Omsio.
    Logga in

    Integritetspolicy

    Senast uppdaterad: 2026-05-08

    Denna integritetspolicy beskriver hur NotAStartup AB ("vi", "oss"), som driver plattformen Omsio, behandlar personuppgifter.

    1. Personuppgiftsansvarig

    NotAStartup AB
    Organisationsnummer: 559566-4250
    E-post: support@omsio.se

    Varje verksamhet som använder Omsio är personuppgiftsansvarig för de uppgifter som registreras om placerade individer. NotAStartup AB agerar som personuppgiftsbiträde enligt vårt personuppgiftsbiträdesavtal.

    2. Vilka personuppgifter behandlar vi?

    Kontouppgifter

    • Namn, e-postadress, telefonnummer
    • Personnummer — för identifiering vid BankID-autentisering och spårbarhet i revisionsloggar enligt SoL 11 kap 5 §
    • Roll och behörigheter

    Placeringsuppgifter (hanteras av verksamheten)

    • Uppgifter om placerade individer
    • Journalanteckningar och rapporter
    • Dokument och avtal

    Tekniska uppgifter

    • IP-adress (i revisionsloggar)
    • Sessionsdata

    3. Rättslig grund

    • Avtal: Behandling som krävs för att tillhandahålla tjänsten (Art. 6.1b GDPR)
    • Rättslig förpliktelse: Behandling enligt socialtjänstlagen (Art. 6.1c GDPR)
    • Berättigat intresse: Säkerhetsloggning och felsökning (Art. 6.1f GDPR)

    Journalanteckningar och uppgifter om placerade individer utgör särskilda kategorier av personuppgifter (Art. 9 GDPR) och behandlas med stöd av Art. 9.2g (allmänt intresse av betydelse) tillsammans med svensk socialtjänstlagstiftning. Verksamheten är personuppgiftsansvarig för denna behandling.

    3a. Behandling av barns personuppgifter

    En väsentlig del av de placerade individer som registreras i plattformen är barn och unga under 18 år. Sådan behandling omfattas av särskilt skydd enligt GDPR Art. 8 och skäl 38, samt barnkonventionen (lag 2018:1197) och socialtjänstlagen.

    Den rättsliga grunden för behandling av barns uppgifter följer av Verksamhetens lagstadgade uppdrag (oftast SoL 11 kap), inte av barnets eller vårdnadshavarens samtycke. Vårdnadshavares rätt till information och insyn hanteras av Verksamheten i egenskap av personuppgiftsansvarig — Omsio som personuppgiftsbiträde verkställer Verksamhetens instruktioner.

    Plattformen tillhandahåller tekniska kontroller för åtkomst, sekretessmarkering, skyddad folkbokföring och spårbarhet anpassade för socialtjänstens hantering av barn i utsatta situationer.

    4. Hur skyddas dina uppgifter?

    • AES-256-kryptering vid lagring, TLS 1.2+ vid överföring
    • BankID-autentisering — inga lösenord lagras
    • Row Level Security på samtliga databastabeller
    • Mandantisolering mellan verksamheter
    • Revisionsloggar med fullständig ändringshistorik

    5. Underleverantörer

    Vi delar aldrig personuppgifter i marknadsföringssyfte. Personuppgiftsbiträdesavtal finns med samtliga underleverantörer. Den fullständiga, aktuella listan med funktion, lokalisering och överföringsmekanism finns på omsio.se/underleverantorer.

    Behandling sker huvudsakligen inom EU/EES. Det enda undantaget för känsliga uppgifter är det valbara AI-tillägget, som innebär överföring till Anthropic PBC i USA under EU-kommissionens standardavtalsklausuler (SCC). Tillägget är inaktiverat som standard och aktiveras endast på Verksamhetens uttryckliga begäran. Anthropic använder inte data för att träna sina modeller.

    5a. AI-funktioner och EU:s AI-förordning

    Omsio erbjuder valfria AI-funktioner som hjälper personal med skrivande, sammanfattningar och dokumentstöd. Dessa funktioner omfattas av EU:s AI-förordning (Förordning (EU) 2024/1689).

    • Opt-in som standard: AI-tillägget är avstängt tills Verksamheten aktivt aktiverar det, och kan avaktiveras per användare eller för hela Verksamheten när som helst.
    • Transparens (Art. 50): Innehåll som är genererat eller sammanfattat av AI markeras tydligt i gränssnittet så att användaren alltid vet när hen interagerar med AI.
    • Beslutsstöd, ej beslutsfattande: AI-utdata används som stöd för mänsklig bedömning. Plattformen fattar inga automatiserade beslut om enskilda enligt GDPR Art. 22 och AI-förordningens högrisk-bestämmelser, och AI-utdata granskas av personal innan det införs i journal eller dokument.
    • Riskklassificering: Vi har klassificerat nuvarande AI-funktioner som begränsad risk (skrivstöd och sammanfattning utan automatiserad beslutsförmåga). Klassificeringen omprövas löpande i takt med att AI-funktionerna utvecklas och i samband med AI-förordningens ikraftträdande för högrisk-bestämmelser i augusti 2026.
    • Konsekvensbedömning (DPIA): Behandling av särskilda kategorier av personuppgifter i AI-tillägget kräver konsekvensbedömning enligt GDPR Art. 35. Vi arbetar med en sådan bedömning för AI-tillägget och slutför den innan tillägget aktiveras för en verksamhet. Vi bistår Verksamheten med underlag för dess egen bedömning, inklusive vid behov en konsekvensbedömning för grundläggande rättigheter (FRIA) enligt AI-förordningen Art. 27.
    • AI-kompetens (Art. 4): Personal hos NotAStartup AB som arbetar med eller hanterar AI-funktioner får löpande grundläggande AI-kompetens i enlighet med AI-förordningens Art. 4.

    6. Lagring och gallring

    Kontouppgifter lagras så länge kontot är aktivt. Vid radering tas alla personuppgifter bort permanent.

    Placeringsuppgifter hanteras enligt SoL 7 kap 3 §. Plattformen tillhandahåller gallringsfunktioner som raderar data kopplad till avslutade placeringar efter den lagstadgade bevarandetiden (två år efter sista anteckningen).

    7. Dina rättigheter

    Du har enligt GDPR rätt att:

    • Få tillgång till dina personuppgifter (Art. 15) — via Inställningar → Data & integritet
    • Begära rättelse av felaktiga uppgifter (Art. 16)
    • Begära radering av ditt konto och all data (Art. 17) — via Inställningar → Data & integritet
    • Begära begränsning av behandling (Art. 18)
    • Invända mot behandling (Art. 21)
    • Lämna klagomål till Integritetsskyddsmyndigheten (IMY)

    Kontakta oss på support@omsio.se för att utöva dina rättigheter.

    8. Incidenthantering

    Vid personuppgiftsincident meddelar vi berörda verksamheter inom 72 timmar i enlighet med GDPR Art. 33.

    9. Cookies och lokal lagring

    Nödvändiga cookies (krävs för att tjänsten ska fungera)

    • sb-auth-token — Inloggningssession (Supabase Auth) — sessionen
    • sb-refresh-token — Förnyelse av session — 7 dagar

    Lokal lagring (localStorage)

    • Inloggningssession (Supabase auth tokens)
    • Användarinställningar (tema, layout)

    Denna data skickas aldrig till tredje part och raderas vid utloggning.

    Analys- och marknadsföringscookies (endast på omsio.se efter samtycke)

    Följande cookies sätts först när du klickar "Acceptera alla" i cookiebannern. De används aldrig i den inloggade plattformen.

    • _ga, _ga_* — Google Analytics — 2 år
    • ph_* — PostHog (produktanalys) — upp till 12 månader
    • li_fat_id, lidc, bcookie — LinkedIn Insight Tag — upp till 2 år

    Du kan när som helst återkalla samtycket genom att rensa cookies i webbläsaren. I den inloggade plattformen används enbart nödvändiga cookies.

    Tekniska loggar

    • IP-adresser i revisionsloggar — sparas i 12 månader, därefter anonymiseras eller raderas
    • Sessionsdata (Supabase Auth) — raderas vid utloggning eller efter 7 dagars inaktivitet
    • Felsökningsloggar (Vercel/Supabase) — sparas i upp till 30 dagar

    10. Ändringar

    Vi kan uppdatera denna policy. Väsentliga ändringar meddelas via e-post eller i plattformen.

    Kontakt: support@omsio.se