1. Tietojen salaus

Tietojen siirto

Kaikki verkkosivustomme ja sovellustemme kautta siirretty tieto (esim. lääketieteelliset tiedot, henkilöllisyyden vahvistamiseen liittyvät tiedot, tilitiedot ja tilaukset) on salattu käyttäen TLS 1.2 tai uudempi.

Tieto levossa

Tieto, joka on tallennettu tietokantoihimme ja varmuuskopioihimme, on salattu käyttäen AES-256 tai vastaavaa alan standardin mukaista salausta.

Huipputeknologian turvallisuus

Nämä toimenpiteet noudattavat "huipputeknologian" turvallisuusstandardia, joka vaaditaan GDPR:n / UK GDPR:n artiklassa 32.

2. Palvelinpaikat ja hosting

EU-tietojen hosting

Kaikki EU-käyttäjien henkilökohtaiset tiedot isännöidään yksinomaan palvelimilla, jotka sijaitsevat Euroopan talousalue (ETA).

Sertifioidut tietokeskukset

Transtoyou käyttää sertifioituja tietokeskuksia, jotka ovat ISO 27001:n, SOC 2:n alaisia ja noudattavat kaikkia asiaankuuluvia GDPR-vaatimuksia.

Kansainväliset siirrot

Henkilötietoja ei siirretä EEA:n ulkopuolelle, ellei tämä tapahdu seuraavien perusteella:

Vakiomuotoiset sopimuslausekkeet (SCC)
Euroopan komission riittävyyspäätös
Rekisteröidyn henkilön nimenomainen suostumus

3. Käyttäjätietojen pääsy ja siirrettävyys (EU:n tietolaki)

Käyttäjät voivat käyttää, ladata ja viedä tilinsä ja palvelun tuottamat tiedot suoraan Transtoyou-hallintapaneelinsa kautta.

Mikäli teknisesti mahdollista, käyttäjät voivat myös pyytää, että Transtoyou siirtää nämä tiedot kolmannelle osapuolelle, jonka käyttäjä on nimennyt, soveltuvien EU:n tietojen pääsy- ja siirrettävyys sääntöjen mukaisesti, mukaan lukien EU:n tietolaki, mikäli se on relevanttia.

Pääsy tietoihisi

Lataa ja vie tietosi suoraan hallintapaneelistasi.

Siirry hallintapaneeliin

4. Henkilöllisyyden vahvistaminen (henkilökorttitarkistus)

Transtoyou saattaa vaatia kertaluonteista henkilöllisyyden vahvistamista seuraaville:

Korkean riskin reseptireitit

Transsukupuolisten terveydenhuoltopolut, joissa laki tai turvallisuusstandardit sitä vaativat

Epäilty väärinkäyttö, petosindikaattorit tai epäjohdonmukaiset lääketieteelliset tiedot

Sääntely- tai apteekkivelvoitteet

Miten henkilöllisyyden vahvistaminen toimii

Henkilöllisyyden tarkistus sisältää voimassa olevan valtion myöntämän henkilöllisyystodistuksen automaattisen tunnistamisen ja kasvojentunnistuksen henkilöllisyyden vahvistamiseksi.

Biometriset tiedot käsitellään vain kertaluonteista henkilöllisyyden vahvistamista, petosten ehkäisyä ja turvallista reseptin kirjoittamista varten. Sitä ei käytetä markkinointiin, profilointiin tai muuhun tarkoitukseen.

Biometristen tietojen käsittelyn oikeudellinen peruste perustuu GDPR:n / UK GDPR:n artiklaan 9(2) yhdessä artiklan 6(1) kanssa, jota tukevat DPIA:t, tiukka tarkoitusrajoitus ja säilytyssäännöt.

Kolmannen osapuolen vahvistus

Henkilöllisyyden vahvistus suoritetaan erikoistuneen kolmannen osapuolen toimittajan toimesta, joka toimii Transtoyoun puolesta.

Transtoyou ei tallenna kopiota henkilöllisyystodistuksesta. Saamme vain vahvistustilan ja rajoitetut metatiedot, jotka ovat tarpeen vaatimustenmukaisuuden ja petosten ehkäisyn kannalta.

Toimittajan säilytys on rajoitettu siihen, mitä laki vaatii, ja sitä säätelee tietojenkäsittelysopimuksemme.

5. Kaksivaiheinen tunnistautuminen (2FA)

Henkilöstö, lääkärit ja apteekit

Pakollinen

Kaksivaiheinen tunnistautuminen on pakollinen kaikissa kirjautumisissa, mikä vastaa parhaita käytäntöjä lääketietojen suojaamiseksi.

Asiakkaat

Valinnainen mutta suositeltava

Kaksivaiheinen tunnistautuminen on valinnainen, mutta erittäin suositeltava. Kun se on otettu käyttöön, toinen tunnistautumisen vaihe (esim. SMS) vaaditaan kirjautumisessa tai tilauksen tekemisessä.

6. Arkaluontoiset toiminnot ja pääsynhallinta

Lääketieteelliset tarkastukset ja reseptin hyväksynnät suoritetaan vain laillistetut lääkärit, jotka on kirjautunut kaksivaiheisella tunnistautumisella, ja pääsy rajoitetaan vain tarvittaviin potilastietoihin.
Lääkäreiltä ei vaadita lisätunnistautumista (esim. biometria) arkaluontoisissa toiminnoissa, mutta tiukka Roolipohjainen pääsynhallinta (RBAC) on käytössä.
Jokainen pääsy potilastietoihin on kirjattu ja auditoitavissa.

7. Audit-lokit ja pääsyn rekisteröinti

Kattava lokitus

Transtoyou ylläpitää lokitietoja kaikesta pääsystä vastaanottotietoihin, resepteihin, henkilöllisyyden vahvistamiseen ja käyttäjätietoihin.

Säännöllinen tarkastus

Lokit tarkastetaan säännöllisesti luvattoman pääsyn tai poikkeavuuksien havaitsemiseksi.

Rajoitettu pääsy

Vain valtuutetuilla henkilöillä, joilla on määritelty operatiivinen rooli, on pääsy potilastietoihin.

8. Etävastaanoton ja chatin turvallisuus

Turvallinen vastaanottoplatformi

Transtoyou käyttää turvallista videovastaanotto- ja chat-alustaa, jossa on salatut yhteydet (TLS/DTLS/SRTP) ja tiukat pääsyvalvonnat.

Vastaanottotallenteet

Videon ja/tai chatin vastaanotot voidaan tallentaa vain, jos se on tarpeen:

Kliininen turvallisuus
Laatutakuu
Koulutus potilasturvallisuuteen liittyen
Riitojen tai valitusten käsittely (esimerkiksi jos käyttäjä tai lääkäri kiistää, mitä vastaanotolla on sanottu)

Säilytysaika: 90 päivää

Tallenteet säilytetään turvallisesti rajoitetun säilytysajan, 90 päivän, ajan, jonka jälkeen ne poistetaan automaattisesti, ellei pidempää säilytysaikaa vaadita avoimen valituksen, lakisääteisen velvoitteen tai käynnissä olevan tutkimuksen vuoksi. Tämä noudattaa GDPR:n/UK GDPR:n säilytysrajoituksia.

Tärkeitä turvatoimia

Pääsy tallenteisiin on tiukasti rajoitettu nimetyille lääkäreille ja valtuutetuille vaatimustenmukaisuus- tai riidanratkaisuhenkilöstölle, RBAC:n ja täydellisen auditointilokauksen alaisena.
Tallenteita ei koskaan käytetä markkinointiin, profilointiin tai muuhun asiaan liittymättömään tarkoitukseen.
Käyttäjiä tiedotetaan ennen vastaanoton alkua, että tallennusta voi tapahtua, tallennuksen tarkoituksesta ja säilytysajasta.

9. Tietomurtojen suojaaminen

Vastausprotokollamme

Tietomurron sattuessa Transtoyou:

Ilmoita viranomaisille

Ilmoittaa asianomaiselle tietosuojaviranomaiselle (esim. Andmekaitse Inspektsioon Virossa) 72 tunnin kuluessa, kuten vaaditaan GDPR:n artikloissa 33 ja 34.

Ilmoita Vaikuttaville Käyttäjille

Jos yksilöille on suuri riski, heidät ilmoitetaan suoraan.

Perimmäinen Syyn Analyysi

Perimmäinen syyn analyysi tehdään jokaisen tapauksen jälkeen, korjaavat toimenpiteet toteutettu välittömästi.

10. Sisäiset Turvatoimet

Käyttöoikeuksien Tarkistus

Käyttöoikeuksia tarkistetaan säännöllisesti ja välittömästi roolin muutoksen tai päättymisen yhteydessä.

Turvallisuuskoulutus

Turvallisuustietoisuus ja yksityisyyskoulutus ovat pakollisia kaikille henkilöstön jäsenille, joilla on pääsy henkilökohtaisiin tai lääketieteellisiin tietoihin.

Säännölliset päivitykset

Turvallisuuspolitiikkaa ja teknisiä hallintakeinoja tarkastellaan ja päivitetään säännöllisesti.

11. Henkilötietojen käsittelysopimukset ja alihankkijat

Transtoyou on allekirjoittanut Henkilötietojen käsittelysopimukset (DPA) kaikkien kolmansien osapuolten käsittelijöiden (mukaan lukien hosting-palveluntarjoajat, henkilöllisyyden vahvistuspalvelut, apteekit, lääkärit ja markkinointityökalut) kanssa.
Alihankkijat voivat käsitellä tietoja vain Transtoyoun ohjeiden ja valvonnan alaisena.
Ajantasainen lista alihankkijoista on saatavilla pyynnöstä osoitteessa: privacy@transtoyou.com

12. Käsittelytoimien rekisteri (Art. 30 GDPR)

Transtoyou ylläpitää sisäistä Käsittelytoimien rekisteri (ROPA):n rekisteriä GDPR:n 30. artiklan mukaisesti.

Tämä rekisteri sisältää:

Kaikki käsittelytoimet
Tarkoitukset
Henkilötietoluokat
Käsittelijät
Säilytyspaikat
Säilytysaikajaksot
Käytetyt turvatoimet

Se on saatavilla valvontaviranomaisille pyynnöstä.

13. Tietosuojavaikutusten arvioinnit (DPIA)

Kaikessa lääketieteellisten tai arkaluontoisten henkilötietojen käsittelyssä Transtoyou suorittaa säännöllisesti Tietosuojavaikutusten arvioinnit (DPIA) artiklan 35 mukaisesti GDPR:ssä.

DPIA:ita tehdään myös ennen uusien teknologioiden tai työprosessien käyttöönottoa, jotka aiheuttavat kohonnutta yksityisyysriskiä.

14. Sisäinen tietosuojavastaava (ei-DPO)

Transtoyou ei ole lain mukaan velvollinen nimeämään tietosuojavastaavaa (DPO) GDPR:n artiklan 37 mukaisesti, koska toimimme lääketieteellisen ammatillisen salassapidon alaisena.

Olemme kuitenkin nimenneet sisäinen tietosuojavastaava valvomaan:

Yksityisyysvaatimusten noudattaminen
Käsittelyrekisterimme ylläpito
DPIA:iden toteuttaminen
Käsittelijäsopimusten tarkastaminen

Tämä henkilö toimii pääasiallisena yhteyshenkilönä tietosuoja-asioissa ja tukee auditointeja, tietomurtoihin vastaamista ja riskienhallintaa.

Kysymyksiä tai huolenaiheiden ilmoittaminen

Jos sinulla on kysymyksiä tietoturvasta tai haluat ilmoittaa (epäillystä) haavoittuvuudesta, ota meihin yhteyttä:

Tietosuoja- ja turvallisuustiimi

Turvallisuuskysymyksissä ja huolenaiheissa:
privacy@transtoyou.com

Ilmoita haavoittuvuudesta

Löysitkö turvallisuusongelman? Kerro meille:
privacy@transtoyou.com

Turvallisuutesi on meille tärkeintä

Investoimme jatkuvasti henkilökohtaisten ja lääketieteellisten tietojesi suojaamiseen huipputeknologian turvatoimilla.

Tietosuojakäytäntö GDPR-oikeudet

Tyyppi

Hintahaarukka

Seksuaaliterveys ja suorituskyky

Hormoniterveys ja elinvoimaisuus

Hiusten ja päänahan hoito

Ehkäisy

Hormonaalinen ja lisääntymisterveys

Vaginaalinen ja kuukautisterveys

Transitiot ja hormoniterapia

Tukevat terveysratkaisut

Mielenterveys ja yleinen tuki

Kipu ja toipuminen

Krooniset ja metaboliset

Allergia, infektio & virtsatiet

Ihotauti ja intiimi

Tukiyhteenveto

Sinun ilmaiset eHealth-työkalut

Tietoa Transtoyou eHealthista

Transtoyou sosiaalinen media