01Hvem er dataansvarlig?
SB22 Female Health ApS ("Ryma," "vi," "os") er dataansvarlig for behandlingen af de personoplysninger, der er beskrevet i denne politik.
| Oplysning | Detalje |
|---|---|
| Virksomhedsnavn | SB22 Female Health ApS |
| CVR-nummer | 43644858 |
| Adresse | Ragnagade 7, 2100 København Ø |
| Privatlivskontakt | [email protected] |
| Website | https://ryma.health |
02Hvad er Ryma?
Ryma er en AI-drevet menopause-guide, der leveres via WhatsApp. Ryma hjælper kvinder med at følge symptomer, opdage mønstre og triggere, og generere strukturerede rapporter til lægekonsultationer.
Ryma er ikke en læge, et medicinsk udstyr eller en erstatning for professionel lægelig rådgivning. Alle AI-genererede indsigter er udelukkende til informationsformål.
03Hvilke personoplysninger indsamler vi?
| Datakategori | Eksempler | Kilde |
|---|---|---|
| Kontodata | Navn, telefonnummer, e-mail | Dig, ved registrering |
| Sundhedsdata (særlig kategori) | Symptomer, symptomintensitet, triggere, medicinoplysninger, menstruationshistorik, søvnmønstre | Dig, via WhatsApp-samtaler (tekst og voice) |
| Samtaleindhold | Beskeder du sender til Ryma, voice-transskriptioner, supportkommunikation | Dig, via WhatsApp |
| AI-genererede data | Mønsteranalyser, trigger-identifikation, kliniske rapporter, personlige indsigter | Genereret af Rymas AI |
| Tekniske data | Enhedstype, WhatsApp-metadata (tidsstempler, leveringsstatus), IP-adresse ved website-besøg | Automatisk indsamlet |
| Brugsdata | Interaktionsfrekvens, check-in-svarmønstre, funktionsbrug | Automatisk indsamlet |
04Retsgrundlag for behandling
Vi behandler dine personoplysninger på følgende retsgrundlag:
4.1 Almindelige personoplysninger
| Formål | Retsgrundlag | Forklaring |
|---|---|---|
| Levere tjenesten | Art. 6(1)(b) Kontraktopfyldelse | Nødvendigt for at levere den tjeneste, du har tilmeldt dig |
| Kundesupport | Art. 6(1)(b) Kontraktopfyldelse | Nødvendigt for at besvare dine henvendelser |
| Platformsikkerhed | Art. 6(1)(f) Legitim interesse | Beskyttelse af tjenesten og brugerne. Interesseafvejning foretaget. |
| Tjenesteforbedring | Art. 6(1)(f) Legitim interesse | Kun anonymiserede, aggregerede data anvendes |
| Lovkrav | Art. 6(1)(c) Retlig forpligtelse | Bogføringsloven, skattelovgivning mv. |
4.2 Sundhedsdata (særlige kategorier)
De symptom- og sundhedsdata, du deler med Ryma, er helbredsoplysninger og dermed særlige kategorier af personoplysninger under GDPR art. 9.
Retsgrundlag: Vi behandler dine sundhedsdata på grundlag af dit udtrykkelige samtykke, jf. GDPR art. 9, stk. 2, litra a.
Dit samtykke indhentes ved registrering, hvor du aktivt bekræfter, at du giver Ryma tilladelse til at behandle dine sundhedsdata til de formål, der er beskrevet i denne politik.
Du kan til enhver tid trække dit samtykke tilbage ved at kontakte os på [email protected] eller ved at slette din konto. Tilbagetrækning af samtykke påvirker ikke lovligheden af den behandling, der fandt sted før tilbagetrækningen. Når du trækker dit samtykke tilbage, sletter vi dine sundhedsdata inden for 30 dage, medmindre opbevaring er påkrævet ved lov.
05Automatiserede beslutninger og profilering
Ryma anvender kunstig intelligens til at analysere dine symptomdata og generere personlige indsigter. Dette indebærer profilering i GDPR's forstand, idet vi systematisk analyserer dine personoplysninger for at vurdere aspekter af dit helbred.
5.1 Hvad vores AI gør
- Mønstergenkendelse — identificerer tilbagevendende symptommønstre over tid
- Trigger-identifikation — korrelerer livsstilsfaktorer (kost, stress, søvn, alkohol) med symptomer
- Intensitets-tracking — følger ændringer i symptomernes sværhedsgrad
- Rapportgenerering — sammenfatter dine data i strukturerede kliniske rapporter
5.2 Dine rettigheder vedrørende automatiseret behandling
Rymas AI-genererede indsigter er vejledende og informerende — de udgør ikke afgørelser med retlige eller tilsvarende væsentlige virkninger for dig i art. 22's forstand. Du er altid fri til at ignorere indsigterne, og de erstatter aldrig en lægelig vurdering.
Uanset dette har du altid ret til:
- At få en forklaring på, hvordan en bestemt indsigt er genereret
- At anfægte en indsigt, du mener er ukorrekt
- At anmode om, at en indsigt gennemgås manuelt af en medarbejder
Kontakt [email protected] for at gøre brug af disse rettigheder.
06Databehandlere og underdatabehandlere
Vi bruger følgende tredjepartstjenester til at levere Ryma. Vi har indgået databehandleraftaler (DPA'er) med alle databehandlere i overensstemmelse med GDPR art. 28.
| Udbyder | Formål | Datakategorier | Region | Overførselsgrundlag |
|---|---|---|---|---|
| Supabase | Database, autentificering, fillagring | Alle kategorier | EU (Frankfurt) | EU-hosting |
| Meta (WhatsApp Business API) | Beskedlevering, samtaleinfrastruktur | Samtaleindhold, kontodata, metadata | EU (Ireland) + global routing | SCC'er + DPA |
| Twilio | WhatsApp/SMS-levering, beskedrouting | Beskedindhold, telefonnumre | USA | SCC'er |
| n8n | Workflow-automatisering | Samtaleindhold | EU | EU-hosting |
| Anthropic (Claude), OpenAI (GPT) | AI-inferens (samtalegenerering, mønsteranalyse) | Samtaleindhold, sundhedsdata | USA | SCC'er |
Vi opdaterer denne liste løbende. Du vil blive informeret om væsentlige ændringer i databehandlere.
07Overførsel af data uden for EØS
Dine sundhedsdata opbevares primært inden for EØS. Visse databehandlere kan dog behandle data uden for EØS (fx USA) som led i levering af tjenesten.
Når personoplysninger overføres uden for EØS, sikrer vi passende garantier i overensstemmelse med GDPR kapitel V, herunder:
- EU-Kommissionens standardkontraktbestemmelser (SCC'er)
- Afgørelser om tilstrækkeligt beskyttelsesniveau, hvor de foreligger
- Supplerende tekniske og organisatoriske foranstaltninger, hvor det er nødvendigt
Du kan anmode om en kopi af de relevante overførselsgarantier ved at kontakte [email protected].
08Opbevaringsperioder
Vi opbevarer kun dine personoplysninger så længe det er nødvendigt for det angivne formål.
| Datakategori | Opbevaringsperiode | Begrundelse |
|---|---|---|
| Kontodata | Aktiv + 12 mdr. efter sletning | Kontraktopfyldelse og eventuelle krav |
| Sundhedsdata | Aktiv + sletning inden 30 dage | Samtykkebaseret; slettes når samtykke bortfalder |
| Samtaleindhold | Aktiv + sletning inden 30 dage | Nødvendigt for løbende mønsteranalyse |
| AI-genererede indsigter | Aktiv + sletning inden 30 dage | Knyttet til sundhedsdata |
| Tekniske data & logs | Maks. 90 dage | Sikkerhed og fejlsøgning |
| Faktureringsdata | 5 år efter transaktion | Bogføringsloven |
| Anonymiserede, aggregerede data | Ingen tidsbegrænsning | Kan ikke henføres til enkeltpersoner |
09Dine rettigheder
Som registreret har du følgende rettigheder under GDPR. Du kan udøve dine rettigheder ved at kontakte [email protected]. Vi besvarer din henvendelse inden 30 dage.
- Ret til indsigt (art. 15) — Kopi af alle personoplysninger, vi behandler om dig, i et struktureret, almindeligt anvendt og maskinlæsbart format.
- Ret til berigtigelse (art. 16) — Rettelse af ukorrekte eller ufuldstændige oplysninger.
- Ret til sletning (art. 17) — Sletning af dine personoplysninger inden 30 dage, medmindre opbevaring er påkrævet ved lov.
- Ret til begrænsning (art. 18) — Begrænsning af behandlingen i visse tilfælde.
- Ret til dataportabilitet (art. 20) — Modtag dine data i struktureret, maskinlæsbart format, eller få dem overført direkte til en anden dataansvarlig.
- Ret til indsigelse (art. 21) — Indsigelse mod behandling baseret på legitime interesser.
- Ret til at trække samtykke tilbage (art. 7) — Tilbagetrækning påvirker ikke lovligheden af tidligere behandling.
9.1 Sådan udøver du dine rettigheder
Send en e-mail til [email protected] med emnelinjen "Rettigheder under GDPR" og angiv, hvilken rettighed du ønsker at udøve. Vi kan bede om identitetsverifikation for at beskytte dine data.
Vi besvarer alle henvendelser inden 30 dage. I særligt komplekse tilfælde kan fristen forlænges med yderligere 60 dage, og vi informerer dig om årsagen.
9.2 Klage til tilsynsmyndighed
Du har ret til at indgive en klage til en tilsynsmyndighed, herunder:
- Datatilsynet (Danmark) — www.datatilsynet.dk, e-mail: [email protected]
- Eller tilsynsmyndigheden i det EU-/EØS-land, hvor du bor eller arbejder
10Håndtering af brud på persondatasikkerheden
Vi har procedurer på plads til at opdage, vurdere og håndtere brud på persondatasikkerheden i overensstemmelse med GDPR art. 33–34.
I tilfælde af et brud, der sandsynligvis indebærer en risiko for dine rettigheder:
- Vi underretter Datatilsynet inden 72 timer efter at være blevet bekendt med bruddet
- Vi underretter dig uden unødigt ophold, hvis bruddet sandsynligvis indebærer en høj risiko for dine rettigheder og frihedsrettigheder
- Vi dokumenterer alle brud og de foranstaltninger, vi træffer
11Konsekvensanalyse (DPIA)
Vi har foretaget en konsekvensanalyse for databeskyttelse (DPIA) i overensstemmelse med GDPR art. 35. Vurderingen dækker behandlingen af sundhedsdata via AI-drevet analyse og identificerer risici og foranstaltninger til at beskytte dine rettigheder.
DPIA'en gennemgås og opdateres mindst årligt eller ved væsentlige ændringer i behandlingen.
12AI-transparens
I overensstemmelse med EU's AI-forordning (Regulation 2024/1689) oplyser vi følgende:
- Du interagerer med et AI-system, ikke et menneske, når du kommunikerer med Ryma via WhatsApp
- Ryma anvender store sprogmodeller (LLM'er) til at generere svar og indsigter
- AI-systemets output er baseret på mønstre i dine data og generel viden — ikke på klinisk undersøgelse
- AI-genererede indsigter kan indeholde fejl eller upræcisheder
- Systemet forbedres løbende, og svar kan ændre sig over tid
13Cookies og tracking på ryma.health
Vores website ryma.health anvender cookies. Vi skelner mellem:
- Nødvendige cookies — påkrævet for websitets kernefunktionalitet (fx session-håndtering). Disse kræver ikke samtykke.
- Analyse-cookies — bruges til at forstå websitetraffik og brugsmønstre. Aktiveres kun efter dit udtrykkelige samtykke.
- Marketing-cookies — anvendes på nuværende tidspunkt ikke. Hvis vi indfører dem, vil de kun aktiveres efter samtykke.
Du kan til enhver tid ændre dine cookiepræferencer via vores cookie-banner på websitet.
Selve WhatsApp-tjenesten anvender ikke cookies fra Ryma. Meta/WhatsApp har egne cookies og tracking-mekanismer, der er underlagt Metas egen privatlivspolitik.
14Børn
Ryma er udelukkende beregnet til voksne og er ikke rettet mod personer under 18 år. Vi indsamler ikke bevidst personoplysninger fra mindreårige. Hvis vi bliver opmærksomme på, at vi har indsamlet data fra en person under 18, sletter vi det hurtigst muligt.
15Sikkerhedsforanstaltninger
Vi anvender tekniske og organisatoriske foranstaltninger til at beskytte dine personoplysninger, herunder:
- Kryptering af data under overførsel (TLS) og i hvile
- Adgangskontrol og princippet om mindste privilegium
- Regelmæssig sikkerhedsmonitorering og logning
- Medarbejder-awareness om datasikkerhed og privatlivsbeskyttelse
- Løbende vurdering og opdatering af sikkerhedsforanstaltninger
Ingen system er 100 % sikkert. I tilfælde af et databrud følger vi procedurerne beskrevet i afsnit 10.
16Ændringer til denne politik
Vi kan opdatere denne privatlivspolitik fra tid til anden. Væsentlige ændringer meddeles med mindst 30 dages varsel via e-mail, WhatsApp eller på websitet. Den aktuelle version er altid tilgængelig på ryma.health.
Hvis en ændring kræver nyt samtykke (fx udvidelse af formål for sundhedsdatabehandling), indhenter vi dit samtykke før ændringen træder i kraft.
17Kontakt
For privatlivsforespørgsler, rettigheder eller klager, kontakt os:
CVR: 43644858
E-mail: [email protected]
Website: https://ryma.health
For klager kan du også kontakte Datatilsynet: www.datatilsynet.dk