Integritetspolicy - Besökslogg (besokslogg.se)
| Rubrik | Värde |
|---|---|
| Dokumentversion | 1.1 |
| Utfärdat av | Evdelion AB |
| Senast reviderat | 2026-05-11 |
| Klassificering | Offentlig |
| Tillämpning | Webbplatsen besokslogg.se, kundportalen kund.besokslogg.se och tjänsten Besökslogg |
Denna integritetspolicy (”Policyn”) beskriver hur Evdelion AB, org.nr 559296-3135 (”vi”, ”oss”), behandlar personuppgifter i egenskap av personuppgiftsansvarig. Policyn riktar sig till besökare på besokslogg.se, kontaktpersoner hos våra kunder, användare av kundportalen samt personer som hör av sig till vår support.
Vid behandling av besökar- och personaluppgifter som registreras i tjänsten Besökslogg för en kunds räkning är kunden personuppgiftsansvarig och vi personuppgiftsbiträde. Den behandlingen regleras av personuppgiftsbiträdesavtalet i Användarvillkor §8 (DPA) och omfattas inte av denna Policy. Information till sådana registrerade besökare ska tillhandahållas av den kund som driver besöksloggen, t.ex. via informationstext på kiosken.
1. Personuppgiftsansvarig
| Part | Uppgifter |
|---|---|
| Personuppgiftsansvarig | Evdelion AB, org.nr 559296-3135 |
| Webbplats | https://besokslogg.se |
| Kontakt i dataskyddsfrågor | info@besokslogg.se |
Vi har ingen lagstadgad skyldighet att utse ett dataskyddsombud (DSO/DPO) enligt GDPR Art. 37. Frågor om dataskydd hanteras av Evdelion AB:s ledning och kan ställas till adressen ovan.
2. Vilka personuppgifter vi behandlar
2.1 Webbplatsbesökare (besokslogg.se)
När du besöker våra publika webbsidor behandlar vi:
- IP-adress och allmän geografisk plats (på land/region-nivå) från IP-adressen.
- Tidpunkt för besök samt begärd URL.
- Webbläsartyp, operativsystem och hänvisande sida (referer).
- Tekniska sessionsdata som krävs för att webbplatsen ska fungera (se §4 om cookies).
Dessa uppgifter samlas in via webbserverns drift- och säkerhetsloggar.
2.2 Kontaktformuläret
När du skickar in kontaktformuläret på besokslogg.se behandlar vi:
- Namn.
- E-postadress.
- Innehållet i ditt meddelande och eventuella bifogade uppgifter.
- IP-adress och tidpunkt (för spam- och missbruksskydd).
2.3 Registrering och kundkonto
När en kund registrerar ett konto behandlar vi följande uppgifter om kunden och dess användare:
- Företagsnamn, organisationsnummer, adress och telefonnummer.
- Kontaktperson och kontaktpersonens e-postadress.
- E-postadresser för administratörer och övriga användare hos kunden.
- Aktivitet i kontot (inloggningar, ändringar, behörighetsändringar, exportåtgärder m.m.) via vår audit-logg.
- IP-adresser kopplade till inloggning, godkända kioskenheter och eventuella IP-spärrar.
- TOTP-hemlighet (om användaren aktiverat 2FA) — lagras endast i den form som krävs för verifiering av engångskoder.
2.4 Fakturering och betalning
För kunder på betalplaner behandlar vi även:
- Faktureringsadress och eventuell separat faktura-e-postadress.
- Fakturahistorik, betalningsstatus och påminnelsehistorik.
- Vid kortbetalning via Stripe: transaktions-ID och betalningsstatus. Vi lagrar inte fullständiga kortuppgifter — dessa hanteras direkt av Stripe i deras PCI-DSS-certifierade miljö.
2.5 Support
När du kontaktar vår support (via portalens supportfunktion eller via e-post) behandlar vi:
- Namn, e-postadress, det kundkonto frågan rör.
- Innehållet i ditt ärende och eventuella bifogade filer.
- Tidpunkter och status för ärendet.
2.6 Säkerhets- och felloggar
För att skydda tjänsten behandlar vi också:
- Misslyckade inloggningsförsök, OTP-försök och TOTP-försök.
- IP-adresser och tidsstämplar kopplade till säkerhetshändelser och rate limiting.
- Felloggar från servern (kan i undantagsfall innehålla personuppgifter när ett fel utlöses av en användarinteraktion).
3. Ändamål och laglig grund
| Ändamål | Kategorier av uppgifter | Laglig grund (GDPR Art. 6) |
|---|---|---|
| Tillhandahålla och drifta tjänsten Besökslogg | Kontaktuppgifter, kontodata, inloggningsdata | Art. 6.1 b — fullgörande av avtal (med kunden) |
| Identifiera och autentisera användare (OTP/TOTP) | E-postadress, IP, OTP/TOTP-data | Art. 6.1 b — fullgörande av avtal |
| Hantera fakturering, påminnelser och betalningar | Faktureringsuppgifter, betalningsstatus | Art. 6.1 b — fullgörande av avtal, samt Art. 6.1 c — rättslig förpliktelse (bokföring) |
| Bokföring och redovisning | Fakturor, betalningsuppgifter, kunduppgifter | Art. 6.1 c — rättslig förpliktelse (bl.a. bokföringslagen 1999:1078) |
| Besvara kontaktformulär och supportärenden | Namn, e-post, ärendetext, bilagor | Art. 6.1 b (för kunder) / Art. 6.1 f — berättigat intresse (för icke-kunder) |
| Statistik och förbättring av de publika marknadsföringssidorna (besokslogg.se) | Google Analytics-cookies, IP-adress (trunkerad av GA), besökta sidor, hänvisande sida, enhet/webbläsare | Art. 6.1 a — samtycke (motsvarande samtyckeskravet i 6 kap. 18 § lag 2022:482) |
| Drift, felsökning och säkerhet | Server- och säkerhetsloggar, IP-adresser | Art. 6.1 f — berättigat intresse av att skydda tjänsten och dess användare |
| Skydd mot missbruk, bedrägeri och intrång (rate limiting, IP-block) | IP-adresser, försökshistorik | Art. 6.1 f — berättigat intresse |
| Information till befintliga kunder om tjänsten (drift, säkerhet, väsentliga ändringar) | E-postadress, kontodata | Art. 6.1 b — fullgörande av avtal |
| Eventuell direktmarknadsföring till befintliga kontaktpersoner | E-postadress, namn | Art. 6.1 f — berättigat intresse, med möjlighet till avregistrering |
| Fastställa, göra gällande eller försvara rättsliga anspråk | Relevanta uppgifter i ärendet | Art. 6.1 f — berättigat intresse |
Vid behandling som grundar sig på berättigat intresse har vi gjort en avvägning mellan vårt intresse och dina rättigheter. Du har alltid rätt att invända mot sådan behandling (se §7).
Vi behandlar inte särskilda kategorier av personuppgifter enligt GDPR Art. 9 (t.ex. hälsa, etniskt ursprung, religion) som ett led i den löpande driften.
4. Cookies, lokal lagring och liknande tekniker
Besokslogg.se använder så få cookies som möjligt. Vi delar in dem i två kategorier: strikt nödvändiga och analys.
4.1 Strikt nödvändiga cookies
Strikt nödvändiga cookies krävs för att webbplatsen och kundportalen ska fungera och kräver enligt 6 kap. 18 § lagen (2022:482) om elektronisk kommunikation inte samtycke.
| Cookie | Domän | Syfte | Lagringstid |
|---|---|---|---|
__Host-besokslogg_sess | kund.besokslogg.se | PHP-session för inloggade användare i kundportalen och adminpanelen. Sätts först efter inloggning. | Sessionen (upp till 24 timmar, med serverstyrd idle-timeout efter 30 minuter) |
CSRF-token lagras i PHP-sessionen, inte som separat cookie.
4.2 Analyscookies (Google Analytics 4)
På de publika marknadsföringssidorna på besokslogg.se (förstasidan, "Så fungerar det", uppdateringsloggen, bilagor m.fl.) använder vi Google Analytics 4 (mätnings-ID G-H9DWHEKNVE) för att förstå besöksmönster på aggregerad nivå — t.ex. vilka sidor som besöks mest, varifrån trafiken kommer och hur länge besökare stannar.
Inloggade användare i kundportalen (kund.besokslogg.se), administratörer i adminpanelen, besökare som checkar in via kiosken och besökare som använder digitala besökskort spåras inte av Google Analytics.
| Cookie | Domän | Syfte | Lagringstid |
|---|---|---|---|
_ga | besokslogg.se | Identifierar unika besökare för Google Analytics 4. | 13 månader |
_ga_H9DWHEKNVE | besokslogg.se | Lagrar sessionsstatus för den aktuella Google Analytics 4-egenskapen. | 13 månader |
Analyscookies är inte strikt nödvändiga. Enligt 6 kap. 18 § lagen (2022:482) om elektronisk kommunikation krävs samtycke för placering av sådana cookies; för efterföljande personuppgiftsbehandling i Google Analytics är samtycke (GDPR Art. 6.1 a) den lagliga grunden.
Mottagare och tredjelandsöverföring: Uppgifterna delas med Google Ireland Ltd. (motpart inom EU) och kan komma att överföras till Google LLC i USA. Överföringen sker på grundval av EU-US Data Privacy Framework (kommissionens beslut C(2023) 4745), under vilket Google LLC är certifierat, kompletterat med EU-kommissionens standardavtalsklausuler där så är tillämpligt.
Så här kan du blockera Google Analytics:
- Blockera tredjeparts- eller analyscookies i webbläsarens inställningar.
- Installera Googles opt-out-tillägg för webbläsare.
- Aktivera integritetsläge / "Do Not Track" i webbläsaren.
4.3 Vad vi inte använder
Vi använder inga cookies för marknadsföringsspårning, profilering, retargeting eller A/B-testning. Vi använder inte Meta Pixel, LinkedIn Insight Tag, Microsoft Clarity, Hotjar eller motsvarande spårningsverktyg. Vi använder inga cookies alls i kundportalen utöver den strikt nödvändiga sessionscookien i §4.1.
5. Mottagare och underbiträden
Vi delar inte personuppgifter med tredje part i marknadsföringssyfte. Personuppgifter kan dock lämnas ut till följande kategorier av mottagare när det är nödvändigt för att uppfylla ändamålen i §3:
- Drift- och hostingleverantörer som tillhandahåller den infrastruktur tjänsten körs på.
- E-postleverantör som hanterar utskick av OTP-koder, notiser, fakturor och övriga transaktionsmejl.
- Betalningsleverantör (Stripe) för kortbetalning av fakturor. Stripe är självständigt personuppgiftsansvarig för sin behandling av betalningsuppgifter.
- Analysleverantör (Google Ireland Ltd. / Google LLC) för aggregerad statistik via Google Analytics 4 på de publika marknadsföringssidorna, se §4.2.
- Revisor, redovisningsbyrå och inkassoombud när det krävs enligt lag eller för att driva in obetalda fordringar.
- Myndigheter när det krävs enligt lag, t.ex. Skatteverket, Polismyndigheten eller Integritetsskyddsmyndigheten.
När en leverantör behandlar personuppgifter för vår räkning ingår vi personuppgiftsbiträdesavtal. En aktuell förteckning över underbiträden i tjänsten Besökslogg framgår av Säkerhetspolicyn (avsnitt 7) och kan på begäran erhållas via info@besokslogg.se.
6. Tredjelandsöverföring
All löpande behandling av personuppgifter sker inom EU/EES. Om en överföring till tredjeland undantagsvis blir aktuell sker det endast på laglig grund enligt GDPR kapitel V, t.ex. genom EU-kommissionens standardavtalsklausuler (SCC) kompletterade med lämpliga tekniska och organisatoriska skyddsåtgärder. Vi informerar berörda registrerade och kunder innan en sådan överföring inleds.
7. Dina rättigheter
Du har enligt GDPR följande rättigheter avseende personuppgifter som rör dig:
- Tillgång (Art. 15) — få en bekräftelse på om vi behandlar uppgifter om dig och i så fall en kopia (registerutdrag).
- Rättelse (Art. 16) — få felaktiga eller ofullständiga uppgifter rättade eller kompletterade.
- Radering / "rätten att bli bortglömd" (Art. 17) — få uppgifter raderade i de fall vi inte längre har en laglig grund att behandla dem.
- Begränsning (Art. 18) — begära att behandlingen begränsas i vissa fall, t.ex. medan en rättelse utreds.
- Invändning (Art. 21) — invända mot behandling som grundar sig på berättigat intresse (Art. 6.1 f) eller direktmarknadsföring.
- Dataportabilitet (Art. 20) — få ut de uppgifter du själv lämnat i ett maskinläsbart format och, där det är tekniskt möjligt, få dem överförda till en annan personuppgiftsansvarig.
- Återkalla samtycke — i den mån behandlingen grundar sig på samtycke, återkalla samtycket utan att det påverkar lagligheten av behandling som skett före återkallelsen.
För att utöva dina rättigheter, kontakta oss på info@besokslogg.se. Vi kan komma att be om kompletterande information för att säkerställa din identitet. Vi besvarar förfrågningar utan onödigt dröjsmål och senast inom en (1) månad från mottagandet (med möjlighet till förlängning med ytterligare två månader vid komplicerade ärenden enligt Art. 12.3).
Vissa rättigheter kan vara begränsade — t.ex. kan radering inte ske av uppgifter som vi enligt lag är skyldiga att bevara (bokföringsmaterial sparas i sju (7) år enligt bokföringslagen).
8. Klagomål till tillsynsmyndighet
Om du anser att vår behandling av dina personuppgifter strider mot dataskyddslagstiftningen har du rätt att lämna in ett klagomål till tillsynsmyndigheten:
- Integritetsskyddsmyndigheten (IMY)
- Webb: https://www.imy.se
- E-post: imy@imy.se
- Postadress: Box 8114, 104 20 Stockholm
Vi uppskattar om du även kontaktar oss direkt på info@besokslogg.se så att vi får möjlighet att utreda och eventuellt åtgärda ärendet.
9. Lagringstider
Vi sparar personuppgifter endast så länge det krävs för respektive ändamål. Riktlinjer:
| Kategori | Lagringstid |
|---|---|
| Webbserverloggar (åtkomst, IP, user agent) | Som regel högst 90 dagar |
Google Analytics-cookies (_ga, _ga_*) | 13 månader från senaste besök |
| Google Analytics-data (användar- och händelsedata hos Google) | Enligt vald retentionstid i GA-egenskapen, standard 14 månader |
| Säkerhets- och inloggningsloggar | Upp till 12 månader, längre vid pågående säkerhetsincident |
| Inkomna kontaktformulärsmeddelanden | Upp till 12 månader efter senaste kontakt, om inte ärendet övergår i en kundrelation |
| Supportärenden | Under avtalets löptid och som regel upp till 24 månader efter att ärendet avslutats |
| Kunduppgifter och användarkonton | Under avtalets löptid samt under den tid lagstadgade krav (t.ex. bokföring) kräver |
| Audit-logg i tjänsten | Enligt kundens prenumerationsplan (1–10 år), se Säkerhetspolicy avsnitt 6 |
| Fakturor, betalnings- och bokföringsmaterial | Sju (7) år efter utgången av räkenskapsåret enligt bokföringslagen (1999:1078) |
| Rate-limit-räknare och blockeringslistor | Korttid, normalt timmar till dagar |
Efter att lagringstiden löpt ut raderas eller anonymiseras uppgifterna.
10. Säkerhetsåtgärder
Vi vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter mot obehörig åtkomst, ändring, spridning och förlust, bland annat:
- Kryptering av känsliga besökarfält i vila (AES-256-GCM) och TLS för all överföring.
- Engångslösenord (OTP) och valfri TOTP/2FA för inloggning.
- Rollbaserad och IP-baserad åtkomstkontroll, audit-logg över väsentliga händelser.
- Loggning av inloggningsförsök, rate limiting och automatisk spärr av misstänkt trafik.
- Säkerhetskopiering, återställningsrutiner och driftövervakning.
- Sessionssäkerhet med
HttpOnly,Secure,SameSite=Lax,__Host--prefix och idle-timeout. - CSRF-skydd och HTTP-säkerhetshuvuden (CSP, HSTS, X-Frame-Options m.fl.).
En utförlig beskrivning finns i Säkerhetspolicyn, som utgör bilaga till Användarvillkoren.
11. Automatiserat beslutsfattande och profilering
Vi tillämpar inte automatiserat beslutsfattande som har rättsliga följder eller på liknande sätt i betydande grad påverkar dig enligt GDPR Art. 22. Vi profilerar dig inte i marknadsföringssyfte.
12. Barn
Tjänsten Besökslogg riktar sig till näringsidkare och inte till barn. Vi samlar inte medvetet in personuppgifter från personer under 16 år.
13. Ändringar av Policyn
Vi får uppdatera Policyn löpande. Redaktionella förtydliganden och anpassningar till ny lagstiftning publiceras utan föregående varsel; den uppdaterade versionen gäller från publiceringen på besokslogg.se. Väsentliga ändringar meddelas befintliga kunder via e-post eller via kundportalen senast femton (15) dagar innan ändringen träder i kraft.
Datumet för senaste revidering framgår av rubriktabellen ovan.
14. Kontakt
För frågor om denna Policy eller om behandlingen av dina personuppgifter:
- E-post: info@besokslogg.se
- Webb: https://besokslogg.se
- Adress: Evdelion AB, org.nr 559296-3135
Denna integritetspolicy kompletterar Användarvillkoren och Säkerhetspolicyn. Vid behandling som sker för kundens räkning inom tjänsten Besökslogg är personuppgiftsbiträdesavtalet i Användarvillkor §8 styrande.