1. Andmete krüpteerimine

Edastatavad andmed

Kõik meie veebilehe ja rakenduste kaudu edastatavad andmed (nt meditsiiniandmed, isikutuvastuse andmed, kontoandmed ja tellimused) on krüpteeritud, kasutades TLS 1.2 või uuem.

Salvestatud andmed

Meie andmebaasides ja varukoopiates hoitavad andmed on krüpteeritud, kasutades AES-256 või samaväärset tööstusstandardit.

Tipptasemel turvalisus

Need meetmed vastavad tipptasemel turvanõuetele, nagu nõuab GDPR-i / UK GDPR-i artikkel 32.

2. Serverite asukohad ja majutus

Andmete majutamine EL-is

Kõik EL-i kasutajate isikuandmed asuvad ainult serverites, mis paiknevad Euroopa Majanduspiirkonnas (EMP).

Sertifitseeritud andmekeskused

Transtoyou kasutab andmekeskusi, mis on sertifitseeritud vastavalt ISO 27001 ja SOC 2 ning vastavad kõigile asjakohastele GDPR-i nõuetele.

Rahvusvahelised andmeedastused

Isikuandmeid ei edastata väljapoole EMP-d, välja arvatud juhul, kui see toimub järgmistel alustel:

Standardlepingutingimused (SCC)
Euroopa Komisjoni piisavuse otsus
Andmesubjekti selge nõusolek

3. Juurdepääs kasutajaandmetele ja ülekantavus (EL-i andmeakt)

Kasutajad saavad oma Transtoyou juhtpaneelil otse vaadata, alla laadida ja eksportida oma kontoandmeid ning teenuse käigus tekkinud andmeid.

Kui see on tehniliselt võimalik, võivad kasutajad ka paluda, et Transtoyou edastaks need andmed kasutaja määratud kolmandale osapoolele vastavalt kehtivatele EL-i andmete juurdepääsu ja ülekantavuse reeglitele, sealhulgas vajadusel EL-i andmeakti alusel.

Juurdepääs sinu andmetele

Laadi oma andmed alla ja ekspordi need otse juhtpaneelilt.

Ava juhtpaneel

4. Isikutuvastus (ID-kontroll)

Transtoyou võib nõuda ühekordset isikutuvastust järgmistel juhtudel:

Kõrgema riskiga retseptiprotsessid

Transsooliste tervishoiu protsessid, kui seda nõuavad seadus või ohutusstandardid

Kahtlus väärkasutuse, pettuse või vastuoluliste meditsiiniandmete osas

Regulatiivsed või apteegiga seotud kohustused

Kuidas isikutuvastus töötab

Isikutuvastus hõlmab kehtiva riikliku isikut tõendava dokumendi automaatset tuvastamist ja näovõrdlust isiku kinnitamiseks.

Biomeetrilised andmed töödeldakse ainult ühekordseks isikutuvastuseks, pettuste ennetamiseks ja ohutuks ravimi väljakirjutamiseks. Seda ei kasutata turunduseks, profileerimiseks ega muuks otstarbeks.

Biomeetriliste andmete töötlemise õiguslik alus tugineb GDPR-i / UK GDPR-i artikli 9 lõikele 2 koos artikli 6 lõikega 1 ning seda toetavad DPIA-d, range eesmärgipiirang ja säilitamisreeglid.

Kolmanda osapoole tuvastus

Isikutuvastust teeb spetsialiseerunud kolmanda osapoole teenusepakkuja, kes tegutseb Transtoyou nimel andmetöötlejana.

Transtoyou ei salvesta isikut tõendava dokumendi koopiat. Saame ainult kinnituse staatuse ja piiratud metaandmed, mis on vajalikud nõuete täitmiseks ja pettuste ennetamiseks.

Teenusepakkuja säilitab andmeid ainult seadusega nõutud ulatuses ja vastavalt meie andmetöötluslepingule.

5. Kaheastmeline autentimine (2FA)

Töötajad, arstid ja apteegid

Kohustuslik

2FA on kohustuslik kõigi sisselogimiste puhul, järgides parimaid tavasid meditsiiniandmetele juurdepääsu kaitsmiseks.

Kliendid

Valikuline, aga soovitatav

2FA on valikuline, kuid tungivalt soovitatav. Kui see on sisse lülitatud, on sisselogimisel või tellimuse esitamisel vaja teist kinnitusetappi, näiteks SMS-koodi.

6. Tundlikud toimingud ja juurdepääsukontrollid

Meditsiinilisi ülevaatusi ja retseptide kinnitamist teevad ainult litsentseeritud arstid, kes on sisse logitud 2FA kaudu ning kelle juurdepääs on piiratud ainult vajalike patsiendiandmetega.
Arstide puhul ei nõuta tundlike toimingute ajal täiendavat korduvautentimist (nt biomeetriat), kuid rakendatud on range Rollipõhine juurdepääsukontroll (RBAC).
Iga juurdepääs meditsiiniandmetele on logitud ja auditeeritav.

7. Auditilogid ja juurdepääsu registreerimine

Põhjalik logimine

Transtoyou peab logi kõigi konsultatsiooniandmete, retseptide, isikutuvastuse ja kasutajaandmete juurdepääsude kohta.

Regulaarne ülevaatus

Logisid vaadatakse regulaarselt üle, et tuvastada volitamata juurdepääsu või kõrvalekaldeid.

Piiratud juurdepääs

Meditsiiniandmetele pääsevad ligi ainult volitatud inimesed, kellel on selleks kindel tööalane roll.

8. Video- ja vestluskonsultatsioonide turvalisus

Turvaline konsultatsiooniplatvorm

Transtoyou kasutab turvalist video- ja vestluskonsultatsioonide platvormi, millel on krüpteeritud ühendused (TLS/DTLS/SRTP) ja ranged juurdepääsukontrollid.

Konsultatsioonide salvestised

Video- ja/või vestluskonsultatsioone võidakse salvestada ainult siis, kui see on vajalik:

Kliinilise ohutuse tagamiseks
Kvaliteedi tagamiseks
Patsiendiohutusega seotud koolituseks
Vaidluste või kaebuste lahendamiseks (näiteks kui kasutaja või arst vaidlustab konsultatsiooni käigus öeldu)

Säilitusaeg: 90 päeva

Salvestisi hoitakse turvaliselt 90 päeva ja seejärel kustutatakse need automaatselt, välja arvatud juhul, kui pikem säilitamine on vajalik avatud kaebuse, õigusliku kohustuse või käimasoleva uurimise tõttu. See järgib GDPR-i / UK GDPR-i säilitamise piirangu põhimõtet.

Olulised kaitsemeetmed

Juurdepääs salvestistele on rangelt piiratud määratud arstile ning volitatud vastavus- või vaidluslahenduse töötajatele RBAC-i ja täieliku auditilogimise alusel.
Salvestisi ei kasutata kunagi turunduseks, profileerimiseks ega muuks mitteseotud eesmärgiks.
Kasutajat teavitatakse enne konsultatsiooni algust sellest, et salvestamine võib toimuda, mis eesmärgil seda tehakse ja kui kaua salvestist säilitatakse.

9. Kaitse andmelekkete vastu

Meie reageerimisprotokoll

Andmelekkega seotud juhtumi korral Transtoyou:

Teavitab asutusi

Teavitab asjakohast andmekaitseasutust (nt Eestis Andmekaitse Inspektsiooni) 72 tunni jooksul, nagu nõuavad GDPR-i artiklid 33 ja 34.

Teavitab mõjutatud kasutajaid

Kui risk inimestele on suur, teavitatakse neid otse.

Põhjuse analüüs

Pärast iga juhtumit tehakse põhjuse analüüs ja parandusmeetmed rakendatakse kohe.

10. Sisemised turvameetmed

Juurdepääsuõiguste ülevaatus

Juurdepääsuõigused vaadatakse regulaarselt üle ning kohe ka siis, kui roll muutub või lõpeb.

Turvakoolitus

Turvateadlikkuse ja privaatsuse koolitus on kohustuslik kõigile töötajatele, kellel on juurdepääs isiku- või meditsiiniandmetele.

Regulaarsed uuendused

Turvapoliitikad ja tehnilised kontrollid vaadatakse regulaarselt üle ning ajakohastatakse.

11. Andmetöötluslepingud ja alltöötlejad

Transtoyou on sõlminud Andmetöötluslepingud (DPA) kõigi kolmandatest osapooltest andmetöötlejatega, sealhulgas majutusteenuse pakkujate, ID-kontrolli teenusepakkujate, apteekide, arstide ja turundustööriistadega.
Alltöötlejad võivad andmeid töödelda ainult Transtoyou juhiste ja järelevalve alusel.
Kehtiv alltöötlejate nimekiri on soovi korral saadaval aadressil: privacy@transtoyou.com

12. Töötlemistoimingute register (GDPR art 30)

Transtoyou peab sisemist Töötlemistoimingute register (ROPA) vastavalt GDPR-i artiklile 30.

See register sisaldab:

Kõiki töötlemistoiminguid
Eesmärke
Isikuandmete kategooriaid
Andmetöötlejaid
Andmete säilitamise asukohti
Säilitusaegu
Rakendatud turvameetmeid

See on järelevalveasutustele soovi korral kättesaadav.

13. Andmekaitse mõjuhinnangud (DPIA)

Kõigi meditsiiniandmete või muude tundlike isikuandmete töötlemisel teeb Transtoyou regulaarselt Andmekaitse mõjuhinnanguid (DPIA) vastavalt GDPR-i artiklile 35.

DPIA-d tehakse ka enne uute tehnoloogiate või töövoogude kasutuselevõttu, kui nendega kaasneb kõrgem privaatsusrisk.

14. Sisemine privaatsusspetsialist (mitte DPO)

Transtoyou ei pea GDPR-i artikli 37 alusel seadusest tulenevalt määrama andmekaitseametnikku (DPO), sest tegutseme meditsiinilise konfidentsiaalsuse põhimõtte alusel.

Siiski oleme määranud sisemine privaatsusspetsialist, kes vastutab järgmise eest:

Privaatsusnõuete järgimine
Meie töötlemisregistri haldamine
DPIA-de läbiviimine
Andmetöötlejatega sõlmitud lepingute ülevaatamine

See inimene on peamine kontaktisik privaatsusega seotud küsimustes ning toetab auditeid, leketele reageerimist ja riskide vähendamist.

Küsimused või murest teatamine

Kui sul on küsimusi andmete turvalisuse kohta või soovid teatada võimalikust turvanõrkusest, võta meiega ühendust:

Privaatsus- ja turvatiim

Turvaküsimuste ja murede jaoks:
privacy@transtoyou.com

Teata turvanõrkusest

Kas leidsid turvaprobleemi? Anna meile teada:
privacy@transtoyou.com

Sinu turvalisus on meie prioriteet

Investeerime pidevalt tipptasemel turvameetmetesse, et kaitsta sinu isiku- ja meditsiiniandmeid.

Privaatsuspoliitika GDPR õigused

Tüüp

Hinnavahemik

Seksuaaltervis ja jõudlus

Hormonaalne tervis ja vitaalsus

Juuste ja peanaha hooldus

Rasestumisvastased vahendid

Hormonaalne ja reproduktiivtervis

Vaginaalne ja menstruaalne tervis

Üleminek ja hormoonhooldus

Terviselahendused

Vaimne ja üldine tugi

Valu ja taastumine

Kroonilised ja metaboolsed haigused

Allergia, infektsioon ja kuseteed

Dermatoloogia ja intiim

Toe ülevaade

Sinu tasuta eHealthi tööriistad

Transtoyou eHealthist

Transtoyou sotsiaalmeedia