Privacybeleid van de biAURA-applicatie
1. Inleiding
Wij hechten het grootste belang aan privacy en in dit beleid presenteren wij de principes die wij hanteren en de maatregelen die zijn getroffen om de rechtmatige verwerking, beveiliging en bescherming te waarborgen van de persoonsgegevens die worden verwerkt via de biAURA-applicatie (app), ontwikkeld en beheerd door de Faculteit der Menselijke Motoriek (FMH-ULISBOA). Wij blijven ons inzetten voor de naleving van alle relevante EU- en nationale wetgeving met betrekking tot de bescherming van persoonsgegevens en de rechten en vrijheden van de betrokkenen, in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG).
Daarom hebben we dit privacybeleid en alle andere noodzakelijke beleidsregels en procedures met betrekking tot de verwerking en bescherming van persoonsgegevens ontwikkeld en geïmplementeerd, die het gebruik van de biAURA-app reguleren. Dit is van toepassing op alle verwerkingen van de persoonsgegevens van de eindgebruikers van de app.
De biAURA-app is ontwikkeld in het kader van het door de EU gefinancierde onderzoeksproject iPROLEPSIS. Deze connectie met het iPROLEPSIS-project is terug te vinden in dit privacybeleid, inclusief verwijzingen naar de klinische en technische partners die betrokken waren bij de ontwikkeling en implementatie ervan.
Bovendien verstrekken wij de eindgebruikers hierbij de nodige informatie over het verzamelen, gebruiken, delen, bewaren en algemeen verwerken van hun persoonsgegevens. Tegelijkertijd informeren wij hen over hun rechten en hoe zij deze op de juiste wijze en in overeenstemming met de AVG kunnen uitoefenen.
Wij staan ter beschikking van de eindgebruikers om hen te voorzien van alle informatie in het kader van onze naleving van de geldende Europese en nationale wetgeving inzake de bescherming van persoonsgegevens, en de toepasselijke regelgeving met betrekking tot het beheer van persoonsgegevens, waarbij wij een veilige omgeving garanderen voor de verwerking van de gegevens van eindgebruikers.
Voor de toepassing van dit beleid worden de volgende entiteiten, die deelnemen aan het iPROLEPSIS-project, beschouwd als klinische partners:
I. Aristotelio Panepistimio Thessaloniki, PIC 999895692, gevestigd in het KEDEA-gebouw, Tritis Septemvriou, Aristotle University Campus, Thessaloniki, 54636, Griekenland,
II. Erasmus Universitair Medisch Centrum Rotterdam, PIC 999988424, gevestigd te dr Molewaterplein 40, Rotterdam 3015 GD, Nederland,
III. STICHTING CICERO (Collectief Initiatief voor Creatief en Educatief Reuma Onderzoek) PIC 886386680, gevestigd in Schultz van Hagenstraat 77, Rotterdam 3062 XJ, Nederland,
IV. De Hebreeuwse Universiteit van Jeruzalem, PIC 999975038, gevestigd op de Edmond J Safra-campus in Givat Ram, Jeruzalem 91904, Israël en
V. SPR (Sociedade Portuguesa de Reumatologia), PIC 885084067, gevestigd in Av de Berlim 33b, Lissabon 1800-033, Portugal.
Voor de toepassing van dit beleid worden de volgende entiteiten, die deelnemen aan het iPROLEPSIS-project, beschouwd als technische partners:
I. WELLICS Efarmoges erevnas kai Pliroforikis Monoprosopi IKE, PIC 885409696, gevestigd te Esperidon 18, Acharnes 136 74, Griekenland,
II. NETCOMPANY-INTRASOFT SA, PIC 999702371, gevestigd in RUE NICOLAS BOVE 2B, Luxemburg 1253, Luxemburg,
III. Aristotelio Panepistimio Thessaloniki, PIC 999895692, gevestigd in het KEDEA-gebouw, Tritis Septemvriou, Aristotle University Campus, Thessaloniki, 54636, Griekenland,
IV. Ainigma technologies, PIC 892135579, gevestigd te Kapeldreef 60, Leuven 3001, België,
V. Ethniko Kentro Erevnas kai Technologikis Anaptyxis, foto 998802502, gevestigd aan de Charilaou Thermi-weg 6 km, Thermi Thessaloniki 57001, Griekenland en
VI. PLUX - Wireless Biosignals sa, PIC 960662393, gevestigd in zona industrial das Corredouras, Lote 14 1 andar, Arruda dos Vinhos 2630 369, Portugal.
2. Verzamelde persoonsgegevens
2.1 Persoonsgegevens omvatten alle informatie in papieren of digitale vorm die, direct of in combinatie met andere informatie (indirect), kan leiden tot de unieke identificatie van een natuurlijke persoon.
2.2 Ten behoeve van de levering van de diensten via de app gedurende het onderzoek, zullen de volgende persoonsgegevens van de betrokkenen worden verzameld, hetzij door directe invoer ervan in de app, hetzij door geautomatiseerde verzameling via het gegevensbeheersysteem (DMS).
Bij het eerste gebruik van de applicatie moeten gebruikers hun inloggegevens invoeren om hun identiteit te verifiëren en toegang te krijgen tot de functionaliteiten van de app. Wanneer de gebruiker via de biAURA-applicatie naar binaurale geluiden luistert, registreert het systeem bovendien de exacte tijdstempels van het begin en einde van de weergave, samen met de identificatiecode van het geselecteerde audiospoor. Deze gebeurtenissen worden gegroepeerd en opgeslagen als biAURA-sessies. De applicatie registreert of bewaart verder geen andere gegevens.
Het slaapdetectiealgoritme wordt periodiek uitgevoerd en genereert een resultaat dat aangeeft of de gebruiker slaapt of wakker is. Dit resultaat wordt vervolgens lokaal opgeslagen op de smartphone of tablet van de gebruiker.
2.3 De persoonsgegevens die via de biAURA-suite worden verzameld, worden gepseudonimiseerd opgeslagen, conform de procedures beschreven in het privacybeleid van de biAURA-applicatie. Er worden geen directe identificeerbare gegevens verzameld via deze module. Identificatiegegevens worden uitsluitend bewaard door de klinische partner die het onderzoek uitvoert en worden niet aan andere partners of derden bekendgemaakt.
2.4 De verzamelde persoonsgegevens worden gepseudonimiseerd opgeslagen. Er worden geen identificatiegegevens met betrekking tot de persoonlijke informatie van de patiënten gevraagd tijdens het gebruik van de app. Deze informatie wordt uitsluitend opgeslagen door de kliniek die het onderzoek uitvoert waaraan u deelneemt en wordt niet overgedragen, openbaar gemaakt of op enigerlei wijze beschikbaar gesteld aan andere projectpartners of derden. De persoonlijke informatie en eventuele identificatiegegevens van de patiënten worden gedurende de test- en implementatiefase van de biAURA-applicatie op geen enkele wijze verwerkt en er wordt ook niet om gevraagd in de app. Elke patiënt ontvangt een uniek persoonlijk identificatienummer. Aanvullende informatie die zou kunnen helpen bij de identificatie van de patiënten is alleen beschikbaar voor de kliniek die het onderzoek uitvoert, waardoor de anonimiteit van de patiënten ten opzichte van de overige partners gewaarborgd blijft.
3. Hoe verzamelen wij persoonsgegevens?
Tijdens het gebruik van de app verzamelen de projectpartners, afhankelijk van de persoonsgegevens, deze gegevens op de volgende manieren:
I. Automatisch door middel van het door de eindgebruiker te dragen wearable, dat de verzamelde persoonsgegevens via Bluetooth naar de biAURA-app overdraagt of
II. Door directe invoer van persoonsgegevens van de eindgebruikers zelf in de biAURA-app. Dit omvatte het direct uploaden van informatie, bijvoorbeeld bij het verstrekken van gevraagde gegevens, het maken van foto's of het uitvoeren van de touchscreen-typtest.
3.2 De biAURA-app is bedoeld om het op PsA afgestemde algoritme te gebruiken voor het inschatten van slaapstoornissen, om zo de binaurale geluiden te activeren. De app stopt zodra de gedetecteerde slaapkwaliteit aangeeft dat de gebruiker in een rustgevende slaap is gevallen. Via deze suite worden slaapkwaliteitsgegevens (hartslag, accelerometergegevens en lichaamstemperatuur) verzameld om de diensten van de app te kunnen leveren. Daarnaast worden metadata met betrekking tot de werking van de suite verzameld (tijdstip waarop de gebruiker de app startte of het geluid stopte, of de verbinding met de hoofdtelefoon van de gebruiker is verbroken, enz.) en wordt een visueel slaapdagboek aangemaakt met de bovengenoemde informatie.
4. Verwerking van persoonsgegevens
De beoogde verwerkingshandelingen met betrekking tot de bovengenoemde persoonsgegevens van de gebruikers zijn de volgende:
I. Verzameling van persoonsgegevens rechtstreeks van de eindgebruikers of automatisch via het gebruik van de app.
II. Persoonsgegevens worden van het wearable apparaat via een Bluetooth-verbinding naar de smartphone-app overgedragen, en vervolgens via HTTPS/TLS-protocollen en netwerkbeveiliging, gewaarborgd door firewalls, naar de biAURA-databeheerinfrastructuur.
III. Opslag van persoonsgegevens op de biAURA-databeheerinfrastructuur en in de gebouwen van de klinische en technische partners van het iPROLEPSIS-project. Via deze opslagplaats krijgen specifieke vertegenwoordigers van de technische partners toegang tot persoonsgegevens voor de hieronder genoemde doeleinden.
IV. Beheer en harmonisatie van persoonsgegevens door de technische partners.
V. Verwerking ten behoeve van de validatie van de werking van het biAURA-framework door de technische partners. De persoonsgegevens van de eindgebruiker worden gebruikt om de functionaliteit van het biAURA-framework te testen en eventuele problemen te identificeren die de werking ervan kunnen beïnvloeden. Dit omvat automatische verwerkingsprocessen en realtime verwerking van biometrische signalen.
VI. Publicatie van een deel van de resultaten van de studies die worden uitgevoerd in het kader van het iPROLEPSIS-project in open wetenschappelijke repositories, waarbij de persoonsgegevens worden geanonimiseerd voordat de publicaties plaatsvinden. Er is een interne commissie opgericht om ervoor te zorgen dat de privacy bij de publicaties wordt gerespecteerd.
Nadere informatie over de verwerkingshandelingen wordt verstrekt in de toestemmingsformulieren die aan de eindgebruikers worden uitgedeeld voordat er verwerkingshandelingen plaatsvinden. De bovengenoemde verwerkingshandelingen zullen plaatsvinden op de gezondheidsgerelateerde persoonsgegevens, zoals beschreven in paragraaf 2.2 van dit beleid, die tijdens het onderzoek worden verzameld.
5. Onderscheidende rollen en verantwoordelijkheden
5.1 Volgens artikel 4, lid 7, van de AVG wordt de definitie van de verwerkingsverantwoordelijke gegeven, waarin staat dat “een verwerkingsverantwoordelijke een natuurlijke of rechtspersoon, een overheidsinstantie, een agentschap of een ander orgaan is dat, alleen of samen met anderen, de doeleinden en middelen van de verwerking van persoonsgegevens bepaalt; wanneer de doeleinden en middelen van een dergelijke verwerking worden bepaald door het recht van de Unie of van een lidstaat, kan de verwerkingsverantwoordelijke of de specifieke criteria voor zijn benoeming worden vastgesteld door het recht van de Unie of van een lidstaat.”
Volgens het bovenstaande worden de klinische en technische partners beschouwd als de (gezamenlijke) verwerkingsverantwoordelijken, dragen zij de verantwoordelijkheid en moeten zij kunnen aantonen dat zij voldoen aan de AVG. De doeleinden en middelen van de verwerking worden gedefinieerd in de subsidieovereenkomst en alle andere projectgerelateerde documentatie van het iPROLEPSIS-project, en de projectpartners implementeren de passende technische en organisatorische maatregelen om de verwerkte gegevens te beschermen.
5.2 Bovendien wordt, overeenkomstig de definitie in artikel 4, lid 8, onder "gegevensverwerker" verstaan "een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan dat persoonsgegevens verwerkt namens de verantwoordelijke voor de verwerking."
De verwerking van gegevens wordt hoofdzakelijk uitgevoerd door het aangewezen personeel van de projectpartners, waaronder wetenschappers, artsen, ontwikkelaars en juridische vertegenwoordigers. Tussen de projectpartners en het bovengenoemde personeel zijn overeenkomsten gesloten waarin hun verantwoordelijkheden als verwerkers zijn vastgelegd, met specifieke verwijzing naar de aard, het doel en de duur van de verwerking, de soorten gegevens en de categorieën van betrokkenen.
Onder bepaalde omstandigheden kunnen de projectpartners ook andere natuurlijke of rechtspersonen als verwerkers inschakelen. De projectpartners zorgen ervoor dat zij uitsluitend samenwerken met verwerkers die voldoende garanties bieden voor de implementatie van passende technische en organisatorische maatregelen om te voldoen aan de eisen van de Verordening en de bescherming van de rechten van de betrokkenen te waarborgen.
5.3 De verwerking door de verwerker wordt geregeld door een contract of andere rechtshandeling die onderworpen is aan het recht van de Unie of van een lidstaat. Dit contract bindt de verwerker ten opzichte van de projectpartners en specificeert het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het type persoonsgegevens en de categorieën van betrokkenen, alsmede de verplichtingen en rechten van de verwerkingsverantwoordelijke. Geen enkele derde partij mag toegang krijgen tot persoonsgegevens die door de projectpartners worden verwerkt zonder voorafgaande ondertekening van een samenwerkings- en geheimhoudingsovereenkomst met de betreffende projectpartner. De naleving van de wetgeving inzake gegevensbescherming is de verantwoordelijkheid van alle medewerkers die persoonsgegevens verwerken.
De verwerker en elke persoon die onder toezicht van de gegevensbeheerder handelt, verwerkt de persoonsgegevens voor de door de gegevensbeheerder vastgestelde doeleinden en volgens de door hem vastgestelde instructies, tenzij dit vereist is door het recht van de Unie of van een lidstaat. De verwerker schakelt geen andere verwerker in zonder de voorafgaande specifieke of algemene schriftelijke toestemming van de projectpartners.
5.4 In de regel wordt toegang tot de persoonsgegevens van elke eindgebruiker verleend aan de relevante klinische partner waar de eindgebruiker zich bevindt of waarmee de eindgebruiker communiceert, en na toepassing van pseudonimisering van de persoonsgegevens aan de technische partners. De aanvullende informatie die kan helpen bij de identificatie van de betrokkenen blijft bij de relevante klinische locatie.
6. Rechtmatige verwerking
6.1 Gegevensverwerking verwijst naar elke handeling of reeks handelingen die, al dan niet met behulp van geautomatiseerde middelen, worden uitgevoerd op persoonsgegevens of sets persoonsgegevens, zoals het verzamelen, registreren, ordenen, structureren, opslaan, aanpassen of wijzigen, opvragen, raadplegen, gebruiken, openbaar maken door middel van overdracht, verspreiding of enige andere vorm van beschikbaarstelling, afstemmen of combineren, beperken, wissen of vernietigen.
6.2 Een algemene regel bij de verwerking van gegevens is dat deze in beginsel onrechtmatig is, tenzij aan de voorwaarden van artikel 6 en 9 van de Verordening is voldaan. Deze artikelen bieden het noodzakelijke juridische kader dat de rechtmatigheid van de verwerking van persoonsgegevens definieert.
6.3 De wettelijke basis voor de verwerking van de bovengenoemde persoonsgegevens voor projectgerelateerde doeleinden via het gebruik van de app is geïnformeerde toestemming, overeenkomstig artikel 9 lid 2a' en artikel 7 van de AVG. Eindgebruikers ontvangen een formulier waarmee zij toestemming geven voor de verwerking van hun persoonsgegevens, zoals beschreven in paragraaf 2 en 3 van dit beleid. Aangezien de verwerking van de persoonsgegevens van eindgebruikers is gebaseerd op hun eerder gegeven, expliciete geïnformeerde toestemming, hebben zij bovendien het recht om deze toestemming te allen tijde in te trekken door een relevant verzoek in te dienen bij onze geautoriseerde juridische partner van het project via een e-mail naar legalint@diadikasia.gr
6.4 Tijdens het toestemmingsproces worden de eindgebruikers grondig geïnformeerd over de verwerkingshandelingen, de te verwerken persoonsgegevens, het doel van de verwerking van persoonsgegevens, de verantwoordelijken voor de verwerking en eventuele verwerkers, de bewaartermijn van de persoonsgegevens en hun rechten met betrekking tot gegevensbescherming en de wijze waarop zij deze kunnen uitoefenen.
7. Rechten van betrokkenen en beginselen van gegevensverzameling en -verwerking
7.1 Met dit privacybeleid willen we de eindgebruikers van de app de nodige informatie verschaffen over de voorwaarden waaronder onze projectpartners, als verantwoordelijke voor de gegevensverwerking, hun persoonsgegevens verzamelen, verwerken en doorgeven. De projectpartners en hun daarvoor opgeleide medewerkers houden zich volledig aan de beginselen van de AVG met betrekking tot de verwerking van persoonsgegevens, namelijk de beginselen van rechtmatigheid, billijkheid, transparantie, doelbinding, dataminimalisatie, nauwkeurigheid, opslagbeperking, integriteit, vertrouwelijkheid en verantwoording.
7.2 Daarnaast respecteren, beschermen en waarborgen de projectpartners de rechten van de betrokkenen zoals vastgelegd in de AVG, waaronder:
I. “Recht op informatie” met betrekking tot alles wat verband houdt met de verwerking van persoonsgegevens (art. 12-14 AVG),
II. “Recht op inzage” in de persoonsgegevens en alle andere informatie die verband houdt met de gegevensverwerking (art. 15 AVG),
III. Recht op rectificatie van onjuiste persoonsgegevens of aanvulling van onvolledige persoonsgegevens (art. 16 AVG),
IV. “Recht op verwijdering” (“recht om vergeten te worden”) , op grond waarvan de betrokkene onder bepaalde voorwaarden zijn/haar persoonsgegevens kan laten verwijderen (artikel 17 AVG).
V. “Recht op beperking van de verwerking” van persoonsgegevens onder bepaalde voorwaarden (art. 18 AVG),
VI. “Recht op dataportabiliteit” , op grond waarvan de betrokkene de persoonsgegevens die op hem/haar betrekking hebben en die aan een verwerkingsverantwoordelijke zijn verstrekt, kan ontvangen in een gestructureerd, gangbaar en machineleesbaar formaat en deze zonder belemmering van de verwerkingsverantwoordelijke aan wie de persoonsgegevens eerder zijn verstrekt, kan overdragen aan een andere verwerkingsverantwoordelijke (art. 20 AVG).
VII. “Recht om te allen tijde bezwaar te maken” tegen de verwerking van persoonsgegevens die op hem/haar betrekking hebben (art. 21 AVG),
VIII. “Recht om bezwaar te maken tegen geautomatiseerde individuele besluitvorming, inclusief profilering” (art. 22 AVG),
IX. “Recht om de verleende toestemming” vrijelijk en op elk moment in te trekken .
X. “Recht om in beroep te gaan tegen de bevoegde toezichthoudende autoriteit” .
7.3 De projectpartners blijven ter beschikking staan van de betrokkenen – eindgebruikers – om te reageren op al hun verzoeken met betrekking tot het bovenstaande en om de substantiële en effectieve bescherming van persoonsgegevens te waarborgen gedurende het gebruik van de biAURA-applicatie, in overeenstemming met de toepasselijke Europese en nationale wetgeving inzake gegevensbescherming, alsmede de toepasselijke regelgeving met betrekking tot gegevensbeheer.
Hiertoe kunnen eindgebruikers een verzoek indienen of hun rechten uitoefenen door contact op te nemen met de geautoriseerde juridische partner van het iPROLEPSIS-project, Diadikasia Business Consulting Symvouloi Epicheiriseon AE, via het e-mailadres legalint@diadikasia.gr .
8. Minimalisering, opslag en verwijdering van persoonsgegevens
8.1 De projectpartners verzoeken de eindgebruikers om de minimaal noodzakelijke persoonsgegevens, conform het principe van dataminimalisatie en zoals wettelijk vereist, om de projectgerelateerde taken uit te voeren. De selectie van de te verzamelen en te verwerken persoonsgegevens is gebaseerd op een selectieproces dat is gebaseerd op wetenschappelijk bewezen factoren die van invloed zijn op de ontsteking bij psoriasisartritis.
8.2 Onze projectpartners bewaren de persoonsgegevens zo lang als vereist door de geldende wetgeving, afhankelijk van het betreffende verwerkingsdoel. Na de verzameling worden de persoonsgegevens opgeslagen in de biAURA-databeheerinfrastructuur en in de gebouwen van de klinische en technische partners van het iPROLEPSIS-project. De persoonsgegevens die in de gebouwen van elke klinische partner worden opgeslagen, hebben betrekking op de patiënten die zich in die gebouwen bevinden. De gegevens die door de technische partners worden opgeslagen, zijn gepseudonimiseerd, waarbij de identificatoren – aanvullende informatie – niet voor hen beschikbaar zijn, maar wel voor de betreffende klinische partner.
8.3 De biAURA-databeheerinfrastructuur, opgezet door partner Intrasoft, wordt gehost door cloudprovider Hetzner, een Duits bedrijf met ISO27001-certificering. Met Hetzner is een overeenkomst gesloten met betrekking tot beschikbaarheid, back-up, malwarebescherming, encryptie, enz. De informatie wordt opgeslagen in de Europese Economische Ruimte. De data-infrastructuur biedt alleen toegang aan geautoriseerde gebruikers, waarbij authenticatiemechanismen en interfaces voor veilige gegevensuitwisseling met de cloudgebaseerde back-end worden geïmplementeerd. Toegang tot de biAURA-databeheerinfrastructuur wordt uitsluitend verleend aan specifiek personeel van de klinische en technische partners door middel van beperkte toegangsrechten.
8.4 In de regel zullen de partners die op welke wijze dan ook de persoonsgegevens van de eindgebruiker verwerken, deze na afloop van het project verwijderen, conform een relevant verwijderingsplan voor persoonsgegevens. Bij wijze van uitzondering hierop zullen de partners EMC en CICERO, conform de relevante nationale wettelijke verplichtingen, na afloop van de betreffende studies de persoonsgegevens van hun patiënten – eindgebruikers – gedurende 15 jaar bewaren, partner HUJI gedurende 20 jaar en partner TUM gedurende 10 jaar, maar deze na een relevant verzoek verwijderen. Na verwijdering zullen de persoonsgegevens van de eindgebruikers volledig worden verwijderd door de bovengenoemde projectpartners. We benadrukken dat het in het geval van elk van de bovengenoemde partners gaat om de persoonsgegevens van de eindgebruikers – patiënten – die onder hun toezicht staan, en niet om de persoonsgegevens van alle deelnemers aan de studie.
9. Gegevensoverdracht aan derden
9.1 In de regel geven onze projectpartners geen persoonsgegevens door aan derden zonder dat dit noodzakelijk is voor de verwerking en zonder de uitdrukkelijke toestemming van de betrokkene. Met respect voor het principe van vertrouwelijkheid zorgen zij ervoor dat de verwerkte persoonsgegevens niet aan onbevoegden worden bekendgemaakt en nemen zij de nodige maatregelen.
9.2 In het kader van de verwerking van de persoonsgegevens van eindgebruikers kan het nodig zijn om deze gegevens over te dragen aan de projectpartner van biAURA in het Verenigd Koninkrijk. In dat geval informeren wij de eindgebruikers dat een dergelijke overdracht als veilig wordt beschouwd, aangezien het Britse wettelijke kader voor gegevensbescherming door de Commissie adequaat is bevonden middels een adequaatheidsbesluit, conform artikel 45 van de AVG. Er zullen geen persoonsgegevens worden overgedragen aan de klinische partner in Israël.
9.3 In elk geval verklaren de projectpartners categorisch dat zij de tijdens het gebruik van de biAURA-app verzamelde persoonsgegevens niet aan derden zullen overdragen voor direct gebruik door hen voor promotionele doeleinden (marketing) of enig ander doel dat geen verband houdt met het iPROLEPSIS-project.
10 Beveiliging
10.1 De veilige verwerking van de persoonsgegevens van de eindgebruikers is voor ons van het grootste belang. Onze projectpartners nemen alle passende organisatorische en technische maatregelen om de vertrouwelijkheid, integriteit en beschikbaarheid van de onder dit beleid verzamelde persoonsgegevens te waarborgen.
10.2 De projectpartners erkennen de doeleinden zoals beschreven in de subsidieovereenkomst of andere officiële documentatie van het iPROLEPSIS-project, bepalen de verwerkingswijze in overeenstemming met de bovengenoemde projectgerelateerde doeleinden en implementeren de passende technische en organisatorische maatregelen ter bescherming van de verwerkte gegevens. De projectpartners en eventuele derden die met hen samenwerken bij de verwerking van persoonsgegevens, hebben dit beleid volledig begrepen en nageleefd. Geen enkele derde partij heeft toegang tot persoonsgegevens die door de projectpartners worden verwerkt zonder een samenwerkings- en geheimhoudingsovereenkomst te ondertekenen.
10.3 In overeenstemming met de toepasselijke Europese en nationale wetgeving inzake de bescherming van persoonsgegevens hebben onze projectpartners hun personeel adequaat opgeleid en geschoold, volgen zij een passend beveiligingsbeleid en maken zij gebruik van geschikte technische en operationele instrumenten, zoals anonimisering (indien van toepassing), pseudonimisering, gegevensversleuteling en continue, gerichte personeelstraining.
10.4 In het kader van de "risicogebaseerde aanpak", een noviteit van de AVG, implementeren de projectpartners per geval de nodige maatregelen, zowel primair ter voorbereiding als tijdens de verwerking, om de integriteit en veiligheid van de persoonsgegevens van de eindgebruikers te waarborgen. Enkele van de maatregelen die wij als projectpartners hebben genomen om de integriteit en veiligheid van gegevens te garanderen, zijn onder meer de verbintenis van de partners tot geheimhoudingsclausules, de identificatie, beperking en registratie van personen (fysiek of elektronisch) met toegang tot databases, persoonsgegevens, bestanden, enz., en het hanteren van toegangsbeleid, protocollen en maatregelen voor veilige opslag en toegangscontrole, met name voor de bijzondere categorieën persoonsgegevens die in de biAURA-databeheerinfrastructuur worden opgeslagen.
11. Acties in geval van een datalek
11.1 Ondanks de inspanningen van onze projectpartners om de integriteit en veiligheid van de persoonsgegevens van eindgebruikers te waarborgen, kan de snelle technologische ontwikkeling leiden tot het ontstaan van nieuwe, onvoorziene methoden die kunnen resulteren in opzettelijk verlies, misbruik, wijziging of vernietiging van hun persoonsgegevens. Hoewel onze projectpartners de veiligheid van de persoonsgegevens in elke onvoorziene situatie niet absoluut kunnen garanderen, garanderen zij wel waakzaamheid en effectief beheer van potentiële risico's, altijd in samenwerking met de bevoegde autoriteiten, naast de reeds genomen veiligheidsmaatregelen.
11.2 Volgens artikel 33 van de AVG moet de verwerkingsverantwoordelijke de toezichthoudende autoriteit, zoals bedoeld in artikel 55, onverwijld en, indien mogelijk, binnen 72 uur na kennisname van de inbreuk op persoonsgegevens hiervan op de hoogte stellen, tenzij de inbreuk op persoonsgegevens waarschijnlijk geen risico vormt voor de rechten en vrijheden van natuurlijke personen. Indien de melding aan de toezichthoudende autoriteit niet binnen 72 uur plaatsvindt, moet deze vergezeld gaan van een motivering voor de vertraging. Indien het niet mogelijk is de informatie gelijktijdig te verstrekken, mag deze gefaseerd en zonder onnodige vertraging worden verstrekt.
11.3 Bovendien zijn wij, overeenkomstig artikel 34 van de AVG, verplicht om de projectpartners onverwijld op de hoogte te stellen indien hun persoonsgegevens op een manier worden gelekt die een groot risico vormt voor hun vrijheden en rechten.
12. Contact
Heeft u vragen of opmerkingen over dit privacy- en persoonsgegevensbeschermingsbeleid, de maatregelen die onze projectpartners nemen om uw persoonsgegevens te beschermen, of wilt u uw rechten als betrokkene uitoefenen? Neem dan contact op met de geautoriseerde juridische partner van de biAURA-app, Diadikasia Business Consulting Symvouloi Epicheiriseon AE, via het e-mailadres: legalint@diadikasia.gr .
13. Geldigheid van het privacy- en persoonsgegevensbeschermingsbeleid
Dit beleid is op 05-09-2025 door de projectpartners gepubliceerd en wordt periodiek verbeterd en herzien. Daarom raden we eindgebruikers aan dit beleid regelmatig te raadplegen om op de hoogte te blijven van hoe wij hun persoonsgegevens beheren.