Psyktest

    Personvernerklæring for Psyktest.com

    Sist oppdatert: 2.2.2026 | Gjeldende fra: 6. september 2025

    Denne personvernerklæringen beskriver hvordan vi behandler dine personopplysninger i henhold til GDPR (Personvernforordningen).

    1. Databehandlingsansvarlig

    Databehandlingsansvarlig: Psyktest.com (Lavamilk AS)

    Kontaktinformasjon: support@lavamilk.org

    Formål: Digital plattform for psykologiske tester og vurderinger for norske allmennleger og pasienter

    2. Rettslig grunnlag for behandling

    Vi behandler dine personopplysninger basert på følgende rettslige grunnlag:

    • Samtykke (GDPR art. 6(1)(a)): For ikke-nødvendige informasjonskapsler og markedsføring
    • Kontraktoppfyllelse (GDPR art. 6(1)(b)): For å levere tjenesten og testresultater
    • Berettiget interesse (GDPR art. 6(1)(f)): For teknisk drift, sikkerhet og forbedring av tjenesten
    • Særlige kategorier helseopplysninger:
      • GDPR art. 9(2)(a): Ved registrering og utfylling av tester samtykker du uttrykkelig til at vi behandler dine helseopplysninger
      • GDPR art. 9(2)(h): For forebyggende helsetjenester og medisinsk diagnose

    3. Hvilke personopplysninger vi behandler

    3.1 Kontaktinformasjon

    • E-postadresse (for pålogging og kommunikasjon)
    • Navn (valgfritt, for personalisering)

    3.2 Helseopplysninger (særlige kategorier)

    • Testresultater og svar på psykologiske/psykiatriske spørsmål
    • Søvndagbok og relaterte helsemetrikker
    • Symptomdata og selvrapporterte tilstander

    3.3 Tekniske opplysninger

    • IP-adresse (anonymisert etter 30 dager)
    • Nettleserinformasjon og enhetstype
    • Bruksmønstre og navigasjonsdata

    4. Formål med behandlingen

    📋 VIKTIG: Psyktest.com er ikke et elektronisk pasientjournalsystem (EPJ). Helsepersonell er selv ansvarlig for å dokumentere relevante opplysninger i pasientens journal i henhold til helsepersonelloven.

    • Tjenesteutføring: Administrere testøkter, generere resultater, dele med behandlere
    • Brukeropplevelse: Tilpasse grensesnitt, favoritter, og testanbefalinger
    • Sikkerhet: Autentisering, tilgangskontroll og beskyttelse mot misbruk
    • Juridisk overholdelse: Oppfylle krav til lagring og rapportering av helsedata
    • Forskning og utvikling: Forbedre testvaliditet og brukeropplevelse (kun anonymiserte data)

    5. Lagringstid

    Anonyme brukere:

    Testdata slettes automatisk etter 48 timer

    Registrerte brukere:

    Testresultater lagres så lenge du har en aktiv konto

    Alle data slettes eller anonymiseres senest 30 dager etter sletting av konto

    E-post og kontoinformasjon lagres til konto slettes

    Tekniske logger:

    IP-adresser anonymiseres etter 30 dager

    6. Deling med tredjeparter

    6.1 Databehandlere (GDPR art. 28)

    • Supabase Inc.: Database og autentisering (databehandleravtale signert)
    • Vercel Inc.: Webhosting og CDN
    • Google LLC: OAuth innlogging og Google Analytics for nettstatistikk (kun med ditt samtykke)
    • Microsoft Corporation: Clarity analytics for brukeratferdsanalyse (kun med ditt samtykke)
    • Meta Platforms Inc.: Meta Pixel for markedsføringsanalyse og annonsemåling (kun med ditt samtykke)

    6.2 Helsepersonell

    Testresultater deles kun med behandlere du selv velger via vår sikre delingsløsning (QR-koder med krypterte tokens).

    6.3 Lovpåkrevd utlevering

    Vi kan være forpliktet til å utlevere opplysninger til norske myndigheter ved lovkrav eller rettslig kjennelse.

    7. Sikkerhetstiltak

    • Kryptering: All data krypteres under overføring (HTTPS/TLS) og lagring
    • Tilgangskontroll: Row Level Security (RLS) sikrer dataisolasjon mellom brukere
    • Autentisering: Multi-factor authentication for behandlere
    • Delingstokens: Krypterte, tidsavgrensede tokens for sikker datadeling
    • Regelmessige sikkerhetsvurderinger: Kontinuerlig overvåking og oppdatering

    8. Dine rettigheter etter GDPR

    Du har rett til å:

    • Informasjon (art. 13-14): Få informasjon om hvordan vi behandler dine data
    • Innsyn (art. 15): Be om tilgang til alle dine personopplysninger
    • Retting (art. 16): Be om rettelse av uriktige eller ufullstendige opplysninger
    • Sletting (art. 17): Be om sletting av dine personopplysninger ("retten til å bli glemt")
    • Begrensning (art. 18): Be om at behandlingen begrenses under visse forhold
    • Dataportabilitet (art. 20): Få dine data i strukturert, maskinlesbart format
    • Innsigelse (art. 21): Motsette deg behandling basert på berettiget interesse
    • Klage (art. 77): Klage til Datatilsynet hvis du mener vi bryter personvernreglene

    For å utøve dine rettigheter, send e-post til: support@lavamilk.org

    Vi svarer på henvendelser innen 30 dager som kreves av GDPR.

    9. Informasjonskapsler (cookies)

    9.1 Nødvendige informasjonskapsler

    Disse er nødvendige for at tjenesten skal fungere og krever ikke samtykke:

    • Autentiseringsdata (innloggingsstatus)
    • Sesjonsinformasjon og testfremgang
    • Sikkerhets- og CSRF-beskyttelse

    9.2 Valgfrie informasjonskapsler

    Disse krever ditt samtykke og kan avslås:

    • Brukerpreferanser og personalisering
    • Microsoft Clarity for anonymisert brukeratferdsanalyse (session replays, heatmaps, klikkmønstre)
    • Google Analytics for anonymisert nettstatistikk (sidevisninger, navigasjonsmønstre, enhetstyper)
    • Meta Pixel for markedsføringsanalyse og måling av annonseeffektivitet
    • Anonymiserte analysedata for tjenesteutvikling

    Om Microsoft Clarity: Clarity er et verktøy som hjelper oss forstå hvordan brukere navigerer på siden. Data anonymiseres, og ingen personlig identifiserbar informasjon (PII) samles inn. Sensitive testdata er ekskludert fra tracking.

    Om Google Analytics: Google Analytics gir oss statistikk om besøkende, populære sider og brukermønstre. IP-adresser anonymiseres automatisk, og ingen personlig identifiserbar informasjon (PII) samles inn. Sensitive testdata er ekskludert fra tracking.

    Om Meta Pixel: Meta Pixel hjelper oss å måle effektiviteten av våre annonser og forstå hvordan brukere finner vår tjeneste. Data brukes til å optimalisere markedsføring og nå relevante brukere. Sensitive testdata er ekskludert fra tracking.

    9.3 Administrering av samtykke

    Du kan når som helst endre eller trekke tilbake ditt samtykke til valgfrie informasjonskapsler via vår cookie-banner (vises ved første besøk) eller ved å slette informasjonskapsler i nettleserens innstillinger.

    10. Barns personvern

    Tjenesten er ikke beregnet for barn under 13 år. For brukere mellom 13-18 år kreves samtykke fra foreldre/foresatte. Vi samler ikke bevisst inn personopplysninger fra barn under 13 år uten foreldresamtykke. Dersom vi oppdager slike opplysninger, vil de bli slettet umiddelbart.

    11. Overføring til tredjeland

    Supabase og Vercel har datasentre i EU (Irland), men support og drift kan innebære tilgang fra USA. Overføring til tredjeland skjer i henhold tilEUs standard contractual clauses (SCCs) som sikrer tilstrekkelig beskyttelse av personopplysninger.

    Google (OAuth) behandler kun nødvendige innloggingsdata og er underlagt adequacy decision for dataoverføring.

    12. Endringer i personvernerklæringen

    Vi kan oppdatere denne personvernerklæringen periodisk. Vesentlige endringer vil bli kommunisert til brukere via e-post eller på nettsiden. Sist oppdatert-dato vises øverst i dokumentet.

    13. Kontakt og klager

    For personvernspørsmål: support@lavamilk.org

    For klager:Hvis du mener vi bryter personvernregelverket, har du rett til å klage til Datatilsynet, men vi setter pris på om du kontakter oss først.
    www.datatilsynet.no | Telefon: 22 39 69 00

    Vi håndterer de fleste bekymringer raskt og effektivt gjennom direkte kontakt.

    Om denne erklæringen

    Denne personvernerklæringen er utformet for å være GDPR-kompatibel og dekker alle krav i personvernforordningen artikkel 13 og 14. Den er spesifikt tilpasset behandling av helseopplysninger i henhold til GDPR artikkel 9.