1. Datakryptering
Data under överföring
All data som skickas via vår webbplats och våra appar, till exempel medicinsk information, uppgifter för identitetsverifiering, kontouppgifter och beställningar, krypteras med TLS 1.2 eller högre.
Lagrad data
Data som lagras i våra databaser och säkerhetskopior krypteras med AES-256 eller likvärdig kryptering enligt branschstandard.
Modern säkerhet
De här åtgärderna följer den moderna säkerhetsstandard som krävs enligt artikel 32 i GDPR/UK GDPR.
2. Serverplatser och hosting
Datahosting inom EU
Alla personuppgifter för EU-användare lagras uteslutande på servrar inom Europeiska ekonomiska samarbetsområdet (EES).
Certifierade datacenter
Transtoyou använder datacenter som är certifierade enligt ISO 27001 och SOC 2 och som uppfyller relevanta GDPR-krav.
Överföringar till andra länder
Inga personuppgifter överförs utanför EES, om det inte sker med stöd av:
- Standardavtalsklausuler (SCC)
- Ett beslut om adekvat skyddsnivå från EU-kommissionen
- Den registrerades uttryckliga samtycke
3. Åtkomst till användardata och portabilitet (EU Data Act)
Användare kan visa, ladda ner och exportera sina kontouppgifter och tjänstegenererade uppgifter direkt via sin Transtoyou-översikt.
När det är tekniskt möjligt kan användare också be Transtoyou att överföra dessa uppgifter till en tredje part som användaren själv väljer, i linje med gällande EU-regler för dataåtkomst och portabilitet, inklusive EU Data Act där den är relevant.
Visa dina uppgifter
Ladda ner och exportera dina uppgifter direkt från din översikt.
Gå till översikten4. Identitetsverifiering (ID-kontroll)
Transtoyou kan kräva en engångsverifiering av identiteten för:
Så fungerar identitetsverifiering
ID-kontrollen innebär automatisk igenkänning av en giltig myndighetsutfärdad ID-handling och ansiktsmatchning för att bekräfta identiteten.
Biometriska uppgifter behandlas endast för engångsverifiering av identitet, bedrägeriförebyggande arbete och säker förskrivning. Det används inte för marknadsföring, profilering eller något annat syfte.
Den rättsliga grunden för behandling av biometriska uppgifter bygger på artikel 9.2 i GDPR/UK GDPR tillsammans med artikel 6.1, med stöd av DPIA, tydlig ändamålsbegränsning och regler för lagring.
Verifiering via tredje part
Identitetsverifiering görs av en specialiserad tredjepartsleverantör som agerar personuppgiftsbiträde åt Transtoyou.
Transtoyou sparar ingen kopia av ID-handlingen. Vi får bara verifieringsstatus och begränsad metadata som behövs för regelefterlevnad och bedrägeriförebyggande arbete.
Leverantörens lagring är begränsad till det som krävs enligt lag och regleras i vårt personuppgiftsbiträdesavtal.
5. Tvåfaktorsautentisering (2FA)
Personal, läkare och apotek
Obligatoriskt2FA är obligatoriskt vid alla inloggningar, i linje med bästa praxis för att skydda åtkomst till medicinska uppgifter.
Kunder
Valfritt men rekommenderas2FA är valfritt men rekommenderas starkt. När det är aktiverat krävs ett extra verifieringssteg, till exempel SMS, vid inloggning eller när du gör en beställning.
6. Känsliga åtgärder och åtkomstkontroller
- Medicinska bedömningar och receptgodkännanden görs endast av legitimerade läkare som är inloggade med 2FA, med åtkomst begränsad till de patientuppgifter som behövs.
- Ingen extra återautentisering, till exempel biometri, krävs för läkare vid känsliga åtgärder, men strikt Rollbaserad åtkomstkontroll (RBAC) används.
- All åtkomst till medicinska journaler är loggad och kan granskas.
7. Loggar och åtkomstregistrering
Omfattande loggning
Transtoyou för loggar över all åtkomst till konsultationsdata, recept, identitetsverifiering och användaruppgifter.
Regelbunden granskning
Loggar granskas regelbundet för att upptäcka obehörig åtkomst eller avvikelser.
Begränsad åtkomst
Endast behöriga personer med en tydlig operativ roll får åtkomst till medicinska journaler.
8. Säkerhet för video- och chattkonsultationer
Säker konsultationsplattform
Transtoyou använder en säker plattform för video- och chattkonsultationer med krypterade anslutningar (TLS/DTLS/SRTP) och strikta åtkomstkontroller.
Inspelningar av konsultationer
Video- och/eller chattkonsultationer får bara spelas in när det behövs för:
- Medicinsk säkerhet
- Kvalitetssäkring
- Utbildning kopplad till patientsäkerhet
- Hantering av tvister eller klagomål, till exempel om en användare eller läkare ifrågasätter vad som sades under en konsultation
Lagringstid: 90 dagar
Inspelningar lagras säkert under en begränsad period på 90 dagar och raderas sedan automatiskt, om inte längre lagring krävs på grund av ett öppet klagomål, en rättslig skyldighet eller en pågående utredning. Detta följer principen om lagringsminimering i GDPR/UK GDPR.
Viktiga skyddsåtgärder
- Åtkomst till inspelningar är strikt begränsad till ansvarig läkare och behörig personal för regelefterlevnad eller tvistlösning, med RBAC och fullständig loggning.
- Inspelningar används aldrig för marknadsföring, profilering eller andra orelaterade syften.
- Användare informeras innan konsultationen börjar om att inspelning kan ske, varför den kan ske och hur länge inspelningen sparas.
9. Skydd vid personuppgiftsincidenter
Vår åtgärdsplan
Vid en personuppgiftsincident gör Transtoyou följande:
Meddelar myndigheter
Meddelar relevant dataskyddsmyndighet, till exempel Andmekaitse Inspektsioon i Estland, inom 72 timmar enligt artiklarna 33 och 34 i GDPR.
Meddelar berörda användare
Om det finns en hög risk för personer kommer de att meddelas direkt.
Grundorsaksanalys
Efter varje incident görs en grundorsaksanalys och korrigerande åtgärder vidtas direkt.
10. Interna säkerhetsåtgärder
Granskning av åtkomsträttigheter
Åtkomsträttigheter granskas regelbundet och direkt vid rollbyte eller avslutad anställning.
Säkerhetsutbildning
Utbildning i säkerhet och integritet är obligatorisk för all personal som har tillgång till personuppgifter eller medicinska uppgifter.
Regelbundna uppdateringar
Säkerhetspolicyer och tekniska kontroller granskas och uppdateras regelbundet.
11. Personuppgiftsbiträdesavtal och underbiträden
- Transtoyou har tecknat Personuppgiftsbiträdesavtal (DPA) med alla tredjepartsbiträden, inklusive hostingleverantörer, leverantörer för ID-verifiering, apotek, läkare och marknadsföringsverktyg.
- Underbiträden får endast behandla uppgifter enligt Transtoyous instruktioner och under Transtoyous tillsyn.
- En aktuell lista över underbiträden finns på begäran via: privacy@transtoyou.com
12. Register över behandlingar (artikel 30 GDPR)
Transtoyou har ett internt Register över behandlingar (ROPA) enligt artikel 30 i GDPR.
Registret innehåller:
- Alla behandlingar
- Ändamål
- Kategorier av personuppgifter
- Personuppgiftsbiträden
- Lagringsplatser
- Lagringstider
- Tillämpade säkerhetsåtgärder
Det lämnas till tillsynsmyndigheter på begäran.
13. Konsekvensbedömningar avseende dataskydd (DPIA)
För all behandling av medicinska eller känsliga personuppgifter genomför Transtoyou regelbundet Konsekvensbedömningar avseende dataskydd (DPIA) enligt artikel 35 i GDPR.
DPIA görs också innan nya tekniker eller arbetsflöden införs om de innebär förhöjda integritetsrisker.
14. Intern integritetsansvarig (ej DPO)
Transtoyou är inte juridiskt skyldigt att utse ett dataskyddsombud (DPO) enligt artikel 37 i GDPR, eftersom vi arbetar under medicinsk yrkessekretess.
Vi har däremot utsett en intern integritetsansvarig som ansvarar för att följa upp:
- Efterlevnad av integritetskrav
- Underhåll av vårt behandlingsregister
- Genomförande av DPIA
- Granskning av personuppgiftsbiträdesavtal
Den här personen är huvudkontakt för integritetsfrågor och stöttar vid revisioner, incidenthantering och riskminimering.
Frågor eller rapportering av problem
Om du har frågor om datasäkerhet eller vill rapportera en misstänkt sårbarhet, kontakta oss:
Integritets- och säkerhetsteam
För frågor och funderingar om säkerhet:
privacy@transtoyou.com
Rapportera en sårbarhet
Har du hittat ett säkerhetsproblem? Hör av dig:
privacy@transtoyou.com
Din säkerhet är viktig för oss
Vi investerar löpande i att skydda dina personliga och medicinska uppgifter med moderna säkerhetsåtgärder.
