1. Datakryptering
Data under overførsel
Alle data, der sendes via vores hjemmeside og apps, fx medicinske oplysninger, identitetsverifikation, kontodata og ordrer, krypteres med TLS 1.2 eller højere.
Data i hvile
Data, der gemmes i vores databaser og backups, krypteres med AES-256 eller tilsvarende branchestandard.
Moderne sikkerhed
Disse tiltag følger kravet om et højt aktuelt sikkerhedsniveau i GDPR / UK-GDPR artikel 32.
2. Serverplaceringer og hosting
Datahosting i EU
Alle personoplysninger fra EU-brugere hostes udelukkende på servere i Det Europæiske Økonomiske Samarbejdsområde (EØS).
Certificerede datacentre
Transtoyou bruger datacentre, der er certificeret efter ISO 27001 og SOC 2, og som overholder relevante GDPR-krav.
Internationale overførsler
Personoplysninger overføres ikke uden for EØS, medmindre det sker på grundlag af:
- Standardkontraktbestemmelser (SCC’er)
- En tilstrækkelighedsafgørelse fra Europa-Kommissionen
- Dit udtrykkelige samtykke
3. Adgang til dine data og dataportabilitet (EU Data Act)
Du kan tilgå, downloade og eksportere dine konto- og servicedata direkte fra dit Transtoyou-dashboard.
Hvis det er teknisk muligt, kan du også bede Transtoyou sende disse data til en tredjepart, du vælger, i tråd med gældende EU-regler om dataadgang og dataportabilitet, herunder EU Data Act hvor relevant.
4. Identitetsverifikation (ID-tjek)
Transtoyou kan kræve en engangsidentitetsverifikation ved:
Sådan fungerer identitetsverifikation
ID-tjekket bruger automatisk genkendelse af gyldigt ID og ansigtsmatch for at bekræfte din identitet.
Biometriske data behandles kun til engangsidentitetsverifikation, svindelforebyggelse og sikker receptudstedelse. Det bruges ikke til marketing, profilering eller andre formål.
Det juridiske grundlag for behandling af biometriske data bygger på GDPR / UK-GDPR artikel 9(2) sammen med artikel 6(1), understøttet af DPIA’er, stram formålsbegrænsning og klare regler for opbevaring.
Tredjepartsverifikation
Identitetsverifikation udføres af en specialiseret tredjepartsudbyder, der handler som databehandler for Transtoyou.
Transtoyou gemmer ikke en kopi af dit ID-dokument. Vi modtager kun verifikationsstatus og begrænsede metadata, der er nødvendige for compliance og svindelforebyggelse.
Udbyderens opbevaring er begrænset til det, der er lovkrævet, og reguleres af vores databehandleraftale.
5. Tofaktorgodkendelse (2FA)
Medarbejdere, læger og apoteker
Obligatorisk2FA er obligatorisk ved alle logins i tråd med bedste praksis for sikker adgang til medicinske data.
Kunder
Valgfrit, men anbefales2FA er valgfrit, men anbefales kraftigt. Når det er slået til, kræves et ekstra godkendelsestrin, fx SMS, ved login eller ordreafgivelse.
6. Følsomme handlinger og adgangskontrol
- Medicinske vurderinger og godkendelse af recepter udføres kun af autoriserede læger, der er logget ind med 2FA, og kun med adgang til de nødvendige patientdata.
- Der kræves ikke ekstra genbekræftelse, fx biometri, for læger ved følsomme handlinger, men der er stram Rollebaseret adgangskontrol (RBAC).
- Al adgang til medicinske journaler bliver logget og kan revideres.
7. Auditlogs og adgangsregistrering
Omfattende logning
Transtoyou logger al adgang til konsultationsdata, recepter, identitetsverifikation og brugeroplysninger.
Regelmæssig gennemgang
Logs gennemgås løbende for at opdage uautoriseret adgang eller usædvanlig aktivitet.
Begrænset adgang
Kun autoriserede personer med en klar driftsmæssig rolle må få adgang til medicinske journaler.
8. Sikkerhed ved video- og chatkonsultationer
Sikker konsultationsplatform
Transtoyou bruger en sikker platform til video- og chatkonsultationer med krypterede forbindelser (TLS/DTLS/SRTP) og stram adgangskontrol.
Konsultationsoptagelser
Video- og/eller chatkonsultationer optages kun, når det er nødvendigt for:
- Klinisk sikkerhed
- Kvalitetssikring
- Træning relateret til patientsikkerhed
- Håndtering af tvister eller klager, fx hvis en bruger eller læge er uenig om, hvad der blev sagt under en konsultation
Opbevaringsperiode: 90 dage
Optagelser gemmes sikkert i 90 dage og slettes derefter automatisk, medmindre længere opbevaring er nødvendig på grund af en åben klage, juridisk forpligtelse eller igangværende undersøgelse. Det følger GDPR / UK-GDPR-princippet om begrænset opbevaring.
Vigtige sikkerhedstiltag
- Adgang til optagelser er strengt begrænset til den tilknyttede læge og autoriserede compliance- eller klagebehandlere, med RBAC og fuld auditlogning.
- Optagelser bruges aldrig til marketing, profilering eller uvedkommende formål.
- Du får besked før konsultationen starter, hvis der kan ske optagelse, hvorfor den sker, og hvor længe optagelsen gemmes.
9. Beskyttelse mod databrud
Vores beredskab
Ved et databrud gør Transtoyou følgende:
Underretter myndighederne
Underretter den relevante databeskyttelsesmyndighed, fx Andmekaitse Inspektsioon i Estland, inden for 72 timer, som krævet i GDPR artikel 33 og 34.
Underretter berørte brugere
Hvis der er høj risiko for personer, bliver de underrettet direkte.
Årsagsanalyse
Efter hver hændelse laver vi en årsagsanalyse, og korrigerende tiltag sættes i gang med det samme.
10. Interne sikkerhedstiltag
Gennemgang af adgangsrettigheder
Adgangsrettigheder gennemgås løbende og straks ved rolleændring eller fratrædelse.
Sikkerhedstræning
Træning i sikkerhed og databeskyttelse er obligatorisk for alle med adgang til personlige eller medicinske data.
Regelmæssige opdateringer
Sikkerhedspolitikker og tekniske kontroller gennemgås og opdateres regelmæssigt.
11. Databehandleraftaler og underdatabehandlere
- Transtoyou har indgået Databehandleraftaler (DPA’er) med alle tredjepartsdatabehandlere, herunder hostingudbydere, ID-verifikationsudbydere, apoteker, læger og marketingværktøjer.
- Underdatabehandlere må kun behandle data efter Transtoyous instruks og under vores tilsyn.
- En opdateret liste over underdatabehandlere kan fås ved henvendelse via: privacy@transtoyou.com
12. Fortegnelse over behandlingsaktiviteter (GDPR artikel 30)
Transtoyou fører en intern Fortegnelse over behandlingsaktiviteter (ROPA) i overensstemmelse med GDPR artikel 30.
Fortegnelsen indeholder:
- Alle behandlingsaktiviteter
- Formål
- Kategorier af personoplysninger
- Databehandlere
- Opbevaringssteder
- Opbevaringsperioder
- Anvendte sikkerhedstiltag
Den kan udleveres til tilsynsmyndigheder efter anmodning.
13. Konsekvensanalyser om databeskyttelse (DPIA)
For al behandling af medicinske eller følsomme personoplysninger gennemfører Transtoyou regelmæssigt Konsekvensanalyser om databeskyttelse (DPIA’er) i tråd med GDPR artikel 35.
DPIA’er udføres også, før vi indfører nye teknologier eller arbejdsgange med øget risiko for privatlivet.
14. Intern databeskyttelsesansvarlig (ikke-DPO)
Transtoyou er ikke juridisk forpligtet til at udpege en DPO efter GDPR artikel 37, da vi arbejder under sundhedsfaglig fortrolighed.
Vi har dog udpeget en intern databeskyttelsesansvarlig, som har ansvar for:
- Overholdelse af databeskyttelse
- Vedligeholdelse af vores behandlingsregister
- Gennemførelse af DPIA’er
- Gennemgang af databehandleraftaler
Denne person er hovedkontakt for databeskyttelse og hjælper med audits, håndtering af databrud og risikobegrænsning.
Spørgsmål eller indberetning af bekymring
Har du spørgsmål om datasikkerhed eller vil du indberette en mulig sårbarhed, kan du kontakte os:
Databeskyttelses- og sikkerhedsteam
Til sikkerhedsspørgsmål og bekymringer:
privacy@transtoyou.com
Indberet en sårbarhed
Har du fundet et sikkerhedsproblem? Giv os besked:
privacy@transtoyou.com
Din sikkerhed er vores prioritet
Vi investerer løbende i at beskytte dine personlige og medicinske data med moderne sikkerhedstiltag.
