1. Datakryptering

Data under överföring

All data som överförs via vår webbplats och appar (t.ex. medicinsk information, identitetsverifieringsuppgifter, kontodata och beställningar) är krypterad med TLS 1.2 eller högre.

Data i vila

Data som lagras i våra databaser och säkerhetskopior är krypterad med AES-256 eller motsvarande branschstandard kryptering.

Säkerhet i världsklass

Dessa åtgärder följer den "state of the art" säkerhetsstandard som krävs av artikel 32 i GDPR / UK GDPR.

2. Serverplatser och hosting

EU-databearbetning

All personlig data från EU-användare lagras uteslutande på servrar inom Europeiska ekonomiska området (EEA).

Certifierade datacenter

Transtoyou använder datacenter som är certifierade enligt ISO 27001, SOC 2, och som uppfyller alla relevanta GDPR-krav.

Internationella överföringar

Inga personuppgifter överförs utanför EES, såvida detta inte sker enligt:

Standardavtalsklausuler (SCC)
Ett adekvansbeslut från Europeiska kommissionen
Det uttryckliga samtycket från den registrerade

3. Användardataåtkomst och portabilitet (EU:s datalag)

Användare kan få åtkomst till, ladda ner och exportera sina konton och tjänstgenererade data direkt via sin Transtoyou-instrumentpanel.

Där det är tekniskt möjligt kan användare också begära att Transtoyou överför dessa data till en tredje part som användaren utser, i enlighet med tillämpliga EU-regler för dataåtkomst och portabilitet, inklusive EU:s datalag där det är relevant.

Åtkomst till dina uppgifter

Ladda ner och exportera dina uppgifter direkt från din instrumentpanel.

Gå till instrumentpanelen

4. Identitetsverifiering (ID-kontroll)

Transtoyou kan kräva en engångsidentitetsverifiering för:

Hög-risk receptvägar

Transpersoners vårdvägar där det krävs enligt lag eller säkerhetsstandarder

Misstänkt missbruk, bedrägeriinformation eller inkonsekvent medicinsk information

Regulatoriska eller apoteksförpliktelser

Hur identitetsverifiering fungerar

ID-kontrollen innebär automatisk igenkänning av ett giltigt statligt utfärdat ID och en ansiktsmatch för att bekräfta identiteten.

Biometriska data behandlas enbart för engångsidentitetsverifiering, bedrägeriförebyggande och säker förskrivning. Det används inte för marknadsföring, profilering eller något annat syfte.

Den rättsliga grunden för biometrisk behandling bygger på artikel 9(2) GDPR / UK GDPR tillsammans med artikel 6(1), stödd av DPIA:er, strikt syftesbegränsning och regler för lagring.

Tredjepartsverifiering

Identitetsverifiering utförs av en specialiserad tredjepartsleverantör som agerar som personuppgiftsbiträde på uppdrag av Transtoyou.

Transtoyou lagrar inte en kopia av ID-dokumentet. Vi får endast en verifieringsstatus och begränsad metadata som är nödvändig för efterlevnad och bedrägeriförebyggande.

Leverantörens lagring är begränsad till vad som lagligt krävs och regleras av vårt avtal om databehandling.

5. Tvåfaktorsautentisering (2FA)

Personal, Läkare och Apotek

Obligatoriskt

2FA är obligatoriskt för alla inloggningar, i enlighet med bästa praxis för att säkra åtkomst till medicinska data.

Kunder

Valfritt men Rekommenderat

2FA är valfritt men starkt rekommenderat. När det är aktiverat krävs ett andra autentiseringssteg (t.ex. SMS) vid inloggning eller när en beställning görs.

6. Känsliga Åtgärder och Åtkomstkontroller

Medicinska granskningar och receptgodkännanden utförs endast av legitimerade läkare inloggade via 2FA, med åtkomst begränsad till endast den nödvändiga patientinformationen.
Ingen ytterligare re-autentisering (t.ex. biometrik) krävs för läkare under känsliga åtgärder, men strikt Rollbaserad åtkomstkontroll (RBAC) är på plats.
Varje åtkomst till medicinska journaler är loggad och granskbar.

7. Granskningsloggar och åtkomstregistrering

Omfattande loggning

Transtoyou upprätthåller loggar över all åtkomst till konsultationsdata, recept, identitetsverifiering och användaruppgifter.

Regelbunden granskning

Loggar granskas periodiskt för att upptäcka obehörig åtkomst eller avvikelser.

Begränsad åtkomst

Endast auktoriserade personer med en definierad operativ roll får åtkomst till medicinska journaler.

8. Säkerhet för videokonsultationer och chatt

Säker konsultationsplattform

Transtoyou använder en säker plattform för videokonsultationer och chatt med krypterade anslutningar (TLS/DTLS/SRTP) och strikta åtkomstkontroller.

Inspelningar av konsultationer

Videokonsultationer och/eller chattkonsultationer kan endast spelas in där det är nödvändigt för:

Klinisk säkerhet
Kvalitetssäkring
Utbildning relaterad till patientsäkerhet
Hantering av tvister eller klagomål (till exempel om en användare eller läkare ifrågasätter vad som sades under en konsultation)

Bevarandeperiod: 90 dagar

Inspelningar lagras säkert under en begränsad tidsperiod av 90 dagar, efter vilken de automatiskt raderas, om inte en längre lagring krävs på grund av en öppen klagomål, rättslig skyldighet eller pågående utredning. Detta följer GDPR/UK GDPR:s princip om lagringsbegränsning.

Viktiga skyddsåtgärder

Åtkomst till inspelningar är strikt begränsad till den tilldelade läkaren och auktoriserad personal för efterlevnad eller tvistlösning, under RBAC och fullständig revisionsloggning.
Inspelningar används aldrig för marknadsföring, profilering eller något orelaterat syfte.
Användare informeras innan konsultationen börjar att inspelning kan ske, syftet med inspelningen och lagringstiden.

9. Skydd mot dataintrång

Vår svarprotokoll

Vid ett dataintrång, Transtoyou:

Meddela myndigheterna

Meddelar den relevanta dataskyddsmyndigheten (t.ex. Andmekaitse Inspektsioon i Estland) inom 72 timmar, som krävs enligt artiklarna 33 och 34 i GDPR.

Meddela Påverkade Användare

Om det finns en hög risk för individer, kommer de att meddelas direkt.

Rotorsaksanalyss

En rotorsaksanalyss genomförs efter varje incident, med åtgärder vidtagna omedelbart.

10. Interna Säkerhetsåtgärder

Granskning av Åtkomsträttigheter

Åtkomsträttigheter granskas regelbundet och omedelbart vid rolländring eller uppsägning.

Säkerhetsträning

Utbildning i säkerhetsmedvetenhet och integritet är obligatorisk för all personal med tillgång till personliga eller medicinska uppgifter.

Regelbundna Uppdateringar

Säkerhetspolicyer och tekniska kontroller granskas och uppdateras regelbundet.

11. Avtal om Databehandling & Underleverantörer

Transtoyou har undertecknat Avtal om Databehandling (DPA) med alla tredjepartsprocessorer (inklusive hostingleverantörer, ID-verifieringsleverantörer, apotek, läkare och marknadsföringsverktyg).
Underleverantörer får endast behandla data under Transtoyous instruktion och övervakning.
En aktuell lista över underleverantörer finns tillgänglig på begäran via: privacy@transtoyou.com

12. Register över Behandlingsaktiviteter (Art. 30 GDPR)

Transtoyou upprätthåller ett internt Register över behandlingsaktiviteter (ROPA) i enlighet med artikel 30 i GDPR.

Detta register inkluderar:

Alla behandlingsaktiviteter
Ändamål
Kategorier av personuppgifter
Behandlare
Lagringsplatser
Bevarandeperioder
Tillämpade säkerhetsåtgärder

Det är tillgängligt för tillsynsmyndigheter på begäran.

13. Konsekvensbedömningar av dataskydd (DPIA)

För all behandling av medicinska eller känsliga personuppgifter genomför Transtoyou regelbundet Konsekvensbedömningar av dataskydd (DPIA) i enlighet med artikel 35 GDPR.

DPIA genomförs också innan nya teknologier eller arbetsflöden introduceras som medför högre integritetsrisker.

14. Interna dataskyddsansvarig (ej DPO)

Transtoyou är inte juridiskt skyldig att utse en dataskyddsombud (DPO) enligt artikel 37 i GDPR, eftersom vi verkar under medicinsk professionell sekretess.

Vi har dock utsett en intern dataskyddsansvarig för att övervaka:

Integritetsöverensstämmelse
Underhåll av vårt behandlingsregister
Genomförande av DPIA:er
Granskning av personuppgiftsbiträdesavtal

Denna person fungerar som huvudkontakt för frågor om integritet och stödjer revisioner, hantering av överträdelser och riskminimering.

Frågor eller rapportering av en oro

Om du har frågor om dataskydd eller vill rapportera en (misstänkt) sårbarhet, vänligen kontakta oss:

Integritets- och säkerhetsteam

För frågor och bekymmer kring säkerhet:
privacy@transtoyou.com

Rapportera en sårbarhet

Har du upptäckt ett säkerhetsproblem? Låt oss veta:
privacy@transtoyou.com

Din säkerhet är vår prioritet

Vi investerar kontinuerligt i att skydda dina personliga och medicinska uppgifter med toppmoderna säkerhetsåtgärder.

Integritetspolicy GDPR-rättigheter

Typ

Prisklass

Sexuell hälsa & prestation

Hormonhälsa & vitalitet

Hår & hårbottenvård

Preventivmedel

Hormon- och reproduktiv hälsa

Vaginal och menstruell hälsa

Transition och hormonvård

Stödjande hälsolösningar

Mental och allmän stöd

Smärta och återhämtning

Kroniska & metabola

Allergi, infektion & urinvägar

Dermatologi & intim

Supportöversikt

Dina gratis eHealth-verktyg

Om Transtoyou eHälsa

Transtoyou sociala medier