regler gäller beroende på din relation till oss: om du besöker vår webbplats eller är intresserad av våra tjänster gäller GDPR. Om du blir patient hos oss gäller GDPR och den patientdatalagstiftning som är tillämplig i din jurisdiktion. För svenska patienter patientdatalagen (PDL) och övrig svensk hälso- och sjukvårdslagstiftning, för finska patienter motsvarande finsk lagstiftning. Denna policy beskriver båda situationerna och var gränsen går.

Läs denna integritetspolicy noggrant. Genom att använda och få tillgång till någon av våra tjänster bekräftar du att du har läst denna integritetspolicy och förstår hur dina uppgifter samlas in, används och lämnas ut enligt beskrivningen nedan.

I korthet

Supernormal AB är en registrerad vårdgivare i Sverige och inväntar besked i Finland.

Vilka uppgifter vi samlar in. Innan du blir patient: kontaktuppgifter, betalningsuppgifter och några kvalificerande hälsofrågor. Som patient: identitet via stark elektronisk identifiering (BankID i Sverige, FTN i Finland), hälsouppgifter och kommunikation med vårdpersonalen, viktverifieringsfoton samt egenrapporterad data som vikt.

Varför. För att tillhandahålla det viktnedgångsprogram eller hälsotest du har anmält dig till, dokumentera din vård enligt lag, hantera fakturering och hålla plattformen säker. Vi använder inte patientuppgifter för marknadsföring.

Hur länge. Konto- och pre-care-uppgifter: så länge ditt konto är aktivt, därefter upp till 36 månader. Patientjournaler: minst 12 år enligt hälso- och sjukvårdslagstiftningen. Driftloggar: kort retention. Marknadsföringsdata: så länge du har gett ditt samtycke.

Dina rättigheter. Tillgång, rättelse, radering (där det är lagligt tillåtet) och återkallelse av samtycke. Kontakta oss på talk@supernormal.health.

Mer detaljerad information finns i avsnitten nedan.

Om oss och vad vi gör

Supernormal AB driver två tjänster:

  • Viktnedgångsprogram: ett prenumerationsbaserat behandlingsprogram med tillgång till läkare, dietister och hälsocoacher.
  • Hälsotester: engångsbetalda blodprovsbaserade hälsoundersökningar med medicinsk bedömning.

Båda tjänsterna utgör hälso- och sjukvård enligt tillämplig hälso- och sjukvårdslagstiftning (i Sverige hälso- och sjukvårdslagen 2017:30; i Finland motsvarande lagstiftning) och vi är ansvariga vårdgivare för all vård som tillhandahålls inom dessa tjänster.

När vilken lagstiftning gäller

Vi behandlar dina personuppgifter på två olika sätt beroende på var du befinner dig i vår tjänst.

Innan du blir patient (pre-care). När du besöker vår webbplats, anmäler intresse, läser vårt informationsmaterial, kontaktar vår personal eller betalar för en tjänst utan att ännu ha påbörjat behandling, behandlar vi dina personuppgifter under GDPR. Du är vid den tidpunkten inte vår patient; vi är inte din vårdgivare i juridisk mening.

När du är patient. När du har inlett en vårdrelation med oss behandlar vi dina personuppgifter under både GDPR och den patientdatalagstiftning som är tillämplig i din jurisdiktion. I Sverige patientdatalagen (PDL), i Finland motsvarande finsk lagstiftning. Vårdrelationen påbörjas i och med att du fyller i hälsodeklarationen, vilket är det första steget efter genomförd betalning. Från och med den tidpunkten för vi en patientjournal om dig, din vård dokumenteras av legitimerad eller annan vårdpersonal, och din journal omfattas av reglerna om sekretess och patientens rätt till sin journal.

Information från pre-care används inte för att fatta vårdbeslut, och uppgifter ur din patientjournal används aldrig för marknadsföring eller försäljning.

Vilka personuppgifter vi behandlar

I pre-care-fasen behandlar vi följande kategorier:

  • Kontaktuppgifter: namn, e-post, telefonnummer, postadress.
  • Konto- och betaluppgifter: användaruppgifter, faktureringsadress samt betalningsbekräftelser. Själva kortuppgifterna behandlas inte av oss utan av betalningsleverantören.
  • Uppgifter om intresseanmälan och kommunikation före vårdstart: information du delar i kontakt med vår personal innan vårdrelationen börjar.
  • Webbplatsanvändning: information om hur du använder vår webbplats, via cookies och liknande tekniker.

När du är patient behandlar vi dessutom:

  • Patientuppgifter: all information om din hälsa, behandling, kommunikation med vårdpersonal, laboratoriesvar, medicinska bedömningar, ordinationer och uppföljning. Dessa uppgifter ingår i din patientjournal.
  • Identifieringsuppgifter: personnummer (eller motsvarande finsk personbeteckning), autentisering via stark elektronisk identifiering (BankID i Sverige och Finnish Trust Network FTN i Finland).
  • Konto- och betaluppgifter: som ovan, för administration av prenumeration och fakturering.
  • Egenrapporterad data: uppgifter du själv väljer att registrera, till exempel vikt eller mående.

Vår rättsliga grund för att behandla uppgifterna

I pre-care-fasen stödjer vi oss på följande rättsliga grunder:

  • Avtal (artikel 6.1.b GDPR): för att tillhandahålla webbplatsen, ditt konto och de tjänster du beställer innan vården börjar.
  • Berättigat intresse (artikel 6.1.f GDPR): för säkerhet och bedrägeribekämpning, samt för att utveckla och förbättra våra tjänster.
  • Samtycke (artikel 6.1.a GDPR): för icke-nödvändiga cookies, marknadsföringsutskick och annonseringsspårning. Du kan när som helst återkalla ditt samtycke utan att det påverkar din relation med oss i övrigt.

När du är patient stödjer vi oss på följande rättsliga grunder:

  • Tillhandahållande av hälso- och sjukvård (artikel 9.2.h GDPR), tillsammans med tillämplig patientdatalagstiftning och annan hälso- och sjukvårdslagstiftning: för all behandling av hälsouppgifter inom ramen för din vård. Vården utförs av personal som omfattas av tystnadsplikt enligt tillämplig hälso- och sjukvårdslagstiftning (i Sverige patientsäkerhetslagen och offentlighets- och sekretesslagen; i Finland motsvarande lagstiftning).
  • Rättslig förpliktelse (artikel 6.1.c och 9.2.h GDPR): för att uppfylla våra skyldigheter som vårdgivare, inklusive journalföring, bevarande och utlämning enligt tillämplig patientdatalagstiftning och tillhörande föreskrifter (i Sverige patientdatalagen och HSLF-FS 2016:40; i Finland motsvarande lagstiftning).
  • Sysselsättnings- och socialförsäkringsrättsliga skyldigheter (artikel 9.2.b GDPR): när vår vårdpersonal utfärdar intyg som rör arbetsförmåga eller socialförsäkringsärenden, exempelvis sjukintyg till Försäkringskassan, FPA (Kela) eller arbetsgivare.
  • Fastställande, utövande eller försvar av rättsliga anspråk (artikel 9.2.f GDPR): om det blir nödvändigt att behandla hälsouppgifter för att hantera tillsynsärenden, klagomål eller rättsliga tvister, exempelvis i ärenden hos IVO, LVV eller domstol.
  • Avtal (artikel 6.1.b GDPR): för administration av din prenumeration eller order, fakturering och kommunikation som inte utgör vård.

Hur vi använder uppgifterna

Beroende på hur du interagerar med oss använder vi dina personuppgifter för följande ändamål:

  • Tillhandahålla webbplatsen och kontot med stöd av avtal (artikel 6.1.b), och behandlar då konto-, kontakt- och användningsuppgifter.
  • Hantera dina beställningar och prenumerationer med stöd av avtal (artikel 6.1.b), och behandlar då konto-, betal- och orderuppgifter.
  • Hantera Tillsammans-rabatter och förmedling av referensbelopp med stöd av avtal (artikel 6.1.b), och behandlar då konto-, kontakt- och relationsuppgifter (vem som bjudit in vem).
  • Tillhandahålla vård och dokumentera den i din patientjournal med stöd av artikel 9.2.h GDPR och tillämplig patientdatalagstiftning, och behandlar då patientuppgifter och identifieringsuppgifter.
  • Uppfylla våra skyldigheter som vårdgivare med stöd av rättslig förpliktelse (artikel 6.1.c och 9.2.h) och tillämplig patientdatalagstiftning, och behandlar då patientuppgifter.
  • Utfärda intyg om arbetsförmåga eller socialförsäkring med stöd av sysselsättningsrätt (artikel 9.2.b), och behandlar då patientuppgifter och identifieringsuppgifter.
  • Hantera klagomål, tillsynsärenden och rättsliga tvister med stöd av rättsliga anspråk (artikel 9.2.f), och behandlar då patientuppgifter och ärendekommunikation.
  • Säkerhet, bedrägeribekämpning och åtkomstkontroll med stöd av berättigat intresse (artikel 6.1.f), och behandlar då konto-, användnings- och åtkomstuppgifter.
  • Marknadsföring och annonsering riktad till nya kunder med stöd av samtycke (artikel 6.1.a), och behandlar då konto-, kontakt- och webbplatsanvändningsuppgifter.
  • Utveckling och förbättring av tjänsten (icke-vårdrelaterat) med stöd av berättigat intresse (artikel 6.1.f), och behandlar då aggregerade och, där möjligt, pseudonymiserade användningsuppgifter.

Vi använder inte patientuppgifter för marknadsföring, annonsering eller försäljning. Den gränsen är absolut.

Cookies och annonseringsspårning

På vår webbplats använder vi cookies och liknande tekniker. Nödvändiga cookies används för att webbplatsen ska fungera och kräver inte samtycke. Andra cookies, inklusive analys-, marknadsförings- och annonseringscookies från tredje part som Meta, Google och liknande, används endast om du har samtyckt till det via vår cookie-banner.

Annonseringsspårning sker i pre-care-zonen och endast med ditt samtycke. Annonsplattformar och marknadsföringspartners används inte i patientplattformen, och vi använder inte patientuppgifter för marknadsföring eller annonsering.

Vilka vi delar uppgifter med

Vi delar dina uppgifter endast med parter som behöver dem för att tjänsten ska fungera, eller där vi har en rättslig skyldighet eller giltig grund att göra det.

Personuppgiftsbiträden. Vi anlitar följande typer av personuppgiftsbiträden:

  • Molnleverantör för drift av plattformen (inom EU).
  • Betalningsleverantörer: Shopify för hälsotester; Stripe för prenumerationsbetalningar. När du väljer Klarna som betalningsmetod via Stripe behandlas dina betalningsuppgifter även av Klarna.
  • Identifieringstjänst: Svensk e-identitet AB, för integration mot BankID i Sverige och FTN (Finnish Trust Network) i Finland samt hantering av autentiseringsflödet.
  • Laboratorium: ackrediterat laboratorium för analys av blodprov.
  • Journalsystem: elektroniska patientjournalsystem som används av vår vårdpersonal, Hlthy för svensk verksamhet och Vitec Acute för finsk verksamhet.
  • E-post- och kommunikationsleverantörer.
  • Formulärtjänst: Typeform, för att samla in kvalificerande hälsofrågor i pre-care-fasen innan vårdrelationen påbörjas.
  • Driftövervakning och felrapportering för stabil drift av plattformen.
  • Marknadsförings- och annonseringspartners: Meta, Google och liknande, men endast i pre-care-zonen och endast med ditt samtycke.

En aktuell förteckning över våra personuppgiftsbiträden tillhandahålls på begäran. Personuppgiftsbiträdesavtal (DPA) ingås med samtliga biträden som behandlar personuppgifter för vår räkning.

Självständigt personuppgiftsansvariga. Vissa parter som tar emot dina uppgifter behandlar dem under sitt eget ansvar, de är självständigt personuppgiftsansvariga och inte våra personuppgiftsbiträden. När uppgifter delas med dem gäller deras egna integritetspolicyer.

  • Apotek, vid e-recept som vår vårdpersonal förskriver.
  • Socialförsäkringsmyndighet och arbetsgivare, när du har bett oss utfärda ett intyg eller när vi har en skyldighet att lämna uppgifter, exempelvis vid sjukintyg, i Sverige Försäkringskassan, i Finland FPA (Kela).
  • Andra vårdgivare, vid remiss eller överlämning av vårdansvar med ditt samtycke eller stöd i lag.
  • Tillsynsmyndigheter: i Sverige IVO, IMY och Socialstyrelsen; i Finland Tietosuojavaltuutettu, när vi har en lagstadgad skyldighet att lämna ut uppgifter.
  • Leverantörer av stark elektronisk identifiering: för svensk autentisering Finansiell ID-Teknik BID AB (BankID), som är den ansvariga aktören för själva identifieringen och underskriften med BankID. För finsk autentisering används identifieringstjänster anslutna till Finnish Trust Network (FTN), där varje enskild identifieringstjänst (typiskt en bank eller mobiloperatör) är personuppgiftsansvarig för sin del av identifieringen.
  • Betalningsleverantörer för avtalsadministration vad gäller den betalningsrelation som uppstår mellan dig och leverantören.

Andra utlämnanden. Du själv har rätt att ta del av din journal och dina personuppgifter. I undantagsfall lämnar vi även ut uppgifter till brottsbekämpande myndighet efter rättsligt beslut eller motsvarande laglig grund.

Vi säljer inte personuppgifter och vi delar inte patientuppgifter för marknadsföringsändamål.

Profilering och automatiserat beslutsfattande

Vi fattar inga automatiserade beslut som har rättsliga följder för dig eller på liknande sätt påverkar dig i betydande grad i den mening som avses i artikel 22 GDPR. Alla vårdbeslut fattas av legitimerad eller annan vårdpersonal.

I pre-care-zonen kan viss profilering förekomma i samband med marknadsföring och annonsering, exempelvis segmentering av webbplatsbesökare för att visa relevant information. Sådan profilering sker endast med ditt samtycke och påverkar inte din rätt till vård eller andra avtal med oss.

Var dina uppgifter behandlas

Dina uppgifter behandlas inom EU/EES. Vissa av våra personuppgiftsbiträden är amerikanska företag (till exempel betalningsleverantörer och driftövervakningstjänster). När personuppgifter överförs utanför EES sker det med stöd av Europeiska kommissionens standardavtalsklausuler (SCC) eller, där tillämpligt, EU–US Data Privacy Framework, kompletterat med tekniska och organisatoriska skyddsåtgärder.

Patientuppgifter behandlas inom EU.

Dina rättigheter

Beroende på vilken zon dina uppgifter behandlas i ser dina rättigheter olika ut.

GDPR-rättigheter (gäller alla uppgifter). Du har rätt att:

  • få information om vilka uppgifter vi har om dig (artikel 15),
  • begära rättelse av felaktiga uppgifter (artikel 16),
  • begära radering där det är tillåtet enligt lag (artikel 17),
  • begära begränsning av behandlingen (artikel 18),
  • få ut dina uppgifter i ett strukturerat format (artikel 20, gäller främst icke-vårdrelaterade uppgifter),
  • invända mot behandling som baseras på berättigat intresse (artikel 21),
  • återkalla ditt samtycke när behandlingen bygger på samtycke (artikel 7),
  • inge klagomål till Integritetsskyddsmyndigheten (IMY).

Patienträttigheter enligt hälso- och sjukvårdslagstiftningen. Som patient har du, utöver dina GDPR-rättigheter, också rättigheter enligt den hälso- och sjukvårdslagstiftning som är tillämplig i din jurisdiktion. Dessa innefattar bland annat:

  • rätt att läsa din patientjournal,
  • rätt att få veta vem som har tagit del av dina patientuppgifter (loggutdrag, i Sverige enligt PDL 8 kap., i Finland enligt motsvarande finsk lagstiftning),
  • rätt att begära att en notering läggs till i journalen om du anser att en uppgift är felaktig.

Patientjournaler kan inte raderas på begäran. De ska bevaras under den period som tillämplig hälso- och sjukvårdslagstiftning kräver, minst tio år enligt svensk PDL och minst tolv år enligt finsk lagstiftning. Supernormal AB tillämpar i praktiken en bevarandetid på minst tolv år för att uppfylla det strängare av kraven.

För att utöva dina rättigheter, kontakta oss på talk@supernormal.health. Vi verifierar din identitet via stark elektronisk identifiering (BankID i Sverige, FTN i Finland) innan vi lämnar ut uppgifter eller utför andra åtgärder som rör ditt konto eller din journal. Vi behandlar din begäran inom en månad från det att vi har kunnat identifiera dig.

Hur länge vi sparar dina uppgifter

  • Pre-care-uppgifter sparas så länge det behövs för det ändamål de samlades in för. För kontaktuppgifter och dialoger innan vårdstart sparar vi uppgifterna i upp till 36 månader efter senaste kontakt, för att kunna följa upp ditt ärende, utvärdera vår säljprocess och utföra eventuella efterföljande utredningar. Marknadsföring riktad till dig sker endast om du har gett ditt samtycke, och du kan när som helst återkalla samtycket eller begära att vi raderar dina uppgifter.
  • Patientjournaler sparas under den period som tillämplig hälso- och sjukvårdslagstiftning kräver. Den svenska patientdatalagen kräver minst tio år (3 kap. 17 §); finsk lagstiftning kräver minst tolv år. Supernormal AB tillämpar bevarandetiden tolv år, vilket uppfyller bägge kraven.
  • Bokföringsunderlag (fakturor och liknande) sparas i sju år enligt bokföringslagen.
  • Cookies och annonseringsdata sparas enligt vad som anges i cookie-bannern.

Säkerhet

Vi vidtar tekniska och organisatoriska åtgärder för att skydda dina uppgifter, inklusive kryptering av data i vila och vid överföring, åtkomstkontroll, loggning av åtkomst till patientuppgifter enligt tillämplig patientdatalagstiftning, samt regelbunden granskning av våra säkerhetsrutiner.

Endast behörig personal har åtkomst till patientuppgifter, och all sådan åtkomst loggas och kan följas upp.

Vi rekommenderar att du aktiverar appspecifik biometrisk upplåsning (t.ex. iOS Require Face ID) för ytterligare skydd av dina patientuppgifter.

Ändringar i denna policy

Vi kan komma att uppdatera denna policy från tid till annan. När vi gör väsentliga ändringar informerar vi dig via tjänsten eller via e-post. Den senast uppdaterade versionen finns alltid tillgänglig på vår webbplats.

Klagomål och kontakt

Om du har frågor eller klagomål om hur vi hanterar dina personuppgifter, kontakta oss först på talk@supernormal.health. Du har också rätt att vända dig till tillsynsmyndighet i din jurisdiktion:

  • I Sverige: Integritetsskyddsmyndigheten (IMY) för frågor om personuppgiftsbehandling, eller Inspektionen för vård och omsorg (IVO) för frågor som gäller vårdgivande verksamhet.
  • I Finland: Tietosuojavaltuutettu (dataskyddsombudsmannen) för frågor om personuppgiftsbehandling, eller LVV för frågor som gäller vårdgivande verksamhet.

Dataskyddsombud. Funktionen som dataskyddsombud är utsedd inom Supernormal AB. Du når dataskyddsombudet via talk@supernormal.health.

Personuppgiftsansvarig är Supernormal AB, org.nr 559270-6336, Birger Jarlsgatan 57, 113 53 Stockholm. Du når oss på talk@supernormal.health.