1. Andmete krüpteerimine

Andmed edastamise ajal

Kõik meie veebisaidi ja rakenduste kaudu edastatud andmed (nt meditsiiniline teave, isikutuvastuse sisendid, kontoandmed ja tellimused) on krüpteeritud kasutades TLS 1.2 või kõrgem.

Andmed puhkeolekus

Meie andmebaasides ja varukoopiatel salvestatud andmed on krüpteeritud kasutades AES-256 või samaväärset tööstusstandardit.

Tipptasemel turvalisus

Need meetmed järgivad "tipptasemel" turvastandardeid, nagu on nõutud GDPR-i artiklis 32 / Ühendkuningriigi GDPR.

2. Serveri asukohad ja hostimine

EL-i andmete hostimine

Kõik EL-i kasutajate isikuandmed on hostitud ainult serverites, mis asuvad Euroopa Majanduspiirkond (EMP).

Sertifitseeritud andmekeskused

Transtoyou kasutab andmekeskusi, mis on sertifitseeritud vastavalt ISO 27001, SOC 2 ja vastavad kõigile asjakohastele GDPR nõuetele.

Rahvusvahelised ülekanded

Isikuandmeid ei edastata väljaspool EEA-d, välja arvatud juhul, kui see toimub:

Standardlepingulised klauslid (SCC-d)
Euroopa Komisjoni sobivuse otsus
Andmesubjekti selgesõnaline nõusolek

3. Kasutaja andmete ligipääs ja ülekantavus (ELi andmeakt)

Kasutajad saavad oma Transtoyou armatuurlaualt otse ligipääsu, alla laadida ja eksportida oma konto ja teenuse genereeritud andmeid.

Kus tehniliselt võimalik, võivad kasutajad samuti paluda, et Transtoyou edastab need andmed kolmandale osapoolele, kelle kasutaja on määranud, kooskõlas kohaldatavate ELi andmete ligipääsu ja ülekantavuse reeglitega, sealhulgas ELi andmeakti puhul, kui see on asjakohane.

Juurdepääs sinu andmetele

Laadi alla ja ekspordi oma andmed otse oma juhtpaneelilt.

Mine juhtpaneelile

4. Isiku tuvastamine (ID kontroll)

Transtoyou võib nõuda ühekordset isiku tuvastamist järgmistel juhtudel:

Kõrge riskiga retseptiteed

Transsooliste tervishoiuteed, kui seadus või ohutusstandardid seda nõuavad

Kahtlustatav vale kasutamine, pettuse näitajad või ebajärjekindel meditsiiniline info

Regulatiivsed või apteegi kohustused

Kuidas isiku tuvastamine toimib

Isikutuvastus hõlmab kehtiva valitsuse välja antud isikut tõendava dokumendi automaatset tuvastamist ja näotuvastust identiteedi kinnitamiseks.

Biomeetrilised andmed töödeldakse ainult ühekordse isikutuvastuse, pettuse ennetamise ja ohutu retsepti väljastamise eesmärgil. Seda ei kasutata turunduseks, profiilimiseks ega muudel eesmärkidel.

Biomeetrilise töötlemise õiguslik alus põhineb GDPR-i artiklil 9(2) / Ühendkuningriigi GDPR koos artikliga 6(1), toetudes DPIA-dele, rangetele eesmärgipiirangutele ja säilitamise reeglitele.

Kolmanda Osapoole Tuvastus

Isikutuvastus toimub spetsialiseeritud kolmanda osapoole teenusepakkuja poolt, kes tegutseb Transtoyou nimel andmetöötlejana.

Transtoyou ei salvesta isikut tõendava dokumendi koopiat. Saame ainult kinnituse staatuse ja piiratud metaandmed, mis on vajalikud vastavuse ja pettuse ennetamise tagamiseks.

Teenusepakkuja säilitamine on piiratud seaduslikult nõutuga ja reguleeritud meie Andmete Töötlemise Lepingu alusel.

5. Kahefaktoriline autentimine (2FA)

Personali, arstide ja apteekide

Kohustuslik

2FA on kohustuslik kõigi sisselogimiste jaoks, järgides parimaid tavasid meditsiiniliste andmete turvamiseks.

Kliendid

Valikuline, kuid soovitatav

2FA on valikuline, kuid tugevalt soovitatav. Kui see on lubatud, on sisselogimisel või tellimuse esitamisel vajalik teine autentimisetapp (nt SMS).

6. Tundlikud toimingud ja juurdepääsukontrollid

Meditsiinilised ülevaated ja retseptide kinnitused teostatakse ainult litsentseeritud arstid, kes on sisse logitud 2FA kaudu, juurdepääsuga, mis on piiratud ainult vajalike patsiendiandmetega.
Arstide jaoks tundlike toimingute ajal ei kehtestata täiendavat uuesti autentimist (nt biomeetrika), kuid ranget Rollipõhine juurdepääsukontroll (RBAC) on rakendatud.
Iga juurdepääs meditsiinilistele andmetele on logitud ja auditeeritav.

7. Auditi logid ja juurdepääsu registreerimine

Kohustuslik logimine

Transtoyou säilitab logisid kõigi konsultatsioonide andmete, retseptide, isikutuvastuse ja kasutajarekordite juurdepääsu kohta.

Regulaarsed ülevaated

Logisid vaadatakse perioodiliselt üle, et tuvastada volitamata juurdepääs või anomaaliad.

Piiratud juurdepääs

Ainult volitatud isikutel, kellel on määratud operatiivne roll, on lubatud juurdepääs meditsiinilistele andmetele.

8. Videovastuvõtu ja vestluse turvalisus

Turvaline konsultatsiooniplatvorm

Transtoyou kasutab turvalist videovastuvõtu ja vestluse platvormi, millel on krüpteeritud ühendused (TLS/DTLS/SRTP) ja ranged juurdepääsukontrollid.

Konsultatsioonide salvestused

Videovastuvõtteid ja/või vestlusi võib salvestada ainult siis, kui see on vajalik:

Kliinilise ohutuse tagamiseks
Kvaliteedi tagamiseks
Patsientide ohutusega seotud koolituseks
Vaidluste või kaebuste käsitlemiseks (näiteks kui kasutaja või arst vaidlustab, mida konsultatsiooni käigus öeldi)

Säilitamise periood: 90 päeva

Salvestused hoitakse turvaliselt piiratud säilitamisperioodi jooksul 90 päeva, pärast mida need kustutatakse automaatselt, välja arvatud juhul, kui pikemat säilitamist nõuab avatud kaebus, juriidiline kohustus või käimasolev uurimine. See järgib GDPR-i/UK GDPR-i säilitamise piirangu põhimõtet.

Olulised kaitsemeetmed

Salvestustele on juurdepääs rangelt piiratud määratud arstile ja volitatud vastavuse või vaidluste lahendamise töötajatele, järgides RBAC-i ja täielikku auditeerimise logimist.
Salvestusi ei kasutata kunagi turunduseks, profileerimiseks ega muuks mitteseotud otstarbeks.
Kasutajaid teavitatakse enne konsultatsiooni algust, et salvestamine võib toimuda, salvestamise eesmärgist ja säilitamisperioodist.

9. Andmelekkekaitse

Meie reageerimisprotokoll

Andmelekkekorral teavitab Transtoyou:

Teavita ametivõime

Teavitab asjakohast andmekaitseasutust (nt Andmekaitse Inspektsioon Eestis) 72 tunni jooksul, nagu on nõutud GDPR-i artiklites 33 ja 34.

Teavita mõjutatud kasutajaid

Kui isikutele on suur risk, teavitatakse neid otseselt.

Põhjusanalüüs

Pärast iga juhtumit viiakse läbi põhjusanalüüs, koos koheselt rakendatud parandavad meetmed.

10. Sisejulgeoleku meetmed

Ligipääsuõiguste ülevaatus

Ligipääsuõigusi vaadatakse regulaarselt üle ja koheselt rolli muutumise või lõpetamise korral.

Turvakoolitus

Turvateadlikkuse ja privaatsuse koolitus on kohustuslik kõigile töötajatele, kellel on juurdepääs isiklikele või meditsiinilistele andmetele.

Regulaarsed uuendused

Turvapoliitika ja tehnilised kontrollid vaadatakse regulaarselt üle ja uuendatakse.

11. Andmete töötlemise lepingud ja alltöövõtjad

Transtoyou on sõlminud Andmete töötlemise lepingud (DPA-d) kõigi kolmandate osapoolte töötlejatega (sealhulgas hostiteenuse pakkujatega, ID-kontrolli teenuse pakkujatega, apteekide, arstide ja turundustööriistadega).
Alltöövõtjad võivad andmeid töödelda ainult Transtoyou juhiste ja järelevalve all.
Praegune alltöövõtjate nimekiri on saadaval nõudmisel aadressil: privacy@transtoyou.com

12. Andmete töötlemise tegevuste register (Art. 30 GDPR)

Transtoyou peab sisemist Töötlemise tegevuste register (ROPA) vastavalt GDPR-i artiklile 30.

See register sisaldab:

Kõiki töötlemise tegevusi
Eesmärgid
Isikuandmete kategooriad
Töötlejad
Salvestamise asukohad
Säilitamise perioodid
Rakendatud turvameetmed

See on järelevalveasutustele kergesti kättesaadav nõudmisel.

13. Andmekaitse mõju hindamised (DPIA)

Transtoyou viib kõigi meditsiiniliste või tundlike isikuandmete töötlemise puhul regulaarselt läbi Andmekaitse mõju hindamised (DPIAd) vastavalt GDPR artikli 35 nõuetele.

DPIAd viiakse läbi ka enne uute tehnoloogiate või töövoogude kasutuselevõttu, mis toovad kaasa kõrgendatud privaatsusriskid.

14. Sisemine privaatsuse ametnik (mitte-DPO)

Transtoyou ei ole seaduslikult kohustatud määrama andmekaitse ametnikku (DPO) vastavalt GDPR artikli 37 nõuetele, kuna tegutseme meditsiinilise professionaalse konfidentsiaalsuse alusel.

Kuid oleme määranud sisemine privaatsuse ametnik, et jälgida:

Privaatsuse nõuetele vastavus
Meie töötlemise registri haldamine
DPIA-de läbiviimine
Töötleja lepingute ülevaatus

See isik tegutseb peamise kontaktpunktina privaatsuse küsimustes ning toetab auditeid, rikkumistele reageerimist ja riskide vähendamist.

Küsimused või murede teatamine

Kui teil on küsimusi andmete turvalisuse kohta või soovite teatada (kahtlustatavast) haavatavusest, palun võtke meiega ühendust:

Privaatsuse ja turvalisuse meeskond

Turvalisuse küsimuste ja murede jaoks:
privacy@transtoyou.com

Teata haavatavusest

Kas leidsid turvaprobleemi? Anna meile teada:
privacy@transtoyou.com

Teie turvalisus on meie prioriteet

Investeerime pidevalt teie isiku- ja meditsiiniliste andmete kaitsmisse tipptasemel turvameetmetega.

Privaatsuspoliitika GDPR õigused

Tüüp

Hinna vahemik

Seksuaaltervis ja jõudlus

Hormonaalne tervis ja vitaalsus

Juuste ja peanaha hooldus

Rasestumisvastased vahendid

Hormonaalne ja reproduktiivtervis

Vaginaalne ja menstruaalne tervis

Üleminek ja hormoonhooldus

Terviselahendused

Vaimne ja üldine tugi

Valu ja taastumine

Kroonilised ja metaboolsed haigused

Allergia, infektsioon ja kuseteed

Dermatoloogia ja intiim

Toe ülevaade

Sinu tasuta eHealthi tööriistad

Transtoyou eHealthist

Transtoyou sotsiaalmeedia