JHS Solutions
Boka demo

title: Integritetspolicy lawyerReviewed: false lastUpdated: 2026-04-27

Utkast — under juridisk granskning. Detta dokument är ett arbetsmaterial som kommer ses över av extern juridisk rådgivare innan det blir bindande. Vid frågor: info@jhssolutions.se.

Integritetspolicy

Denna integritetspolicy beskriver hur JHS Solutions AB ("vi", "oss", "leverantören") samlar in, använder och delar personuppgifter när vi:

  1. driver vår egen verksamhet (löpande administration, fakturering, intern dashboard);
  2. bedriver eget marknadsförings- och prospekteringsarbete för att hitta nya kunder; och
  3. driftar och underhåller webbplatser åt våra kunder.

Policyn riktar sig till tre grupper av registrerade:

  • Kunder och företrädare för kunder — företag som har eller överväger att ingå avtal med oss om webbplatstjänster, samt de fysiska personer som företräder kunden.
  • Prospekt — personer hos företag vi själva identifierar som potentiella kunder och kontaktar via vårt utgående prospekteringsarbete.
  • Besökare — fysiska personer som besöker en webbplats vi driftar åt en kund (kundens webbplats, inte denna webbplats).

Policyn ska läsas tillsammans med Personuppgiftsbiträdesavtalet (/dpa), som reglerar vår behandling av personuppgifter på kundens uppdrag.

1. Personuppgiftsansvarig

JHS Solutions AB (org. nr. 559581-1240) är personuppgiftsansvarig för:

  • uppgifter om kunder, företrädare för kunder och vår egen korrespondens med kunder;
  • prospektuppgifter som vi själva har samlat in eller låtit samla in i vårt prospekteringsarbete;
  • vår interna driftsdata (loggar, autentiseringsuppgifter, felspårning);
  • bokförings- och faktureringsdata.

JHS Solutions AB är personuppgiftsbiträde för:

  • uppgifter om Besökare på en webbplats vi driftar åt en kund — exempelvis IP-adresser i serverloggar, formulärsinlämningar, chatbot-konversationer, analyser. För dessa uppgifter är kunden personuppgiftsansvarig och vi behandlar uppgifterna på kundens uppdrag enligt Personuppgiftsbiträdesavtalet (/dpa).

Kontakt i alla frågor som rör personuppgifter: info@jhssolutions.se.

2. Vilka uppgifter vi behandlar

2.1 Kund- och kontaktuppgifter (vi som personuppgiftsansvarig)

När ett företag blir eller överväger att bli kund hos oss behandlar vi uppgifter om företagets företrädare:

  • namn, befattning;
  • e-postadress, telefonnummer;
  • företagsnamn, organisationsnummer, fakturaadress;
  • innehåll i meddelanden och samtal med oss;
  • mötesanteckningar och statushistorik i vår interna dashboard.

2.2 Prospektuppgifter (vi som personuppgiftsansvarig)

I vårt prospekteringsarbete identifierar vi företag i Sverige som matchar våra urvalskriterier (s.k. ICP-regler) och kontaktar dem via e-post. För prospekt behandlar vi:

  • företagsnamn, organisationsnummer, bransch, ungefärlig storlek;
  • offentligt tillgänglig information om företaget (webbnärvaro, publika omdömen, nyhetsomnämnanden);
  • en bedömningstext genererad av AI som motiverar varför företaget är ett relevant prospekt;
  • namn och tjänste-e-postadress till en kontaktperson, där sådan finns publikt tillgänglig;
  • innehåll i utkast och utskickade e-postmeddelanden till kontaktpersonen, samt eventuella svar.

Vi behandlar inte privata e-postadresser för prospekteringsändamål. Mottagaren kan när som helst begära att vi upphör med direktreklam (se avsnitt 7).

2.3 Besökaruppgifter på kundens webbplats (vi som personuppgiftsbiträde)

För webbplatser vi driftar åt en kund kan följande uppgifter komma att behandlas på kundens uppdrag:

  • besökarens IP-adress (transient, i serverloggar);
  • innehåll i kontaktformulärsinlämningar och chatbot-konversationer som besökaren själv skickar;
  • cookies för funktion (sessionscookies, samtyckesregister);
  • aggregerade besöksstatistikuppgifter där sådana är aktiverade.

Kunden bestämmer ändamålen och de rättsliga grunderna för denna behandling. Vi följer kundens instruktioner enligt Personuppgiftsbiträdesavtalet (/dpa).

2.4 Driftsdata (vi som personuppgiftsansvarig)

För vår egen drift behandlar vi:

  • serverloggar (IP, user-agent, anropssökväg, svarskod);
  • felspårning (stack traces, debug-spår) i Sentry;
  • drifttidsmätningar och hälsokontroller (Better Stack);
  • autentiseringsuppgifter och inloggningshistorik (Clerk).

2.5 Betalningsuppgifter

Vi använder Stripe för fakturering. Vi lagrar inte fullständiga kortnummer; Stripe hanterar all kortdata enligt PCI-DSS Level 1. Vi lagrar:

  • Stripe customer-ID;
  • abonnemangs- eller fakturarelaterade ID:n;
  • de fyra sista siffrorna och kortmärket på en eventuell kortbetalning, så som Stripe visar dem.

3. Ändamål och rättslig grund

Vi behandlar personuppgifter på följande grunder enligt artikel 6 i dataskyddsförordningen (GDPR).

| Behandling | Ändamål | Rättslig grund | |------------|---------|---------------| | Kund- och kontaktuppgifter | Leverera Tjänsten enligt avtalet, fakturera, erbjuda support | Avtal (art. 6(1)(b)) | | Prospekteringsutskick (företagsmottagare) | Identifiera och kontakta potentiella företagskunder | Berättigat intresse (art. 6(1)(f)) — vi har genomfört en intresseavvägning som är tillgänglig på begäran | | Driftsdata, felspårning, säkerhetsövervakning | Säkerställa att Tjänsten fungerar och förebygga missbruk | Berättigat intresse (art. 6(1)(f)) | | Bokföring och fakturering | Fullgöra rättsliga skyldigheter (Bokföringslagen) | Rättslig förpliktelse (art. 6(1)(c)) | | Cookies som inte är nödvändiga | Mätning eller marknadsföring (för närvarande inte aktivt) | Samtycke (art. 6(1)(a)) | | Behandling av Besökaruppgifter på kundens webbplats | Bestäms av kunden i egenskap av personuppgiftsansvarig | Bestäms av kunden |

3.1 Vi tränar inte AI-modeller på personuppgifter

Vi har avtal med vår AI-leverantör (Anthropic) som utesluter användning av kundens eller prospekts data för att träna AI-modeller. Vi har inte aktiverat någon delningsfunktion för modellträning hos någon underleverantör.

4. Mottagare och underleverantörer

Vi delar personuppgifter med våra underleverantörer (s.k. personuppgiftsbiträden eller underbiträden) i den utsträckning det behövs för att leverera Tjänsten. En aktuell lista finns på /underleverantorer med uppgift om vad varje underleverantör behandlar, var i världen behandlingen sker och vilken överföringsmekanism som tillämpas.

Vi delar i övrigt personuppgifter endast:

  • om det krävs enligt lag, domstolsbeslut eller myndighetsbegäran;
  • vid en eventuell verksamhetsöverlåtelse, varvid berörda registrerade informeras minst trettio (30) dagar i förväg;
  • med kunden själv, när vi i egenskap av biträde returnerar uppgifter på begäran.

Vi säljer inte personuppgifter, varken under GDPR:s, CCPA:s eller någon annan jurisdiktions definition.

5. Internationella överföringar

Vår primära infrastruktur ligger inom EU/EES:

  • Programdrift: Fly.io, regionen Stockholm.
  • Databas: Supabase, regionen Frankfurt.
  • Cache: Upstash Redis, regionen Frankfurt.
  • Kundwebbplatsdrift: Cloudflare Pages med EU-prioriterad edge.

Vissa underleverantörer är USA-baserade (Anthropic, Stripe samt delar av Clerk och Sentry beroende på prenumerationsnivå). För dessa överföringar tillämpar vi:

  • EU-kommissionens standardavtalsklausuler (SCC) enligt genomförandebeslut (EU) 2021/914;
  • EU-US Data Privacy Framework (DPF) för certifierade leverantörer (för närvarande Stripe);
  • överföringsanalys (Transfer Impact Assessment) per Schrems II som finns tillgänglig på begäran.

6. Lagringstider

| Uppgift | Lagras | |---------|--------| | Kund- och kontaktuppgifter | Under avtalets löptid och 30 dagar därefter (för export på begäran) | | Bokförings- och faktureringsunderlag | 7 år enligt Bokföringslagen | | Prospektuppgifter (kontaktade prospekt) | Upp till 24 månader efter senaste utskick, om mottagaren inte har bett oss radera tidigare | | Prospektuppgifter (icke-kontaktade leads i pipeline) | Rensas löpande, senast 12 månader efter insamling | | Engagemangsdata (öppningar, klick, leveransstatus) | 24 månader | | Revisions- och åtgärdsloggar | 12 månader | | Serverloggar | 90 dagar | | Säkerhetskopior av databasen | Supabase Point-in-Time Recovery 7 dagar + dagliga säkerhetskopior 30 dagar; därefter automatiskt raderade | | Säkerhetskopior av kundens webbplats | 30 dagar enligt Användarvillkoren avsnitt 6.3 | | Cookie-samtycke | 12 månader (cookie förnyas vid varje samtyckesändring) |

7. Dina rättigheter (registrerade enligt GDPR)

Som registrerad har du enligt artikel 15–22 i GDPR rätt att begära tillgång till, rättelse av eller radering av personuppgifter vi har om dig. Du har också rätt att invända mot eller begränsa viss behandling, samt rätt till dataportabilitet.

7.1 Tillgång (artikel 15)

Du har rätt att få besked om vi behandlar personuppgifter om dig och, om så är fallet, en kopia av uppgifterna samt information om ändamål, kategorier, mottagare och lagringstid. Skicka begäran till info@jhssolutions.se.

7.2 Rättelse (artikel 16)

Du har rätt att få felaktiga eller ofullständiga uppgifter korrigerade. Kontakta info@jhssolutions.se.

7.3 Radering (artikel 17, "rätten att bli bortglömd")

Du har rätt att få dina personuppgifter raderade. Begäran kan begränsas av lagstadgad lagringsskyldighet (t.ex. bokföringsdata enligt avsnitt 6) eller av avtalsförhållanden som kräver fortsatt behandling. Kontakta info@jhssolutions.se.

7.4 Dataportabilitet (artikel 20)

Du har rätt att få ut personuppgifter du själv tillhandahållit oss i ett maskinläsbart format (typiskt JSON eller CSV). Kontakta info@jhssolutions.se.

7.5 Invändning (artikel 21)

Du har rätt att invända mot behandling som sker med stöd av berättigat intresse, inklusive direktreklam. Vid invändning mot direktreklam upphör vi omedelbart med utskick till dig.

7.6 Begränsning (artikel 18)

Du har under vissa omständigheter — t.ex. medan en tvist om uppgifters riktighet pågår — rätt att begära att behandlingen begränsas.

7.7 Återkalla samtycke (artikel 7(3))

Om vi behandlar uppgifter med stöd av ditt samtycke kan du återkalla samtycket när som helst. Återkallelsen påverkar inte lagligheten av behandling som skett innan återkallelsen.

7.8 Klagomål till tillsynsmyndighet

Du har alltid rätt att lämna in klagomål till Integritetsskyddsmyndigheten (IMY, https://www.imy.se) eller till tillsynsmyndigheten i ditt EU/EES-land.

7.9 Hur vi bemöter förfrågningar (DSAR-rutin)

Förfrågningar enligt detta avsnitt skickas till info@jhssolutions.se. Vi bekräftar mottagandet och svarar inom trettio (30) dagar enligt artikel 12(3) GDPR. Vid komplexa eller omfattande förfrågningar kan vi förlänga handläggningstiden med ytterligare upp till sextio (60) dagar och informera dig om anledningen.

För att fullgöra förfrågningar inom utlovad tid använder vi interna API-slutpunkter i vår dashboard:

  • /api/dsar/export — exporterar berörda personuppgifter till ett maskinläsbart format;
  • /api/dsar/delete — kaskadraderar berörda personuppgifter över våra register (leads, drafts, events, agent-runs och relaterade tabeller).

Slutpunkterna är endast tillgängliga för leverantörens behöriga personal och loggas i vår revisionslogg. Du som registrerad initierar processen genom att kontakta info@jhssolutions.se; vi sköter den tekniska genomförandet.

7.10 Förfrågningar avseende kundens webbplats

Om din förfrågan rör en webbplats vi driftar åt en kund (avsnitt 2.3) är kunden personuppgiftsansvarig. Vi tar emot förfrågan, bekräftar mottagandet och vidarebefordrar den utan dröjsmål till berörd kund. Kunden ansvarar för att fullgöra förfrågan; vi bistår med tekniska resurser.

8. Cookies

8.1 Nödvändiga cookies

Tjänsten använder cookies som krävs för att den ska fungera:

  • sessionscookie för inloggning (hanteras av Clerk);
  • CSRF-skydd;
  • samtyckesregister (jhs_cookie_consent, giltig i 12 månader).

8.2 Mätning och marknadsföring

Vi använder för närvarande inga cookies för mätning eller marknadsföring i denna webbplats. Cookie-bannern finns för att vid behov kunna aktivera sådan funktionalitet i framtiden — och då endast med ditt samtycke.

8.3 Återkalla samtycke

Du kan ändra ditt samtycke genom att radera cookien jhs_cookie_consent i din webbläsare; bannern visas då på nytt vid nästa besök.

9. Säkerhet

Vi vidtar tekniska och organisatoriska åtgärder anpassade till risken, däribland:

  • TLS 1.2 eller senare för all extern trafik;
  • kryptering av databasen i vila (Supabase native);
  • åtkomstkontroll och flerfaktorsautentisering för leverantörens egen personal (Clerk);
  • raddatabaserad säkerhet (Postgres Row-Level Security) för multi-tenant-isolering på databasnivå;
  • signaturverifiering på alla mottagna webhooks;
  • idempotensnycklar för att förhindra dubbla operationer vid återförsök;
  • felspårning, åtkomstloggar och drifttidsövervakning;
  • regelbunden granskning av underleverantörer.

Vi har för närvarande inte ISO 27001- eller SOC 2-certifiering. Vår säkerhetsprogram är dokumenterat internt och förbättras löpande.

10. Personer under arton (18) år

Tjänsten riktar sig till företag och deras företrädare. Vi samlar inte medvetet in personuppgifter om personer under arton (18) år. Om du tror att vi har sådana uppgifter — kontakta info@jhssolutions.se så raderar vi dem.

11. Ändringar i policyn

Väsentliga ändringar i denna policy meddelas via e-post till våra kunder och prospekt minst femton (15) dagar i förväg, samt publiceras med en uppdaterad datumstämpel i frontmatter ovan. Mindre redaktionella ändringar träder i kraft direkt vid publicering.

12. Kontakt

För alla frågor om denna policy eller om dina personuppgifter:

JHS Solutions AB Org. nr. 559581-1240 info@jhssolutions.se

Vi har inte utsett dataskyddsombud (DPO) eftersom vi inte uppfyller kriterierna för obligatorisk DPO enligt artikel 37 GDPR. info@jhssolutions.se är den dedikerade kontaktpunkten för alla dataskyddsfrågor.