1. Datakryptering

Data under transport

Alle data, der transmitteres via vores hjemmeside og apps (f.eks. medicinske oplysninger, identitetsbekræftelsesinput, kontodata og ordrer), er krypteret ved hjælp af TLS 1.2 eller højere.

Data i Hvile

Data, der opbevares i vores databaser og sikkerhedskopier, er krypteret ved hjælp af AES-256 eller tilsvarende industristandard kryptografi.

Sikkerhed i Verdensklasse

Disse foranstaltninger følger den "verdensklasse" sikkerhedsstandard, der kræves af Artikel 32 i GDPR / UK GDPR.

2. Serverplaceringer og Hosting

EU Data Hosting

Alle personlige data fra EU-brugere hostes udelukkende på servere inden for Det Europæiske Økonomiske Samarbejdsområde (EØS).

Certificerede datacentre

Transtoyou bruger datacentre, der er certificeret under ISO 27001, SOC 2, og som overholder alle relevante GDPR-krav.

Internationale overførsler

Ingen personlige data overføres uden for EØS, medmindre dette sker under:

Standardkontraktbestemmelser (SCC'er)
En tilstrækkelighedsvurdering fra Europa-Kommissionen
Den registreredes eksplicitte samtykke

3. Adgang til brugerdata og portabilitet (EU Data Act)

Brugere kan få adgang til, downloade og eksportere deres konto- og servicegenererede data direkte gennem deres Transtoyou-dashboard.

Hvor det teknisk er muligt, kan brugere også anmode om, at Transtoyou overfører disse data til en tredjepart, der er udpeget af brugeren, i overensstemmelse med gældende EU-regler for dataadgang og portabilitet, herunder EU Data Act, hvor det er relevant.

Få adgang til dine data

Download og eksportér dine data direkte fra dit dashboard.

Gå til dashboard

4. Identitetsbekræftelse (ID-tjek)

Transtoyou kan kræve engangs identitetsbekræftelse for:

Højrisiko receptveje

Transkøns sundhedsveje, hvor det kræves ved lov eller sikkerhedsstandarder

Mistænkt misbrug, svindelindikatorer eller inkonsekvent medicinsk input

Regulatoriske eller apoteksforpligtelser

Sådan fungerer identitetsbekræftelse

ID-kontrollen involverer automatisk genkendelse af et gyldigt statsligt udstedt ID og et ansigtmatch for at bekræfte identiteten.

Biometriske data behandles udelukkende til engangs identitetsbekræftelse, forebyggelse af svindel og sikker receptudskrivning. Det bruges ikke til markedsføring, profilering eller andre formål.

Det juridiske grundlag for biometrisk behandling er baseret på artikel 9(2) GDPR / UK GDPR sammen med artikel 6(1), understøttet af DPIA'er, strenge formålsbegrænsninger og opbevaringsregler.

Tredjepartsverifikation

Identitetsverifikation udføres af en specialiseret tredjepartsudbyder, der fungerer som databehandler på vegne af Transtoyou.

Transtoyou opbevarer ikke en kopi af ID-dokumentet. Vi modtager kun en verifikationsstatus og begrænsede metadata, der er nødvendige for overholdelse og svindelforebyggelse.

Leverandørens opbevaring er begrænset til, hvad der er lovligt krævet og reguleret af vores databehandlingsaftale.

5. To-faktorautentifikation (2FA)

Personalet, Læger & Apoteker

Obligatorisk

2FA er obligatorisk for alle logins, i overensstemmelse med bedste praksis for sikring af adgang til medicinske data.

Kunder

Valgfrit men Anbefalet

2FA er valgfrit men stærkt anbefalet. Når det er aktiveret, kræves et andet autentificeringstrin (f.eks. SMS) ved login eller når du afgiver en bestilling.

6. Følsomme operationer & Adgangskontroller

Medicinske vurderinger og godkendelser af recepter udføres kun af autoriserede læger logget ind via 2FA, med adgang begrænset til kun de nødvendige patientdata.
Ingen yderligere genautentificering (f.eks. biometrisk) håndhæves for læger under følsomme handlinger, men strenge Rollebaseret adgangskontrol (RBAC) er på plads.
Hver adgang til medicinske journaler er logget og reviderbar.

7. Revisionslogger & Adgangsregistrering

Omfattende logning

Transtoyou opretholder logfiler over al adgang til konsultationsdata, recepter, identitetsverifikation og brugeroplysninger.

Regelmæssig gennemgang

Logfiler gennemgås periodisk for at opdage uautoriseret adgang eller anomalier.

Begrænset adgang

Kun autoriserede personer med en defineret driftsrolle må få adgang til medicinske journaler.

8. Sikkerhed ved video- og chatkonsultationer

Sikker konsultationsplatform

Transtoyou bruger en sikker video- og chatkonsultationsplatform med krypterede forbindelser (TLS/DTLS/SRTP) og strenge adgangskontroller.

Optagelser af konsultationer

Video- og/eller chatkonsultationer kan kun optages, hvor det er nødvendigt for:

Klinisk sikkerhed
Kvalitetssikring
Uddannelse relateret til patientsikkerhed
Håndtering af tvister eller klager (for eksempel hvis en bruger eller læge bestrider, hvad der blev sagt under en konsultation)

Opbevaringsperiode: 90 dage

Optagelser opbevares sikkert i en begrænset periode på 90 dage, hvorefter de automatisk slettes, medmindre en længere opbevaring er nødvendig på grund af en åben klage, juridisk forpligtelse eller igangværende undersøgelse. Dette følger GDPR/UK GDPR's opbevaringsbegrænsningsprincip.

Vigtige Beskyttelsesforanstaltninger

Adgang til optagelser er strengt begrænset til den tildelte læge og autoriseret compliance- eller tvistløsningspersonale, under RBAC og fuld revisionslog.
Optagelser bruges aldrig til markedsføring, profilering eller andre urelaterede formål.
Brugere informeres inden konsultationen starter om, at optagelse kan finde sted, formålet med optagelsen og opbevaringsperioden.

9. Beskyttelse mod Databrud

Vores Reaktionsprotokol

I tilfælde af et databrud, Transtoyou:

Underrette Myndighederne

Underretter den relevante databeskyttelsesmyndighed (f.eks. Andmekaitse Inspektsioon i Estland) inden for 72 timer, som krævet i henhold til artiklerne 33 og 34 i GDPR.

Underret Berørte Brugere

Hvis der er høj risiko for enkeltpersoner, vil de blive underrettet direkte.

Rødårsagsanalyse

En rødårsagsanalyse udføres efter hver hændelse, med korrektive tiltag taget straks.

10. Interne Sikkerhedsforanstaltninger

Gennemgang af Adgangsrettigheder

Adgangsrettigheder gennemgås løbende og straks ved ændring af rolle eller opsigelse.

Sikkerhedstræning

Sikkerhedsbevidsthed og privatlivstræning er obligatorisk for alt personale med adgang til personlige eller medicinske data.

Regelmæssige Opdateringer

Sikkerhedspolitikker og tekniske kontroller gennemgås og opdateres regelmæssigt.

11. Databehandlingsaftaler & Underleverandører

Transtoyou har underskrevet Databehandlingsaftaler (DPA'er) med alle tredjepartsbehandlere (inklusive hostingudbydere, ID-verifikationsleverandører, apoteker, læger og marketingværktøjer).
Underleverandører må kun behandle data under Transtoyous instruktion og tilsyn.
En aktuel liste over underleverandører er tilgængelig efter anmodning via: privacy@transtoyou.com

12. Registrering af Behandlingsaktiviteter (Art. 30 GDPR)

Transtoyou opretholder et internt Register over behandlingsaktiviteter (ROPA) i overensstemmelse med artikel 30 i GDPR.

Dette register inkluderer:

Alle behandlingsaktiviteter
Formål
Kategorier af personoplysninger
Behandlere
Lagringssteder
Opbevaringsperioder
Anvendte sikkerhedsforanstaltninger

Det er tilgængeligt for tilsynsmyndigheder efter anmodning.

13. Vurderinger af databeskyttelsespåvirkning (DPIA)

For al behandling af medicinske eller følsomme personoplysninger gennemfører Transtoyou regelmæssigt Vurderinger af databeskyttelsespåvirkning (DPIA'er) i overensstemmelse med artikel 35 i GDPR.

DPIA'er udføres også før introduktion af nye teknologier eller arbejdsgange, der præsenterer forhøjede privatlivsrisici.

14. Intern databeskyttelsesansvarlig (ikke-DPO)

Transtoyou er ikke juridisk forpligtet til at udpege en databeskyttelsesansvarlig (DPO) i henhold til artikel 37 i GDPR, da vi opererer under medicinsk faglig fortrolighed.

Vi har dog udpeget en intern databeskyttelsesansvarlig til at overvåge:

Overholdelse af databeskyttelse
Vedligeholdelse af vores behandlingsregister
Udførelse af DPIA'er
Gennemgang af databehandleraftaler

Denne person fungerer som hovedkontaktpunkt for privatlivsspørgsmål og understøtter revisioner, brudrespons og risikomitigering.

Spørgsmål eller indberetning af bekymringer

Hvis du har spørgsmål om datasikkerhed, eller ønsker at indberette en (mistænkt) sårbarhed, bedes du kontakte os:

Privatlivs- og sikkerhedsteam

Til sikkerhedsspørgsmål og bekymringer:
privacy@transtoyou.com

Indberet en sårbarhed

Har du fundet et sikkerhedsproblem? Lad os vide det:
privacy@transtoyou.com

Din sikkerhed er vores prioritet

Vi investerer løbende i at beskytte dine personlige og medicinske data med avancerede sikkerhedsforanstaltninger.

Privatlivspolitik GDPR-rettigheder

Type

Prisklasse

Seksuel sundhed og præstation

Hormonel sundhed og vitalitet

Hår og hovedbundspleje

Prævention

Hormonel & reproduktiv sundhed

Vaginal og menstruel sundhed

Transition og hormonbehandling

Understøttende sundhedsløsninger

Mental og generel støtte

Smerter og behandling

Kroniske og metaboliske

Allergi, infektioner og urinveje

Dermatologi og intim sundhed

Support oversigt

Dine gratis eHealth værktøjer

Om Transtoyou eHealth

Transtoyou social media