Säkerhet & dataskydd
Senast uppdaterad: 5 juni 2026
Den här sidan beskriver hur Foveo skyddar personuppgifter: var de lagras, vem som kan se dem, vilka leverantörer vi använder och hur vi hanterar incidenter.
Det är en översikt. De bindande villkoren finns i vår integritetspolicy, våra användarvillkor och, för organisationer, i ett personuppgiftsbiträdesavtal.
1. Ansvar för uppgifterna
När en privatperson eller familj använder Foveo för privat bruk är Tengwe AB (org.nr 559580-8337) personuppgiftsansvarig. När en organisation — till exempel en assistansanordnare, skola eller omsorgsverksamhet — bjuder in användare och bestämmer ändamålet, är organisationen personuppgiftsansvarig och Foveo personuppgiftsbiträde enligt artikel 28 GDPR. Då regleras behandlingen i ett separat personuppgiftsbiträdesavtal.
2. Var uppgifterna lagras
Foveos produktdatabas och privata fillagring driftas hos Supabase i en EU-region, på Amazon Web Services (AWS) i Stockholm (eu-north-1), och databasens säkerhetskopior lagras inom samma region.
Vissa serverfunktioner hos vår databasleverantör kan köras i flera regioner. Pushnotiser (inklusive notisens innehåll), appuppdateringar, e-post och webbhostingens driftloggar kan behandlas utanför EU/EES (se avsnitt 6).
Webblagret levereras via ett innehållsleveransnätverk (Content Delivery Network, CDN) som serverar enbart statisk app- och webbkod och enligt vår arkitektur inte tar del av appens innehåll.
3. Kryptering
Uppgifter krypteras under överföring med Transport Layer Security (TLS) mellan din enhet och våra system, och i vila på lagringsnivå hos vår infrastrukturleverantör.
4. Åtkomst och behörighet
Åtkomst till innehåll styrs på radnivå i databasen (Row Level Security, RLS) med isolering per brukare och team, enligt principen om lägsta behörighet. Inloggning sker med säker sessionshantering. Intern åtkomst till produktionsdata är begränsad och omfattas av sekretessåtaganden.
5. Separation mellan kod och innehåll
Appens innehåll lagras hos databasbiträdet (Supabase, EU/EES). Din enhet kommunicerar krypterat direkt med databasen, och CDN-lagret levererar bara statisk kod (HTML/JS/CSS) och tar enligt vår arkitektur inte del av innehållet. Begränsat innehåll kan förekomma i pushnotiser (se avsnitt 7).
6. Underleverantörer
Vi anlitar ett fåtal underleverantörer för att driva Foveo. Behandlingen omfattas av respektive leverantörs dataskyddsvillkor och, där leverantören behandlar personuppgifter för vår räkning, personuppgiftsbiträdesavtal:
| Leverantör | Tjänst | Behandlingsplats |
|---|---|---|
| Supabase | Databas, inloggning, privat fillagring, realtid och serverfunktioner. Drift och daglig säkerhetskopiering på AWS i eu-north-1. Supabase kan anlita ytterligare underbiträden (bl.a. AWS) för drift, support och loggning enligt sina villkor. | Produktdatabas och fillagring i EU/EES (AWS eu-north-1, Stockholm) |
| Vercel | Webbhosting/CDN. Serverar statisk app- och webbkod och behandlar teknisk request-metadata (t.ex. IP-adress, URL, tidsstämpel) i driftloggar via ett globalt nät. Behandlar enligt nuvarande arkitektur inte appens innehåll. | Globalt edge-nät |
| Resend | E-postutskick för inbjudningar och administrativa meddelanden. | USA |
| Expo | Förmedling av pushnotiser och appuppdateringar. Tar emot push-token och avisering och vidarebefordrar till Apple och Google. | USA |
| Apple | Leverans av pushnotiser till iOS-enheter, som underbiträde i pushkedjan via Expo. | Globalt |
| Leverans av pushnotiser till Android-enheter, som underbiträde i pushkedjan via Expo. | Globalt |
Vid behandling utanför EU/EES används lämpliga skyddsåtgärder, i första hand EU:s standardavtalsklausuler. För databasbehandlingen hos Supabase har en överföringsbedömning genomförts.
7. Pushnotiser
Vi minimerar innehållet i pushnotiser. En notis kan ändå innehålla t.ex. en rutinrubrik eller ett artikelnamn, kan visas på enhetens låsskärm och vidarebefordras via Expo till Apple Push Notification service (APNs) och Firebase Cloud Messaging (FCM) för att nå din enhet.
8. Känsliga uppgifter och barn
Eftersom Foveo används kring personlig assistans kan känsliga personuppgifter (t.ex. uppgifter om hälsa) och uppgifter om barn förekomma. Sådana uppgifter omfattas av förhöjda krav i dataskyddslagstiftningen. Konkret skyddar vi dem så här:
- Åtkomst per brukare och team: uppgifter är isolerade på radnivå (RLS) så att en användare bara når de brukare och den organisation som hen blivit tilldelad, inte andras.
- Roller och lägsta behörighet: administratör, assistent och anhörig ser olika delar av informationen, och intern åtkomst till produktionsdata är begränsad och omfattas av sekretess.
- Kryptering och EU-lagring: uppgifterna krypteras i transit (TLS) och i vila, och lagras inom EU/EES enligt avsnitt 2.
- Minimering: Foveo är byggt för kort, praktisk vardagsinformation, vi efterfrågar inte mer än vad en funktion kräver, och innehållet i pushnotiser minimeras.
- Åtskild utvecklingsmiljö: produktionsdata används inte rutinmässigt i utveckling.
- Ansvar och laglig grund: när en organisation är personuppgiftsansvarig regleras särskilda kategorier och uppgifter om barn i ett personuppgiftsbiträdesavtal med förhöjda krav. Kontoägare och administratörer ansvarar för att bara lägga in nödvändiga uppgifter och att de har rätt att dela dem med de personer de bjuder in.
9. Incidenthantering
Vi har rutiner för att upptäcka, hantera och rapportera personuppgiftsincidenter. När Foveo är personuppgiftsansvarig anmäler vi en incident som innebär risk för dina rättigheter till Integritetsskyddsmyndigheten (IMY) inom 72 timmar enligt artikel 33 GDPR, och informerar berörda vid hög risk enligt artikel 34. När en organisation är personuppgiftsansvarig och Foveo är personuppgiftsbiträde underrättar vi i stället organisationen utan onödigt dröjsmål, senast 48 timmar efter att vi fått kännedom om incidenten, så att den kan fullgöra sin anmälningsskyldighet.
10. Lagring och radering
Uppgifter sparas så länge de behövs för att tillhandahålla tjänsten. När du raderar ditt konto i appen tas inloggningskonto, profil, push-tokens och inställningar bort, medan innehåll du delat med en organisation sparas men författaren anonymiseras. När ett avtal upphör raderas eller återlämnas personuppgifter inom 60 dagar, om inte lag kräver fortsatt lagring. Säkerhetskopior och tekniska loggar skrivs över löpande.
11. Avtal för organisationer
Är ni en organisation som behöver ett personuppgiftsbiträdesavtal innan ni börjar använda Foveo? Kontakta oss på hej@foveoapp.com så tillhandahåller vi vårt avtal.
12. Dina rättigheter och kontakt
Du har rätt till tillgång, rättelse, radering, begränsning, dataportabilitet och att invända. Hur du utövar dem beskrivs i vår integritetspolicy. Frågor om säkerhet eller dataskydd: hej@foveoapp.com.