Psyktest

    Juridisk

    Personvernerklæring

    Sist oppdatert: 13. juni 2026 · Gjeldende fra 6. september 2025

    Denne personvernerklæringen beskriver hvordan vi behandler dine personopplysninger i henhold til GDPR (Personvernforordningen).

    1Behandlingsansvarlig og roller

    Leverandør: Psyktest.com (Lavamilk AS, org.nr. 935 746 485)

    Kontakt: support@lavamilk.org

    Formål: Digital plattform for psykologiske tester og vurderinger for norske allmennleger og pasienter

    Psyktest er et verktøy for behandlere. Behandleren oppretter konto, registrerer sine pasienter og sender tester. Pasienten trenger ingen egen konto, men svarer via en lenke eller QR-kode fra behandleren.

    Pasientopplysninger en behandler registrerer: Behandleren (helsepersonellet eller virksomheten) er behandlingsansvarlig, og Lavamilk AS er databehandler som behandler opplysningene etter behandlerens instruks. Se punkt 6.4 for databehandlervilkårene.

    Behandlerens egen konto: For behandlerens konto- og kontaktopplysninger er Lavamilk AS behandlingsansvarlig.

    Åpne selvtester: Tar du en test på egen hånd på våre åpne sider, uten en behandler, er Lavamilk AS behandlingsansvarlig for den begrensede informasjonen. Slike tester kan tas anonymt, og data slettes automatisk etter kort tid (se punkt 5).

    2Rettslig grunnlag for behandling

    Vi behandler dine personopplysninger basert på følgende rettslige grunnlag:

    • Samtykke (GDPR art. 6(1)(a)): For ikke-nødvendige informasjonskapsler og markedsføring
    • Kontraktoppfyllelse (GDPR art. 6(1)(b)): For å levere tjenesten og testresultater
    • Berettiget interesse (GDPR art. 6(1)(f)): For teknisk drift, sikkerhet og forbedring av tjenesten
    • Særlige kategorier helseopplysninger:
      • GDPR art. 9(2)(h): Når tester gjennomføres som del av helsehjelp under en behandlers ansvar og taushetsplikt
      • GDPR art. 9(2)(a): Når du selv tar en test direkte, behandler vi helseopplysningene basert på ditt uttrykkelige samtykke

    3Hvilke personopplysninger vi behandler

    3.1 Konto- og kontaktopplysninger (behandler)

    • E-postadresse (for pålogging og kommunikasjon)
    • Navn (for personalisering av kontoen)

    3.2 Pasientopplysninger en behandler legger inn

    Når en behandler oppretter et pasientkort, velger behandleren selv hvilke opplysninger som registreres — og kan bruke en egen referansekode i stedet for navn:

    • Fornavn og etternavn (valgfritt)
    • Fødselsdato (valgfritt)
    • E-postadresse (valgfritt, for å sende testlenke)
    • Kjønn (valgfritt)
    • Egen referanse — en anonym kode behandleren selv velger (valgfritt)

    Fullt fødselsnummer lagres aldri.

    3.3 Helseopplysninger (særlige kategorier)

    • Testresultater, skår og tolkninger fra psykologiske og psykiatriske tester
    • Søvndagbok og relaterte helsemetrikker
    • Symptomdata og selvrapporterte tilstander

    3.4 Tekniske opplysninger

    • IP-adresse (anonymisert etter 30 dager)
    • Nettleserinformasjon og enhetstype
    • Bruksmønstre og navigasjonsdata

    4Formål med behandlingen

    Viktig: Psyktest.com er ikke et elektronisk pasientjournalsystem (EPJ). Helsepersonell er selv ansvarlig for å dokumentere relevante opplysninger i pasientens journal i henhold til helsepersonelloven.

    • Tjenesteutføring: Administrere testøkter, generere resultater, dele med behandlere
    • Brukeropplevelse: Tilpasse grensesnitt, favoritter og testanbefalinger
    • Sikkerhet: Autentisering, tilgangskontroll og beskyttelse mot misbruk
    • Juridisk overholdelse: Oppfylle krav til lagring og rapportering av helsedata
    • Forskning og utvikling: Forbedre testvaliditet og brukeropplevelse (kun anonymiserte data)

    5Lagringstid

    Anonyme brukere

    Testdata slettes automatisk etter 48 timer.

    Behandlerkonto

    • Konto- og kontaktopplysninger lagres så lenge behandleren har en aktiv konto
    • Alle data slettes eller anonymiseres senest 30 dager etter at kontoen slettes

    Pasientkort opprettet av behandler

    • Lagres så lenge behandleren har et aktivt behandlingsbehov og konto
    • Behandleren kan slette pasientkort og resultater når som helst
    • Innsyn, retting og sletting utøves via behandleren, som er behandlingsansvarlig

    Tekniske logger

    IP-adresser anonymiseres etter 30 dager.

    6Deling med tredjeparter

    6.1 Databehandlere (GDPR art. 28)

    • Supabase Inc.: Database og autentisering (databehandleravtale signert)
    • Vercel Inc.: Webhosting og CDN
    • Resend: Utsending av testlenker og varsler på e-post (kun testnavn, aldri resultater)
    • Stripe Inc.: Betalingsbehandling for behandlerabonnement
    • Google LLC: OAuth innlogging og Google Analytics for nettstatistikk (kun med ditt samtykke)
    • Microsoft Corporation: Clarity analytics for brukeratferdsanalyse (kun med ditt samtykke)
    • Meta Platforms Inc.: Meta Pixel for markedsføringsanalyse og annonsemåling (kun med ditt samtykke)

    6.2 Helsepersonell

    Testresultater deles kun med den behandleren som er involvert i din vurdering, via vår sikre delingsløsning (engangslenker og QR-koder med kryptografiske tokens). Når en behandler sender deg en test, rutes resultatet automatisk og kun tilbake til den behandleren.

    6.3 Lovpåkrevd utlevering

    Vi kan være forpliktet til å utlevere opplysninger til norske myndigheter ved lovkrav eller rettslig kjennelse.

    6.4 Databehandlervilkår for behandlere

    Når en behandler bruker Psyktest til å registrere pasienter og motta resultater, opptrer Lavamilk AS som databehandler etter GDPR art. 28. Vi behandler da pasientopplysningene kun etter behandlerens instruks og til avtalt formål, holder dem konfidensielle, sikrer dem i tråd med art. 32, bruker kun underdatabehandlerne nevnt over, bistår behandleren med å oppfylle pasientenes rettigheter, og sletter eller returnerer opplysningene når avtaleforholdet opphører. Disse databehandlervilkårene er en del av bruksvilkårene og aksepteres når behandleren tar tjenesten i bruk.

    7Sikkerhetstiltak

    • Kryptering: Alle data krypteres både under overføring (HTTPS/TLS) og ved lagring (AES-256)
    • Tilgangskontroll: Row Level Security håndhever på databasenivå at hver behandler kun har tilgang til sine egne pasienter
    • Sikker pålogging: Passordløs innlogging med engangskode på e-post eller Google-pålogging. Tofaktorpålogging og automatisk utlogging ved inaktivitet er under innføring for behandlere
    • Sikker deling: Testlenker bruker kryptografisk tilfeldige engangstokens med utløp og visningstak
    • Dataminimering: Fullt fødselsnummer lagres aldri, og behandleren kan bruke en anonym referansekode i stedet for navn
    • Løpende sikkerhetsarbeid: Kontinuerlig overvåking, oppdatering og styrking av sikkerhetstiltak

    8Dine rettigheter etter GDPR

    Du har rett til å

    • Informasjon (art. 13-14): Få informasjon om hvordan vi behandler dine data
    • Innsyn (art. 15): Be om tilgang til alle dine personopplysninger
    • Retting (art. 16): Be om rettelse av uriktige eller ufullstendige opplysninger
    • Sletting (art. 17): Be om sletting av dine personopplysninger ("retten til å bli glemt")
    • Begrensning (art. 18): Be om at behandlingen begrenses under visse forhold
    • Dataportabilitet (art. 20): Få dine data i strukturert, maskinlesbart format
    • Innsigelse (art. 21): Motsette deg behandling basert på berettiget interesse
    • Klage (art. 77): Klage til Datatilsynet hvis du mener vi bryter personvernreglene

    For å utøve dine rettigheter, send e-post til support@lavamilk.org.

    Vi svarer på henvendelser innen 30 dager som kreves av GDPR.

    9Informasjonskapsler (cookies)

    9.1 Nødvendige informasjonskapsler

    Disse er nødvendige for at tjenesten skal fungere og krever ikke samtykke:

    • Autentiseringsdata (innloggingsstatus)
    • Sesjonsinformasjon og testfremgang
    • Sikkerhets- og CSRF-beskyttelse

    9.2 Valgfrie informasjonskapsler

    Disse krever ditt samtykke og kan avslås:

    • Brukerpreferanser og personalisering
    • Microsoft Clarity for anonymisert brukeratferdsanalyse (session replays, heatmaps, klikkmønstre)
    • Google Analytics for anonymisert nettstatistikk (sidevisninger, navigasjonsmønstre, enhetstyper)
    • Meta Pixel for markedsføringsanalyse og måling av annonseeffektivitet
    • Anonymiserte analysedata for tjenesteutvikling

    Om Microsoft Clarity: Clarity er et verktøy som hjelper oss forstå hvordan brukere navigerer på siden. Data anonymiseres, og ingen personlig identifiserbar informasjon (PII) samles inn. Sensitive testdata er ekskludert fra tracking.

    Om Google Analytics: Google Analytics gir oss statistikk om besøkende, populære sider og brukermønstre. IP-adresser anonymiseres automatisk, og ingen personlig identifiserbar informasjon (PII) samles inn. Sensitive testdata er ekskludert fra tracking.

    Om Meta Pixel: Meta Pixel hjelper oss å måle effektiviteten av våre annonser og forstå hvordan brukere finner vår tjeneste. Data brukes til å optimalisere markedsføring og nå relevante brukere. Sensitive testdata er ekskludert fra tracking.

    9.3 Administrering av samtykke

    Du kan når som helst endre eller trekke tilbake ditt samtykke til valgfrie informasjonskapsler via vår cookie-banner (vises ved første besøk) eller ved å slette informasjonskapsler i nettleserens innstillinger.

    10Barns personvern

    Tjenesten er ikke beregnet for barn under 13 år. For brukere mellom 13-18 år kreves samtykke fra foreldre eller foresatte. Vi samler ikke bevisst inn personopplysninger fra barn under 13 år uten foreldresamtykke. Dersom vi oppdager slike opplysninger, vil de bli slettet umiddelbart.

    11Overføring til tredjeland

    Pasientopplysninger lagres i Supabase sine datasentre i EU (Irland), og Vercel leverer hosting og CDN innen EU/EØS. Support og drift kan innebære tilgang fra USA. Overføring til tredjeland skjer i henhold til EUs standard contractual clauses (SCCs) som sikrer tilstrekkelig beskyttelse av personopplysninger.

    Google (OAuth) behandler kun nødvendige innloggingsdata og er underlagt adequacy decision for dataoverføring.

    12Endringer i personvernerklæringen

    Vi kan oppdatere denne personvernerklæringen periodisk. Vesentlige endringer vil bli kommunisert til brukere via e-post eller på nettsiden. Sist oppdatert-dato vises øverst i dokumentet.

    13Kontakt og klager

    For personvernspørsmål

    support@lavamilk.org

    For klager

    Hvis du mener vi bryter personvernregelverket, har du rett til å klage til Datatilsynet, men vi setter pris på om du kontakter oss først.

    www.datatilsynet.no · Telefon: 22 39 69 00

    Vi håndterer de fleste bekymringer raskt og effektivt gjennom direkte kontakt.

    Om denne erklæringen

    Denne personvernerklæringen er utformet for å være GDPR-kompatibel og dekker alle krav i personvernforordningen artikkel 13 og 14. Den er spesifikt tilpasset behandling av helseopplysninger i henhold til GDPR artikkel 9.