Hur Tandela behandlar och skyddar dina personuppgifter.
Denna integritetspolicy beskriver hur Tandela ("vi", "oss") behandlar personuppgifter i samband med vår webbaserade tjänst för AI-driven journalföring inom tandvården, samt vid besök på vår webbplats tandela.ai.
Policyn gäller för:
För patientdata agerar Tandela som personuppgiftsbiträde enligt GDPR art. 28. Den behandlande kliniken är personuppgiftsansvarig och ansvarar för att inhämta patientens samtycke. Tandela behandlar aldrig patientdata för egna ändamål.
Denna policy ska läsas tillsammans med tillämpliga bestämmelser i dataskyddsförordningen (GDPR), den svenska dataskyddslagen (2018:218) och patientdatalagen (PDL, 2008:355).
Kontakt: privacy@tandela.ai
Klinikpersonal (vi är personuppgiftsansvarig)
Uppgifter: Namn, e-postadress, arbetsroll, inloggningsuppgifter och aktivitetsloggar.
Ändamål: Tillhandahålla och administrera tjänsten.
Rättslig grund: Avtalsuppfyllelse (art. 6.1 b GDPR).
Webbplatsbesökare (vi är personuppgiftsansvarig)
Uppgifter: Anonymiserad besöksdata och teknisk information.
Ändamål: Förstå hur webbplatsen används och förbättra upplevelsen.
Rättslig grund: Berättigat intresse (art. 6.1 f) för strikt nödvändiga cookies, samtycke (art. 6.1 a) för analyscookies.
Kontaktformulär (vi är personuppgiftsansvarig)
Uppgifter: Namn, e-post, kliniknamn, antal medarbetare och meddelande.
Ändamål: Besvara förfrågningar.
Rättslig grund: Berättigat intresse (art. 6.1 f).
Patientdata (vi är personuppgiftsbiträde)
Uppgifter: Ljudströmmar från patientmöten bearbetas i realtid via tal-till-text-tjänster för att skapa journalutkast. Genererade utkast innehåller klinisk information som utgör hälsodata enligt GDPR art. 9.
Ändamål: Skapa journalutkast och kodförslag på uppdrag av kliniken.
Rättslig grund: Avtal med kliniken som personuppgiftsansvarig (art. 28 GDPR). Kliniken stödjer sig på art. 9.2 h (vård och behandling) som grund för behandling av känsliga personuppgifter.
Fakturering (vi är personuppgiftsansvarig)
Uppgifter: Fakturaadress och betalningsinformation.
Ändamål: Fakturering och bokföring.
Rättslig grund: Rättslig förpliktelse (art. 6.1 c). Lagras i enlighet med bokföringslagen (1999:1078) i minst 7 år.
Tandela bearbetar hälsodata (känsliga personuppgifter enligt GDPR art. 9) på uppdrag av kliniken. Kliniken är personuppgiftsansvarig och journalansvarig enligt patientdatalagen (PDL, 2008:355).
Tandela genererar administrativa utkast som blir en del av patientjournalen först efter att behörig behandlare granskat, godkänt och importerat dem till klinikens journalsystem. Tandela är inte ett journalsystem och utgör inte patientjournalen.
Kliniken ansvarar för efterlevnad av PDL, inklusive krav på dokumentation, bevarande och åtkomstkontroll. Tandelas raderingsrutiner åsidosätter inte klinikens lagstadgade skyldigheter att bevara journalhandlingar.
Tandela använder AI-modeller för att generera journalutkast och kodförslag baserat på tal-till-text-transkription av patientmöten.
Patientdata används aldrig för att träna AI-modeller. Transkriberat ljud och genererade utkast används uteslutande för att leverera tjänsten till den aktuella kliniken.
Ljud transkriberas av externa tal-till-text-tjänster med nolldatalagring (se underbiträden nedan). Varken Tandela eller våra STT-leverantörer sparar råljud.
Automatiserat beslutsfattande (art. 13.2 f, art. 22 GDPR): Tjänsten genererar utkast med hjälp av AI, men fattar inga beslut med rättslig eller motsvarande betydande verkan för enskilda. Alla utkast kräver manuell granskning och godkännande av behörig behandlare innan klinisk användning. Tandela utför ingen profilering av patienter eller användare.
Ljud: Bearbetas i realtid och raderas omedelbart av Tandela. Våra tal-till-text-leverantörer tillämpar nolldatalagring (zero data retention) och sparar aldrig ljud eller transkriptioner.
Transkriptioner och AI-genererade utkast: Lagras tills kliniken godkänner eller raderar dem. Raderas automatiskt efter 7 dagar om ingen åtgärd vidtas.
Klinikpersonals uppgifter: Sparas så länge kontot är aktivt. Raderas inom 30 dagar efter avslutad prenumeration.
Fakturerings- och bokföringsdata: Lagras i minst 7 år enligt bokföringslagen (1999:1078).
Kontaktförfrågningar: Sparas i upp till 12 månader.
Applikations- och säkerhetsloggar: Upp till 12 månader. Loggar innehåller inga patientuppgifter eller kliniskt innehåll.
Krypterade säkerhetskopior: 30 dagars rullande period.
Vi använder ett begränsat antal underbiträden för att leverera tjänsten. All patientdata behandlas och lagras uteslutande inom EU/EES. Alla underbiträden som behandlar patientdata är bundna av databehandlingsavtal. EU:s standardavtalsklausuler (SCCs) och kompletterande skyddsåtgärder tillämpas där så krävs i enlighet med GDPR kapitel V.
Deepgram — Tal-till-text, nolldatalagring. Patientdata. Bearbetning i EU.
ElevenLabs — Tal-till-text, nolldatalagring. Patientdata. Bearbetning i EU.
Amazon Web Services EMEA — AI- och LLM-tjänster. Patientdata. Stockholm, Sverige.
Google Cloud EMEA — AI- och LLM-tjänster. Patientdata. Finland.
Railway — Applikationshosting. Patientdata. Nederländerna.
PostHog — Analys och loggning. Ingen patientdata. Bearbetning i EU.
Vi meddelar klinikadministratörer minst 30 dagar innan ett nytt underbiträde som behandlar patientdata anlitas. Om kliniken invänder mot ett nytt underbiträde har kliniken rätt att säga upp avtalet utan avgift.
All data lagras och bearbetas inom EU/EES. Vår infrastruktur är fördelad över Sverige, Finland och Nederländerna.
All data krypteras vid överföring (TLS 1.3) och vid lagring (AES-256).
Enligt GDPR har du rätt att:
Vi besvarar förfrågningar inom en månad i enlighet med GDPR art. 12.3. Identitetsverifiering kan krävas innan vi behandlar en begäran.
Klinikpersonal: Kontakta oss på privacy@tandela.ai.
Patienter: Kontakta din klinik direkt. Kliniken är personuppgiftsansvarig för din patientdata. Vi assisterar kliniken vid förfrågningar.
Du har alltid rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY), www.imy.se.
Strikt nödvändiga cookies används för att tjänsten ska fungera korrekt (autentisering, sessionshantering). Dessa kräver inget samtycke.
Analyscookies (PostHog) används för att förstå hur webbplatsen används. Dessa samlar in anonymiserad data och aktiveras först efter samtycke.
Vi använder inga tredjepartscookies för reklam eller spårning.
Vi vidtar tekniska och organisatoriska åtgärder för att skydda personuppgifter, inklusive:
En konsekvensbedömning avseende dataskydd (DPIA) enligt GDPR art. 35 har genomförts för tjänsten med hänsyn till behandling av hälsodata via AI.
Säkerhetsincidenter som berör patientdata rapporteras till berörd klinik utan onödigt dröjsmål och senast inom 24 timmar. Vid behov samarbetar Tandela med Integritetsskyddsmyndigheten (IMY) och Inspektionen för vård och omsorg (IVO).
Tjänsten riktar sig inte till barn under 16 år. Kliniker måste säkerställa att inspelning som involverar minderåriga patienter följer svenska regler för samtycke inom vården. För patienter under 16 år krävs vårdnadshavares samtycke till inspelning.
Vår webbplats kan innehålla länkar till externa webbplatser. Vi ansvarar inte för innehållet eller personuppgiftsbehandlingen på dessa webbplatser.
Ett databehandlingsavtal (DPA) som reglerar Tandelas behandling av patientdata i enlighet med GDPR art. 28 tillhandahålls i samband med kontoskapande. Kontakta oss på privacy@tandela.ai för frågor.
Vi kan uppdatera denna integritetspolicy vid behov. Väsentliga ändringar meddelas via e-post till registrerade användare minst 30 dagar i förväg.
Version 1.0 — Senast uppdaterad: 2026-03-22.
Tandela — privacy@tandela.ai
Tillsynsmyndighet: Integritetsskyddsmyndigheten (IMY) — www.imy.se