1. Gegevensversleuteling

Gegevens tijdens verzending

Alle gegevens die via onze website en apps worden verzonden, zoals medische informatie, identiteitsverificatiegegevens, accountgegevens en bestellingen, zijn versleuteld met TLS 1.2 of hoger.

Gegevens in rust

Gegevens die zijn opgeslagen in onze databases en back-ups zijn versleuteld met AES-256 of gelijkwaardige cryptografie volgens de geldende industrienormen.

State-of-the-art beveiliging

Deze maatregelen volgen de state-of-the-art beveiligingsnorm zoals vereist volgens Artikel 32 AVG / UK GDPR.

2. Serverlocaties en hosting

EU-gegevenshosting

Alle persoonsgegevens van EU-gebruikers worden uitsluitend gehost op servers binnen de Europese Economische Ruimte (EER).

Gecertificeerde datacenters

Transtoyou maakt gebruik van datacenters die gecertificeerd zijn volgens ISO 27001, SOC 2 en voldoen aan alle relevante AVG-vereisten.

Internationale overdrachten

Er worden geen persoonsgegevens buiten de EER doorgegeven, tenzij dit gebeurt op basis van:

Standaard Contractuele Clausules (SCC’s)
Een adequaatheidsbesluit van de Europese Commissie
De expliciete toestemming van de betrokkene

3. Toegang tot en overdraagbaarheid van gebruikersgegevens (EU Data Act)

Gebruikers kunnen hun accountgegevens en door de dienst gegenereerde gegevens direct via hun Transtoyou-dashboard bekijken, downloaden en exporteren.

Waar dit technisch mogelijk is, kunnen gebruikers ook verzoeken dat Transtoyou deze gegevens overdraagt aan een door de gebruiker aangewezen derde partij, in lijn met de toepasselijke EU-regels voor gegevenstoegang en overdraagbaarheid, inclusief de EU Data Act waar relevant.

Toegang tot je gegevens

Download en exporteer je gegevens direct vanuit je dashboard.

Ga naar dashboard

4. Identiteitsverificatie (ID-controle)

Transtoyou kan een eenmalige identiteitsverificatie vereisen voor:

Voorschrijftrajecten met een hoger risico

Transgenderzorgtrajecten waar dit wettelijk of op basis van veiligheidsnormen vereist is

Vermoeden van misbruik, signalen van fraude of tegenstrijdige medische informatie

Verplichtingen vanuit wet- en regelgeving of vanuit de apotheek

Hoe identiteitsverificatie werkt

De ID-controle omvat geautomatiseerde herkenning van een geldig, door de overheid uitgegeven identiteitsbewijs en een gezichtsvergelijking om de identiteit te bevestigen.

Biometrische gegevens wordt uitsluitend verwerkt voor eenmalige identiteitsverificatie, fraudepreventie en veilig voorschrijven. Het wordt niet gebruikt voor marketing, profilering of andere doeleinden.

De juridische basis voor de verwerking van biometrische gegevens is gebaseerd op Artikel 9(2) GDPR / UK GDPR in combinatie met Artikel 6(1), ondersteund door DPIA’s, strikte doelbinding en bewaartermijnen.

Verificatie door een derde partij

Identiteitsverificatie wordt uitgevoerd door een gespecialiseerde derde partij die als verwerker optreedt namens Transtoyou.

Transtoyou bewaart geen kopie van het identiteitsbewijs. Wij ontvangen alleen een verificatiestatus en beperkte metadata die nodig zijn voor naleving en fraudepreventie.

De bewaartermijn bij de leverancier is beperkt tot wat wettelijk verplicht is en wordt geregeld in onze gegevensverwerkingsovereenkomst.

5. Twee-factor-authenticatie (2FA)

Personeel, artsen en apotheken

Verplicht

2FA is verplicht voor alle inlogmomenten, in lijn met best practices voor het beveiligen van toegang tot medische gegevens.

Klanten

Optioneel maar aanbevolen

2FA is optioneel, maar wordt sterk aanbevolen. Zodra het is ingeschakeld, is een tweede verificatiestap, zoals sms, vereist bij het inloggen of plaatsen van een bestelling.

6. Gevoelige handelingen en toegangscontroles

Medische beoordelingen en goedkeuringen van recepten worden alleen uitgevoerd door bevoegde artsen die zijn ingelogd via 2FA, waarbij toegang beperkt is tot alleen de noodzakelijke patiëntgegevens.
Er is geen extra herauthenticatie, zoals biometrie, vereist voor artsen tijdens gevoelige handelingen, maar er gelden strikte Rolgebaseerde toegangscontrole (RBAC).
Elke toegang tot medische dossiers is gelogd en controleerbaar.

7. Auditlogs en toegangsregistratie

Uitgebreide logging

Transtoyou houdt logs bij van alle toegang tot consultatiegegevens, recepten, identiteitsverificatie en gebruikersdossiers.

Regelmatige controle

Logs worden periodiek gecontroleerd om ongeautoriseerde toegang of afwijkingen op te sporen.

Beperkte toegang

Alleen geautoriseerde personen met een duidelijk gedefinieerde operationele rol mogen toegang hebben tot medische dossiers.

8. Beveiliging van video- en chatconsulten

Veilig consultatieplatform

Transtoyou maakt gebruik van een veilig platform voor video- en chatconsulten met versleutelde verbindingen (TLS/DTLS/SRTP) en strikte toegangscontroles.

Opnames van consulten

Video- en/of chatconsulten mogen alleen worden opgenomen wanneer dat nodig is voor:

Klinische veiligheid
Kwaliteitsborging
Training in het kader van patiëntveiligheid
Afhandeling van geschillen of klachten, bijvoorbeeld wanneer een gebruiker of arts betwist wat er tijdens een consult is gezegd

Bewaartermijn: 90 dagen

Opnames worden veilig opgeslagen voor een beperkte bewaartermijn van 90 dagen en daarna automatisch verwijderd, tenzij een langere bewaartermijn nodig is vanwege een lopende klacht, wettelijke verplichting of doorlopend onderzoek. Dit volgt het beginsel van opslagbeperking volgens de GDPR / UK GDPR.

Belangrijke waarborgen

Toegang tot opnames is strikt beperkt tot de toegewezen arts en geautoriseerd personeel voor compliance of geschilafhandeling, onder RBAC en volledige auditlogging.
Opnames worden nooit gebruikt voor marketing, profilering of andere niet-gerelateerde doeleinden.
Gebruikers worden vóór aanvang van het consult geïnformeerd dat er mogelijk een opname wordt gemaakt, met uitleg over het doel van de opname en de bewaartermijn.

9. Bescherming tegen datalekken

Ons responsprotocol

In het geval van een datalek doet Transtoyou het volgende:

Autoriteiten informeren

Meldt de relevante gegevensbeschermingsautoriteit, zoals Andmekaitse Inspektsioon in Estland, binnen 72 uur, zoals vereist onder artikelen 33 en 34 van de GDPR.

Betrokken gebruikers informeren

Als er een hoog risico is voor betrokkenen, worden zij direct geïnformeerd.

Oorzaakanalyse

Na ieder incident wordt een oorzaakanalyse uitgevoerd, waarbij direct corrigerende maatregelen worden genomen.

10. Interne beveiligingsmaatregelen

Beoordeling van toegangsrechten

Toegangsrechten worden regelmatig beoordeeld en direct aangepast bij een wijziging van rol of uitdiensttreding.

Beveiligingstraining

Training op het gebied van beveiligingsbewustzijn en privacy is verplicht voor al het personeel dat toegang heeft tot persoonsgegevens of medische gegevens.

Regelmatige updates

Beveiligingsbeleid en technische controles worden regelmatig beoordeeld en bijgewerkt.

11. Gegevensverwerking en subverwerkers

Transtoyou heeft verwerkingsovereenkomsten afgesloten met alle derde partijen, waaronder hostingproviders, leveranciers voor ID-verificatie, apotheken, artsen en marketingtools.
Subverwerkers mogen gegevens alleen verwerken onder instructie en toezicht van Transtoyou.
Een actuele lijst van subverwerkers is op aanvraag beschikbaar via: privacy@transtoyou.com

12. Register van verwerkingsactiviteiten (Art. 30 AVG)

Transtoyou houdt intern een Register van verwerkingsactiviteiten (ROPA) bij in overeenstemming met Artikel 30 van de AVG.

Dit register omvat:

Alle verwerkingsactiviteiten
Doeleinden
Categorieën van persoonsgegevens
Verwerkers
Opslaglocaties
Bewaartermijnen
Toegepaste beveiligingsmaatregelen

Het is op verzoek beschikbaar voor toezichthoudende autoriteiten.

13. Privacy impact assessments (DPIA)

Voor alle verwerking van medische of gevoelige persoonsgegevens voert Transtoyou regelmatig Privacy impact assessments (DPIA’s) uit in overeenstemming met Artikel 35 AVG.

DPIA’s worden ook uitgevoerd voordat nieuwe technologieën of processen worden ingevoerd die verhoogde privacyrisico’s met zich meebrengen.

14. Interne privacyfunctionaris (geen DPO)

Transtoyou is wettelijk niet verplicht om een Functionaris voor Gegevensbescherming (DPO) aan te stellen onder Artikel 37 van de AVG, omdat wij werken onder medisch beroepsgeheim.

Wel hebben we een interne privacyfunctionaris aangesteld om toezicht te houden op:

Privacy compliance
Het bijhouden van ons verwerkingsregister
Het uitvoeren van DPIA’s
Het beoordelen van verwerkersovereenkomsten

Deze persoon is het belangrijkste aanspreekpunt voor privacyzaken en ondersteunt audits, datalekrespons en risicobeperking.

Vragen of een zorg melden

Als je vragen hebt over gegevensbeveiliging of een vermoedelijke kwetsbaarheid wilt melden, neem dan contact met ons op:

Privacy- en beveiligingsteam

Voor vragen en zorgen over beveiliging:
privacy@transtoyou.com

Meld een kwetsbaarheid

Een beveiligingsprobleem gevonden? Laat het ons weten:
privacy@transtoyou.com

Jouw veiligheid is onze prioriteit

We investeren voortdurend in de bescherming van jouw persoonlijke en medische gegevens met geavanceerde beveiligingsmaatregelen.

Privacybeleid GDPR-rechten

Type

Prijsbereik

Seksuele Gezondheid & Prestaties

Hormonale Gezondheid & Vitaliteit

Haar & Hoofdhuidverzorging

Anticonceptie

Hormonale & Voortplantingsgezondheid

Vaginale & Menstruele Gezondheid

Transitie & Hormoonzorg

Ondersteunende Gezondheidsoplossingen

Mentale & Algemene Ondersteuning

Pijn & Herstel

Chronisch & Metabool

Allergie, Infectie & Urinewegen

Dermatologie & Intiem

Ondersteuning Overzicht

Jouw Gratis eHealth Tools

Over Transtoyou eHealth

Transtoyou Social Media