1. Datakryptering
Data under overføring
All data som overføres via nettstedet vårt og appene våre (f.eks. medisinsk informasjon, identitetsverifisering, kontodata og bestillinger) er kryptert med TLS 1.2 eller høyere.
Data i hvile
Data lagret i databasene våre og sikkerhetskopier er kryptert med AES-256 eller tilsvarende bransjestandard kryptografi.
Sikkerhet på høyeste nivå
Disse tiltakene følger den "state of the art" sikkerhetsstandarden som kreves av artikkel 32 i GDPR / UK GDPR.
2. Serverlokasjoner og hosting
EU Databehandling
All personlig data fra EU-brukere blir hostet eksklusivt på servere innenfor Det europeiske økonomiske samarbeidsområdet (EØS).
Sertifiserte datasentre
Transtoyou bruker datasentre sertifisert under ISO 27001, SOC 2, og i samsvar med alle relevante GDPR-krav.
Internasjonale overføringer
Ingen personopplysninger overføres utenfor EØS, med mindre dette skjer under:
- Standard kontraktsvilkår (SCC)
- En tilstrekkelighetsbeslutning fra Europakommisjonen
- Det eksplisitte samtykket fra den registrerte
3. Brukerdata tilgang og portabilitet (EU Data Act)
Brukere kan få tilgang til, laste ned og eksportere sine konto- og tjeneste-genererte data direkte gjennom sin Transtoyou-dashbord.
Der det er teknisk mulig, kan brukere også be om at Transtoyou overfører disse dataene til en tredjepart utpekt av brukeren, i samsvar med gjeldende EU-regler for data tilgang og portabilitet, inkludert EU Data Act der det er relevant.
Få tilgang til dataene dine
Last ned og eksporter dataene dine direkte fra dashbordet.
Gå til dashbordet4. Identitetsverifisering (ID-sjekk)
Transtoyou kan kreve engangs identitetsverifisering for:
Slik fungerer identitetsverifisering
ID-kontrollen innebærer automatisk gjenkjenning av et gyldig statlig utstedt ID og et ansiktsmatch for å bekrefte identiteten.
Biometriske data behandles utelukkende for engangs identitetsverifisering, forebygging av svindel og sikker forskrivning. Det brukes ikke til markedsføring, profilering eller noe annet formål.
Det rettslige grunnlaget for biometrisk behandling er basert på artikkel 9(2) GDPR / UK GDPR sammen med artikkel 6(1), støttet av DPIA-er, strenge formålsbegrensninger og oppbevaringsregler.
Tredjepartsverifisering
Identitetsverifisering utføres av en spesialisert tredjepartsleverandør som fungerer som databehandler på vegne av Transtoyou.
Transtoyou lagrer ikke en kopi av ID-dokumentet. Vi mottar kun en verifiseringsstatus og begrenset metadata som er nødvendig for overholdelse og forebygging av svindel.
Leverandørens oppbevaring er begrenset til det som er lovlig påkrevd og regulert av vår databehandlingsavtale.
5. To-faktorautentisering (2FA)
Ansatte, leger og apotek
Obligatorisk2FA er obligatorisk for alle innlogginger, i tråd med beste praksis for å sikre tilgang til medisinske data.
Kunder
Valgfritt, men anbefalt2FA er valgfritt, men sterkt anbefalt. Når det er aktivert, kreves et andre autentiseringstrinn (f.eks. SMS) ved innlogging eller når du legger inn en bestilling.
6. Sensitive operasjoner og tilgangskontroller
- Medisinske vurderinger og reseptgodkjenninger utføres kun av autoriserte leger innlogget via 2FA, med tilgang begrenset til kun de nødvendige pasientdataene.
- Ingen ytterligere re-autentisering (f.eks. biometrikk) håndheves for leger under sensitive handlinger, men strenge Rollebasert tilgangskontroll (RBAC) er på plass.
- Hver tilgang til medisinske journaler er logget og reviderbar.
7. Revisjonslogger og tilgangsregistrering
Omfattende logging
Transtoyou opprettholder logger over all tilgang til konsultasjonsdata, resepter, identitetsverifisering og brukeropplysninger.
Regelmessig gjennomgang
Logger gjennomgås periodisk for å oppdage uautorisert tilgang eller avvik.
Begrenset tilgang
Kun autoriserte personer med en definert operasjonell rolle kan få tilgang til medisinske journaler.
8. Sikkerhet for videokonsultasjoner og chat
Sikker konsultasjonsplattform
Transtoyou bruker en sikker videokonsultasjons- og chatplattform med krypterte forbindelser (TLS/DTLS/SRTP) og strenge tilgangskontroller.
Opptak av konsultasjoner
Videokonsultasjoner og/eller chat kan kun bli tatt opp der det er nødvendig for:
- Klinisk sikkerhet
- Kvalitetssikring
- Opplæring relatert til pasientsikkerhet
- Håndtering av tvister eller klager (for eksempel hvis en bruker eller lege bestrider hva som ble sagt under en konsultasjon)
Oppbevaringsperiode: 90 dager
Opptakene lagres sikkert i en begrenset periode på 90 dager, hvoretter de automatisk slettes, med mindre en lengre lagring er nødvendig på grunn av en åpen klage, juridisk forpliktelse eller pågående etterforskning. Dette følger prinsippet om lagringsbegrensning i GDPR/UK GDPR.
Viktige sikkerhetstiltak
- Tilgang til opptak er strengt begrenset til den tildelte legen og autorisert personell for overholdelse eller tvisteløsning, under RBAC og full revisjonslogging.
- Opptak brukes aldri til markedsføring, profilering eller andre urelaterte formål.
- Brukere informeres før konsultasjonen starter om at opptak kan forekomme, formålet med opptaket og lagringsperioden.
9. Beskyttelse mot datainnbrudd
Vår responsprotokoll
I tilfelle av et datainnbrudd, Transtoyou:
Varsle myndighetene
Varsler den relevante databeskyttelsesmyndigheten (f.eks. Andmekaitse Inspektsioon i Estland) innen 72 timer, som krevd i henhold til artiklene 33 og 34 i GDPR.
Varsle Berørte Brukere
Hvis det er høy risiko for enkeltpersoner, vil de bli varslet direkte.
Rotårsaksanalyse
En rotårsaksanalyse gjennomføres etter hver hendelse, med korrektive tiltak iverksatt umiddelbart.
10. Interne Sikkerhetstiltak
Gjennomgang av Tilgangsrettigheter
Tilgangsrettigheter gjennomgås jevnlig og umiddelbart ved endring av rolle eller oppsigelse.
Sikkerhetstrening
Opplæring i sikkerhetsbevissthet og personvern er obligatorisk for alt personell med tilgang til personlige eller medisinske data.
Regelmessige oppdateringer
Sikkerhetspolicyer og tekniske kontroller gjennomgås og oppdateres jevnlig.
11. Databehandlingsavtaler og underleverandører
- Transtoyou har signert Databehandlingsavtaler (DPAer) med alle tredjeparts behandlere (inkludert hostingleverandører, ID-verifiseringsleverandører, apotek, leger og markedsføringsverktøy).
- Underleverandører kan kun behandle data etter Transtoyous instruksjoner og tilsyn.
- En oppdatert liste over underleverandører er tilgjengelig på forespørsel via: privacy@transtoyou.com
12. Oversikt over behandlingsaktiviteter (Art. 30 GDPR)
Transtoyou opprettholder en intern Oversikt over behandlingsaktiviteter (ROPA) i samsvar med artikkel 30 i GDPR.
Denne oversikten inkluderer:
- Alle behandlingsaktiviteter
- Formål
- Kategorier av personopplysninger
- Behandlere
- Lagringssteder
- Oppbevaringsperioder
- Anvendte sikkerhetstiltak
Det er tilgjengelig for tilsynsmyndigheter på forespørsel.
13. Vurderinger av personvernkonsekvenser (DPIA)
For all behandling av medisinske eller sensitive personopplysninger, gjennomfører Transtoyou regelmessig Vurderinger av personvernkonsekvenser (DPIA) i samsvar med artikkel 35 i GDPR.
DPIA-er utføres også før innføring av ny teknologi eller arbeidsflyter som medfører økte personvernsrisikoer.
14. Intern personvernansvarlig (ikke-DPO)
Transtoyou er ikke juridisk forpliktet til å utnevne en personvernansvarlig (DPO) i henhold til artikkel 37 i GDPR, da vi opererer under medisinsk profesjonell taushetsplikt.
Vi har imidlertid utnevnt en intern personvernansvarlig for å overvåke:
- Overholdelse av personvern
- Vedlikehold av vårt behandlingsregister
- Gjennomføring av DPIA-er
- Gjennomgang av databehandleravtaler
Denne personen fungerer som hovedkontakt for personvernsaker og støtter revisjoner, bruddrespons og risikoredusering.
Spørsmål eller rapportering av bekymringer
Hvis du har spørsmål om datasikkerhet, eller ønsker å rapportere en (mistenkt) sårbarhet, vennligst kontakt oss:
Personvern- og sikkerhetsteam
For sikkerhetsspørsmål og bekymringer:
privacy@transtoyou.com
Rapporter en sårbarhet
Fant du et sikkerhetsproblem? Gi oss beskjed:
privacy@transtoyou.com
Din sikkerhet er vår prioritet
Vi investerer kontinuerlig i å beskytte dine personlige og medisinske data med toppmoderne sikkerhetstiltak.
