Tillbaka

Integritet

Senast uppdaterad: 20 april 2026

Vem står bakom

Tuft drivs av Dennis Widehammar, privatperson, Sverige. Personuppgiftsansvarig för behandlingen är samma person.

Kontakt: hej@tuft.se.

Vad vi sparar

  • Din e-postadress, eller ditt Google- eller Discord-konto-ID om du loggar in via dem.
  • Det du säger eller skriver till Tuft. Det vill säga dina trådar, anteckningar och ljudinspelningar.
  • Transkriberad text från dina ljudinspelningar.
  • Sammanfattningar och påminnelser som Tuft skapar utifrån ditt innehåll.
  • Tekniska loggar med IP-adress och webbläsare för säkerhet och felsökning.
  • Om du betalar: beställnings-ID och belopp från Lemon Squeezy. Vi sparar inga kortuppgifter.

Hur ditt innehåll skyddas

Dina meddelanden, anteckningar, transkriberingar och sammanfattningar lagras krypterade i databasen. Varje konto har en egen nyckel som ligger bakom ett serverhållet huvudlås. Det betyder att databasadministratörer bara ser oläsbara bytes när de öppnar tabellerna, och att en backup som läcker inte går att tyda utan nyckeln.

Servern dekrypterar ditt innehåll i stunden när det behövs för att svara dig eller göra en återblick. I det ögonblicket finns texten i minnet på en funktion, och skickas sedan till språkmodellen enligt avsnittet om tredjelandsöverföring nedan. Inget skrivs tillbaka till disk i klartext.

Ärlig begränsning: eftersom servern kan låsa upp nyckeln under ett anrop kan en infrastrukturoperatör med fullständig serveråtkomst i teorin läsa innehåll som aktivt bearbetas. Modellen skyddar mot databasläckor, missbruk från supportpersonal och ögontittare, inte mot en fullständig serverkompromiss.

Starkare variant som tillval: i Inställningar kan du aktivera E2E-kryptering där din nyckel wrappas av en fras som bara du kan. Din data är otillgänglig mellan sessioner även för oss. Under en aktiv session (åtta timmar åt gången) kan servern fortfarande läsa ditt innehåll för att svara dig, men nyckeln försvinner när sessionen går ut. Äkta klient-till-klient-kryptering där nyckeln aldrig lämnar din enhet utreds som ytterligare ett steg.

Varför vi behandlar uppgifterna

Rättslig grund är fullgörande av avtal enligt artikel 6.1.b GDPR för att leverera tjänsten åt dig. Säkerhetsloggar vilar på berättigat intresse enligt artikel 6.1.f. Faktureringsunderlag sparas på rättslig förpliktelse enligt artikel 6.1.c.

Vilka biträden vi använder

Tuft är en liten tjänst. Vi plockar vidare uppgifter till följande underbiträden:

  • Supabase i Frankfurt, Tyskland. Lagrar ditt konto, dina trådar, dina ljudfiler och dina sammanfattningar.
  • Vercel i EU-region. Kör webbappen och tillfälliga API-anrop.
  • Mistral i Frankrike. Skapar embeddings på dina texter så att sök och minne fungerar.
  • Whisper-transkribering i EU. Omvandlar din röst till text.
  • OpenRouter med vidare anrop till Anthropic (USA). Kör språkmodellen som svarar dig och plockar ut minnesbitar. Se avsnittet om tredjelandsöverföring nedan.
  • Lemon Squeezy i Irland. Hanterar betalning om du uppgraderar. Vi ser aldrig dina kortuppgifter.

En uppdaterad biträdesförteckning finns alltid här. Om vi byter biträde informerar vi via mejl eller på den här sidan innan bytet sker.

Överföring utanför EU

Själva lagringen ligger i EU. Innehåll som skickas till Anthropic för att generera ett svar passerar genom infrastruktur i USA under ett enskilt anrop, för att sedan återvända hit. Anthropic lagrar inte innehållet utöver vad som krävs för att returnera svaret och använder det inte för att träna modeller, enligt deras avtalsvillkor för API-trafik.

Överföringen sker under EU-kommissionens standardavtalsklausuler (SCC 2021/914). Vi utvärderar löpande EU-baserade alternativ och siktar på att flytta språkmodellen till EU-hosting innan publik launch.

Hur länge vi sparar

  • Ditt innehåll sparas så länge du har ett konto.
  • När du raderar ditt konto försvinner allt innehåll inom 30 dagar. Backuper rullar över inom 90 dagar.
  • Tekniska loggar raderas automatiskt inom 90 dagar.
  • Faktureringsunderlag sparas i sju år enligt bokföringslagen.

Dina rättigheter

Du har rätt att:

  • Få ut en kopia av dina uppgifter.
  • Rätta uppgifter som är fel.
  • Radera ditt konto och allt innehåll.
  • Begära att vi begränsar behandlingen.
  • Ta med dig dina uppgifter i ett maskinläsbart format.
  • Invända mot behandling som vi grundar på berättigat intresse.

Mejla hej@tuft.se så löser vi det inom 30 dagar. Du kan också radera kontot direkt i Inställningar, och ladda ner en JSON-export därifrån.

Om du tycker att vi hanterar dina uppgifter fel kan du klaga hos Integritetsskyddsmyndigheten (IMY), imy.se.

Cookies och spårning

Vi använder bara en sessionscookie från Supabase för att hålla dig inloggad. Inga annonscookies, ingen Google Analytics, ingen Facebook Pixel, inga trackers från tredje part.

Automatiserade beslut

Tuft tar inga automatiserade beslut som har rättslig verkan eller påverkar dig i betydande grad. Språkmodellen svarar på det du skriver, den fattar inga beslut åt dig.

Ändringar

Om vi ändrar något väsentligt i den här texten skickar vi ett mejl till din adress först. Mindre justeringar publicerar vi direkt och uppdaterar datumet högst upp.