Utkast — under granskning
Integritetspolicy
Senast uppdaterad: 2026-04-29.
Cura Flow ("vi", "oss", "Cura Flow") drivs av Bloudigital AB. Den här policyn beskriver hur vi behandlar personuppgifter när vi tillhandahåller tjänsten Cura Flow — en automatisk uppringningstjänst för tandläkarkliniker som integrerar mot Muntra.
1. Personuppgiftsansvar
För patient- och journaldata: kliniken är personuppgiftsansvarig. Cura Flow är personuppgiftsbiträde och behandlar data enligt vårt biträdesavtal (DPA) med kliniken.
För kontoadministration (inloggning, support, fakturering): Bloudigital AB är personuppgiftsansvarig.
2. Vilka uppgifter behandlas
- Patientuppgifter (från Muntra): personnummer, namn, telefonnummer, behandlingstyp, bokningstider.
- Samtalsmetadata (från Vapi): tidpunkt, varaktighet, utfall, eventuella transcripts.
- Klinikens kontodata: e-post, roll, inloggningsmetadata.
3. Rättslig grund
För patientdata: kliniken förlitar sig typiskt på berättigat intresse eller patientens samtycke (dokumenterat hos kliniken). Cura Flow agerar endast på instruktion från kliniken.
För kontodata: avtalsförpliktelse (när du skapar ett Cura Flow-konto).
4. Personnummer-hantering
Personnummer behövs för att Muntra ska kunna identifiera rätt patient vid ombokning. Vi minimerar exponering genom följande regler:
- Personnummer skickas aldrig till vår AI-callerleverantör (Vapi). Vapi får endast förnamn, telefonnummer och den erbjudna tiden.
- Personnummer lagras krypterat (Supabase Postgres med kryptering at-rest).
- Personnummer loggas aldrig i klartext i applikationsloggar.
5. Var lagras data
All databehandling sker inom EU/EES:
- Supabase (Postgres + Auth + Edge Functions): North EU (Stockholm)
- Vercel (frontend-hosting): EU-region (Frankfurt/Stockholm)
En enda underleverantör är USA-baserad: Vapi (vår AI-caller). För överföring till Vapi tillämpar vi EU:s standardavtalsklausuler (SCC) och en transfer impact assessment (TIA). Se Underleverantörer för fullständig lista.
6. Lagringstid
- Patient- och samtalsdata: enligt biträdesavtalet med kliniken (typiskt så länge avtalet är aktivt + 30 dagars grace period).
- Samtals-transcripts: max 90 dagar.
- Audit-loggar: 12 månader rolling.
- Kontodata: så länge kontot är aktivt + 30 dagar efter avtalsslut.
7. Dina rättigheter (GDPR)
Du har rätt att begära tillgång (Art. 15), rättelse (Art. 16), radering (Art. 17), begränsning av behandling (Art. 18), dataportabilitet (Art. 20) och invändning (Art. 21).
För patientdata: vänd dig till din klinik (de är personuppgiftsansvariga). För kontodata: kontakta oss på hugo@bloudigital.se.
8. Personuppgiftsincident
Om vi upptäcker en personuppgiftsincident anmäler vi den till Integritetsskyddsmyndigheten (IMY) inom 72 timmar och informerar berörda kliniker utan onödigt dröjsmål. Se vår incident-runbook för detaljer.
9. Klagomål
Du har rätt att lämna klagomål till tillsynsmyndigheten: Integritetsskyddsmyndigheten (IMY), Box 8114, 104 20 Stockholm, imy.se.
10. Kontakt
Bloudigital AB · Cura Flow · hugo@bloudigital.se.