Privacybeleid
van de miPROLEPSIS-applicatie
1. Inleiding
Wij hechten het grootste belang aan privacy en in dit beleid presenteren wij de principes die wij hanteren en de maatregelen die zijn getroffen om de rechtmatige verwerking, beveiliging en bescherming te waarborgen van de persoonsgegevens die worden verwerkt via de miPROLEPSIS-applicatie (app), ontwikkeld en beheerd door WELLICS Ltd. Wij blijven ons inzetten voor de naleving van alle relevante EU- en nationale wetgeving met betrekking tot de bescherming van persoonsgegevens en de rechten en vrijheden van de betrokkenen, in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG).
Daarom hebben we dit privacybeleid en alle andere noodzakelijke beleidsregels en procedures met betrekking tot de verwerking en bescherming van persoonsgegevens ontwikkeld en geïmplementeerd, die het gebruik van de miPROLEPSIS-app reguleren. Dit is van toepassing op alle verwerkingen van de persoonsgegevens van de eindgebruikers van de app.
Bovendien verstrekken wij de eindgebruikers hierbij de nodige informatie over het verzamelen, gebruiken, delen, bewaren en algemeen verwerken van hun persoonsgegevens. Tegelijkertijd informeren wij hen over hun rechten en hoe zij deze op de juiste wijze en in overeenstemming met de AVG kunnen uitoefenen.
Wij staan ter beschikking van de eindgebruikers om hen te voorzien van alle informatie in het kader van onze naleving van de geldende Europese en nationale wetgeving inzake de bescherming van persoonsgegevens, en de toepasselijke regelgeving met betrekking tot het beheer van persoonsgegevens, waarbij wij een veilige omgeving garanderen voor de verwerking van de gegevens van eindgebruikers.
Voor de toepassing van dit beleid worden de volgende entiteiten, die deelnemen aan het iPROLEPSIS-project, beschouwd als klinische partners:
I. Aristotelio Panepistimio Thessaloniki, PIC 999895692, gevestigd in het KEDEA-gebouw, Tritis Septemvriou, Aristotle University Campus, Thessaloniki, 54636, Griekenland,
II. Erasmus Universitair Medisch Centrum Rotterdam, PIC 999988424, gevestigd te dr Molewaterplein 40, Rotterdam 3015 GD, Nederland,
III. STICHTING CICERO (Collectief Initiatief voor Creatief en Educatief Reuma Onderzoek) PIC 886386680, gevestigd in Schultz van Hagenstraat 77, Rotterdam 3062 XJ, Nederland,
IV. De Hebreeuwse Universiteit van Jeruzalem, PIC 999975038, gevestigd op de Edmond J Safra-campus in Givat Ram, Jeruzalem 91904, Israël en
V. SPR (Sociedade Portuguesa de Reumatologia), PIC 885084067, gevestigd in Av de Berlim 33b, Lissabon 1800-033, Portugal.
Voor de toepassing van dit beleid worden de volgende entiteiten, die deelnemen aan het iPROLEPSIS-project, beschouwd als technische partners:
I. WELLICS Efarmoges erevnas kai Pliroforikis Monoprosopi IKE, PIC 885409696, gevestigd te Esperidon 18, Acharnes 136 74, Griekenland,
II. NETCOMPANY-INTRASOFT SA, PIC 999702371, gevestigd in RUE NICOLAS BOVE 2B, Luxemburg 1253, Luxemburg,
III. Aristotelio Panepistimio Thessaloniki, PIC 999895692, gevestigd in het KEDEA-gebouw, Tritis Septemvriou, Aristotle University Campus, Thessaloniki, 54636, Griekenland,
IV. Ainigma technologies, PIC 892135579, gevestigd te Kapeldreef 60, Leuven 3001, België,
V. Ethniko Kentro Erevnas kai Technologikis Anaptyxis, foto 998802502, gevestigd aan de Charilaou Thermi-weg 6 km, Thermi Thessaloniki 57001, Griekenland en
VI. PLUX - Wireless Biosignals sa, PIC 960662393, gevestigd in zona industrial das Corredouras, Lote 14 1 andar, Arruda dos Vinhos 2630 369, Portugal.
2. Verzamelde persoonsgegevens
2.1 Persoonsgegevens omvatten alle informatie in papieren of digitale vorm die, direct of in combinatie met andere informatie (indirect), kan leiden tot de unieke identificatie van een natuurlijke persoon.
2.2 Ten behoeve van de levering van de diensten via de app gedurende het onderzoek, zullen de volgende persoonsgegevens van de betrokkenen worden verzameld, door middel van directe invoer in de app of geautomatiseerde verzameling via het draagbare apparaat dat door de eindgebruikers zal worden gedragen en dat met de app zal worden verbonden:
I. Persoonlijk identificatienummer dat door het medisch personeel zal worden verstrekt,
II. foto's van handen en voeten,
III. skeletgegevens van vinger-, pols- en lichaamsbewegingen,
IV. Versnellingsmeter- en gyroscoopgegevens van mobiele apparaten
V. draagbare accelerometergegevens
VI. gegevens over toetsaanslagdynamiek (zie paragraaf 3)
VII. Hartslag en interval tussen hartslagen
VIII. Metingen met betrekking tot slaapkwaliteit en stress
IX. antwoorden op de vragenlijsten van het onderzoek
2.3 Bovendien vraagt de miPROLEPSIS-applicatie, met het oog op het koppelen van de Garmin-smartwatch die aan de deelnemers is verstrekt, de locatie van de gebruiker op en verzamelt en verwerkt deze tijdelijk. Dit is een relevante voorwaarde met betrekking tot algemene Bluetooth-scanning en -connectiviteit, die niet relevant is voor de doeleinden van het onderzoek. Na de koppeling van de applicatie wordt de locatie niet langer verwerkt en verwijderd. Tijdens het onderzoek zullen wij uw locatie op geen enkele wijze opvragen of verwerken.
2.4 Voor de initialisatie van de Garmin smartwatch, na koppeling met de miPROLEPSIS-applicatie, worden de volgende persoonsgegevens van de betrokkene gevraagd en tijdelijk verwerkt:
I. Leeftijd
II. Gewicht en lengte en
III. Geslacht
Wij verzamelen of verwerken uw bovengenoemde persoonsgegevens niet. Deze informatie wordt alleen opgeslagen in het apparaat zelf en wij hebben er geen toegang toe en zullen er ook geen toegang toe vragen. Garmin, de fabrikant van de smartwatch, heeft geen toegang tot uw persoonsgegevens en verwerkt deze op geen enkele manier. Deze gegevens worden opgeslagen op het apparaat zelf en lokaal in de instellingen van uw app.
2.5 De meeste daarvan worden beschouwd als bijzondere categorieën gegevens in de zin van artikel 9 van de AVG, namelijk gezondheidsgerelateerde persoonsgegevens. Het begrip bijzondere categorieën persoonsgegevens omvat persoonsgegevens betreffende ras of etnische afkomst, politieke opvattingen, religieuze of filosofische overtuigingen of lidmaatschap van een vakbond, genetische of biometrische gegevens, gegevens betreffende de gezondheid, het seksuele leven of de seksuele geaardheid van een persoon.
2.6 De verzamelde persoonsgegevens worden gepseudonimiseerd opgeslagen. Er worden geen identificatiegegevens met betrekking tot de persoonlijke informatie van de patiënten gevraagd tijdens het gebruik van de app. Deze informatie wordt uitsluitend opgeslagen door de kliniek die het onderzoek uitvoert waaraan u deelneemt en wordt niet overgedragen, openbaar gemaakt of op enigerlei wijze beschikbaar gesteld aan andere projectpartners of derden. De persoonlijke informatie en eventuele identificatiegegevens van de patiënten worden gedurende de test- en implementatiefase van de miPROLEPSIS-applicatie op geen enkele wijze verwerkt en er wordt ook niet om gevraagd in de app. Elke patiënt ontvangt een uniek persoonlijk identificatienummer. Aanvullende informatie die zou kunnen helpen bij de identificatie van de patiënten is alleen beschikbaar voor de kliniek die het onderzoek uitvoert, waardoor de anonimiteit van de patiënten ten opzichte van de overige partners gewaarborgd blijft.
3. miPROLEPSIS-toetsenbord
Naast de miPROLEPSIS-applicatie wordt het miPROLEPSIS-toetsenbord geïnstalleerd en wordt de gebruiker gevraagd dit als standaardtoetsenbord in te schakelen. Het kan worden uitgeschakeld via de apparaatinstellingen en verzamelt, wanneer het is ingeschakeld, de volgende informatie:
Variable | Description |
|---|---|
downtime | Timestamps corresponding to the moment keys were tapped down |
uptime | Timestamps corresponding to the moment keys were released |
pressure | Normalized (0-1) maximum pressure applied for each key tap |
longPress | Flag denoting whether a key was long pressed |
distance | Relative distance between keys tapped |
downtimeDelete | Timestamps corresponding to the moment delete key was tapped down |
uptimeDelete | Timestamps corresponding to the moment delete key was released |
downtimeSpace | Timestamps corresponding to the moment space key was tapped down |
uptimeSpace | Timestamps corresponding to the moment space key was released |
numDels | Number of times the backspace/delete key was tapped |
isSoundOn | Flag denoting whether sound feedback is on |
isVibrationOn | Flag denoting whether vibration feedback is on |
vibrationDuration | In case of vibration, its duration |
keyboardScale | Scale of the keyboard (portrait or landscape) |
startTime | The time the typing session started |
endTime | The time the typing session ended |
currentLanguage | Keyboard language |
currentAppName | Classify the typing category between a message and a search |
currentCountry | Ensure the processing of data that are collected from EU countries |
currentIMIE | Detect a change of mobile phone device |
Het verwijderen van de miPROLEPSIS-applicatie van de mobiele telefoon van de gebruiker verwijdert ook het toetsenbord permanent. Het is belangrijk te vermelden dat geen enkele door de gebruiker getypte tekst wordt vastgelegd, verzameld of op enigerlei wijze verwerkt door het miPROLEPSIS-toetsenbord.
4. Hoe verzamelen we persoonsgegevens?
4.1 Tijdens het gebruik van de app verzamelen de projectpartners, afhankelijk van de persoonsgegevens, de persoonsgegevens op de volgende manieren:
I. Automatisch door middel van het door de eindgebruiker te dragen wearable, dat de verzamelde persoonsgegevens via Bluetooth naar de miPROLEPSIS-app overdraagt of
II. Door directe invoer van persoonsgegevens van de eindgebruikers zelf in de miPROLEPSIS-app. Dit omvatte het direct uploaden van informatie of foto's, bijvoorbeeld bij het verstrekken van gevraagde informatie, het maken van foto's of het uitvoeren van de touchscreen-typtest.
4.2 MP-gewrichtsoriëntatiepunt. De MP-gewrichtsoriëntatiepuntmodule maakt deel uit van de miPROLEPSIS-applicatie. Deze module wordt gebruikt om de hand-/lichaamsbewegingen van patiënten te beoordelen aan de hand van skeletfoto's. Bij het openen van deze module wordt de camera van de smartphone van de gebruiker geactiveerd, zodat de gebruiker een foto kan maken. De gebruiker dient voorafgaand aan het gebruik van de module toestemming te geven voor toegang. Deze bestanden worden niet opgeslagen of op enigerlei wijze verwerkt door deze module, maar worden direct, versleuteld, naar de miPROLEPSIS-applicatie verzonden en verwerkt volgens de overige persoonsgegevens die via de app worden verzameld. Meer informatie over deze module is te vinden in het privacy- en gegevensbeschermingsbeleid van de miPROLEPSIS-gewrichtsoriëntatiepuntmodule .
5. Verwerking van persoonsgegevens
De beoogde verwerkingshandelingen met betrekking tot de bovengenoemde persoonsgegevens van de gebruikers zijn de volgende:
I. Verzameling van persoonsgegevens rechtstreeks van de eindgebruikers of automatisch via het gebruik van de app.
II. Persoonsgegevens worden van het wearable apparaat via een Bluetooth-verbinding naar de smartphone-app overgedragen, en vervolgens via HTTPS/TLS-protocollen en netwerkbeveiliging, gewaarborgd door firewalls, naar de iPROLEPSIS-databeheerinfrastructuur.
III. Opslag van persoonsgegevens op de iPROLEPSIS-databeheerinfrastructuur en in de gebouwen van de klinische en technische partners van het iPROLEPSIS-project. Via deze opslagplaats krijgen specifieke vertegenwoordigers van de technische partners toegang tot persoonsgegevens voor de hieronder genoemde doeleinden.
IV. Beheer en harmonisatie van persoonsgegevens door de technische partners.
V. Verwerking ten behoeve van de validatie van de werking van het iPROLEPSIS-framework door de technische partners. De persoonsgegevens van de eindgebruiker worden gebruikt om de functionaliteit van het iPROLEPSIS-framework te testen en eventuele problemen te identificeren die de werking ervan kunnen beïnvloeden. Dit omvat geautomatiseerde verwerkingsprocessen, met name met betrekking tot de serious games en de biAURA-suite.
VI. Publicatie van een deel van de resultaten van de studies die worden uitgevoerd in het kader van het iPROLEPSIS-project in open wetenschappelijke repositories, waarbij de persoonsgegevens worden geanonimiseerd voordat de publicaties plaatsvinden. Er is een interne commissie opgericht om ervoor te zorgen dat de privacy bij de publicaties wordt gerespecteerd.
Nadere informatie over de verwerkingshandelingen wordt verstrekt in de toestemmingsformulieren die aan de eindgebruikers worden uitgedeeld voordat er verwerkingshandelingen plaatsvinden. De bovengenoemde verwerkingshandelingen zullen plaatsvinden op de gezondheidsgerelateerde persoonsgegevens, zoals beschreven in paragraaf 2.2 van dit beleid, die tijdens het onderzoek worden verzameld.
6. Onderscheidende rollen en verantwoordelijkheden
6.1 Volgens artikel 4, lid 7, van de AVG wordt de definitie van de verwerkingsverantwoordelijke gegeven, waarin staat dat "een verwerkingsverantwoordelijke een natuurlijke of rechtspersoon, een overheidsinstantie, een agentschap of een ander orgaan is dat, alleen of samen met anderen, de doeleinden en middelen van de verwerking van persoonsgegevens bepaalt; wanneer de doeleinden en middelen van een dergelijke verwerking worden bepaald door het recht van de Unie of van een lidstaat, kan de verwerkingsverantwoordelijke of de specifieke criteria voor zijn benoeming worden vastgesteld door het recht van de Unie of van een lidstaat."
Volgens het bovenstaande worden de klinische en technische partners beschouwd als de (gezamenlijke) verwerkingsverantwoordelijken, dragen zij de verantwoordelijkheid en moeten zij kunnen aantonen dat zij voldoen aan de AVG. De doeleinden en middelen van de verwerking worden gedefinieerd in de subsidieovereenkomst en alle andere projectgerelateerde documentatie van het iPROLEPSIS-project, en de projectpartners implementeren de passende technische en organisatorische maatregelen om de verwerkte gegevens te beschermen.
6.2 Bovendien wordt, overeenkomstig de definitie in artikel 4, lid 8, onder "gegevensverwerker" verstaan "een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan dat persoonsgegevens verwerkt namens de verantwoordelijke voor de verwerking."
De verwerking van gegevens wordt hoofdzakelijk uitgevoerd door het aangewezen personeel van de projectpartners, waaronder wetenschappers, artsen, ontwikkelaars en juridische vertegenwoordigers. Tussen de projectpartners en het bovengenoemde personeel zijn overeenkomsten gesloten waarin hun verantwoordelijkheden als verwerkers zijn vastgelegd, met specifieke verwijzing naar de aard, het doel en de duur van de verwerking, de soorten gegevens en de categorieën van betrokkenen.
Onder bepaalde omstandigheden kunnen de projectpartners ook andere natuurlijke of rechtspersonen als verwerkers inschakelen. De projectpartners zorgen ervoor dat zij uitsluitend samenwerken met verwerkers die voldoende garanties bieden voor de implementatie van passende technische en organisatorische maatregelen om te voldoen aan de eisen van de Verordening en de bescherming van de rechten van de betrokkenen te waarborgen.
6.3 De verwerking door de verwerker wordt geregeld door een contract of andere rechtshandeling die onderworpen is aan het recht van de Unie of van een lidstaat. Dit contract bindt de verwerker ten opzichte van de projectpartners en specificeert het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het type persoonsgegevens en de categorieën van betrokkenen, alsmede de verplichtingen en rechten van de verwerkingsverantwoordelijke. Geen enkele derde partij mag toegang krijgen tot persoonsgegevens die door de projectpartners worden verwerkt zonder voorafgaande ondertekening van een samenwerkings- en geheimhoudingsovereenkomst met de betreffende projectpartner. De naleving van de wetgeving inzake gegevensbescherming is de verantwoordelijkheid van alle medewerkers die persoonsgegevens verwerken.
De verwerker en elke persoon die onder toezicht van de gegevensbeheerder handelt, verwerkt de persoonsgegevens voor de door de gegevensbeheerder vastgestelde doeleinden en volgens de door hem vastgestelde instructies, tenzij dit vereist is door het recht van de Unie of van een lidstaat. De verwerker schakelt geen andere verwerker in zonder de voorafgaande specifieke of algemene schriftelijke toestemming van de projectpartners.
6.4 In de regel wordt toegang tot de persoonsgegevens van elke eindgebruiker verleend aan de relevante klinische partner waar de eindgebruiker zich bevindt of waarmee de eindgebruiker communiceert en, na toepassing van pseudonimisering van de persoonsgegevens, aan de technische partners, waarbij de aanvullende informatie die kan helpen bij de identificatie van de betrokkenen, bij de relevante klinische locatie blijft.
7. Rechtmatige verwerking
7.1 Gegevensverwerking verwijst naar elke handeling of reeks handelingen die, al dan niet met behulp van geautomatiseerde middelen, worden uitgevoerd op persoonsgegevens of sets persoonsgegevens, zoals het verzamelen, registreren, ordenen, structureren, opslaan, aanpassen of wijzigen, opvragen, raadplegen, gebruiken, openbaar maken door middel van overdracht, verspreiding of enige andere vorm van beschikbaarstelling, afstemmen of combineren, beperken, wissen of vernietigen.
7.2 Een algemene regel bij de verwerking van gegevens is dat deze in beginsel onrechtmatig is, tenzij aan de voorwaarden van artikel 6 en 9 van de Verordening is voldaan. Deze artikelen bieden het noodzakelijke juridische kader dat de rechtmatigheid van de verwerking van persoonsgegevens definieert.
7.3 De wettelijke basis voor de verwerking van de bovengenoemde persoonsgegevens voor projectgerelateerde doeleinden via het gebruik van de app is geïnformeerde toestemming, overeenkomstig artikel 9 lid 2a' en artikel 7 van de AVG. Eindgebruikers ontvangen een formulier waarmee zij toestemming geven voor de verwerking van hun persoonsgegevens, zoals beschreven in paragraaf 2 en 3 van dit beleid. Aangezien de verwerking van de persoonsgegevens van eindgebruikers is gebaseerd op hun eerder gegeven, expliciete geïnformeerde toestemming, hebben zij bovendien het recht om deze toestemming te allen tijde in te trekken door een relevant verzoek in te dienen bij onze geautoriseerde juridische partner van het project via een e-mail naar legalint@diadikasia.gr
7.4 Tijdens het toestemmingsproces worden de eindgebruikers grondig geïnformeerd over de verwerkingshandelingen, de te verwerken persoonsgegevens, het doel van de verwerking van persoonsgegevens, de verantwoordelijken voor de verwerking en eventuele verwerkers, de bewaartermijn van de persoonsgegevens en hun rechten met betrekking tot gegevensbescherming en de wijze waarop zij deze kunnen uitoefenen.
8. Rechten van betrokkenen en beginselen van gegevensverzameling en -verwerking
8.1 Met dit privacybeleid willen we de eindgebruikers van de app de nodige informatie verschaffen over de voorwaarden waaronder onze projectpartners, als verantwoordelijke voor de gegevensverwerking, hun persoonsgegevens verzamelen, verwerken en doorgeven. De projectpartners en hun daarvoor opgeleide medewerkers houden zich volledig aan de beginselen van de AVG met betrekking tot de verwerking van persoonsgegevens, namelijk de beginselen van rechtmatigheid, billijkheid, transparantie, doelbinding, dataminimalisatie, nauwkeurigheid, opslagbeperking, integriteit, vertrouwelijkheid en verantwoording.
8.2 Daarnaast respecteren, beschermen en waarborgen de projectpartners de rechten van de betrokkenen zoals vastgelegd in de AVG, waaronder:
I. “Recht op informatie” met betrekking tot alles wat verband houdt met de verwerking van persoonsgegevens (art. 12-14 AVG),
II. “Recht op inzage” in de persoonsgegevens en alle andere informatie die verband houdt met de gegevensverwerking (art. 15 AVG),
III. Recht op rectificatie van onjuiste persoonsgegevens of aanvulling van onvolledige persoonsgegevens (art. 16 AVG),
IV. “Recht op verwijdering” (“recht om vergeten te worden”) , op grond waarvan de betrokkene onder bepaalde voorwaarden zijn/haar persoonsgegevens kan laten verwijderen (artikel 17 AVG).
V. “Recht op beperking van de verwerking” van persoonsgegevens onder bepaalde voorwaarden (art. 18 AVG),
VI. “Recht op dataportabiliteit” , op grond waarvan de betrokkene de persoonsgegevens die op hem/haar betrekking hebben en die aan een verwerkingsverantwoordelijke zijn verstrekt, kan ontvangen in een gestructureerd, gangbaar en machineleesbaar formaat en deze zonder belemmering van de verwerkingsverantwoordelijke aan wie de persoonsgegevens eerder zijn verstrekt, kan overdragen aan een andere verwerkingsverantwoordelijke (art. 20 AVG).
VII. “Recht om te allen tijde bezwaar te maken” tegen de verwerking van persoonsgegevens die op hem/haar betrekking hebben (art. 21 AVG),
VIII. “Recht om bezwaar te maken tegen geautomatiseerde individuele besluitvorming, inclusief profilering” (art. 22 AVG),
IX. “Recht om de verleende toestemming” vrijelijk en op elk moment in te trekken .
X. “Recht om in beroep te gaan tegen de bevoegde toezichthoudende autoriteit”.
8.3 De projectpartners blijven ter beschikking staan van de betrokkenen – eindgebruikers – om te reageren op al hun verzoeken met betrekking tot het bovenstaande en om de substantiële en effectieve bescherming van persoonsgegevens te waarborgen gedurende het gebruik van de miPROLEPSIS-applicatie, in overeenstemming met de toepasselijke Europese en nationale wetgeving inzake gegevensbescherming, alsmede de toepasselijke regelgeving met betrekking tot gegevensbeheer.
Hiertoe kunnen eindgebruikers een verzoek indienen of hun rechten uitoefenen door contact op te nemen met de geautoriseerde juridische partner van het iPROLEPSIS-project, Diadikasia Business Consulting Symvouloi Epicheiriseon AE, via het e-mailadres legalint@diadikasia.gr .
9. Minimalisering, opslag en verwijdering van persoonsgegevens
9.1 De projectpartners verzoeken de eindgebruikers om de minimaal noodzakelijke persoonsgegevens, conform het principe van dataminimalisatie en zoals wettelijk vereist, om de projectgerelateerde taken uit te voeren. De selectie van de te verzamelen en te verwerken persoonsgegevens is gebaseerd op een selectieproces dat is gebaseerd op wetenschappelijk bewezen factoren die van invloed zijn op de ontsteking bij psoriasisartritis.
9.2 Onze projectpartners bewaren de persoonsgegevens zo lang als vereist door de geldende wetgeving, afhankelijk van het betreffende verwerkingsdoel. Na de verzameling worden de persoonsgegevens opgeslagen in de iPROLEPSIS-databeheerinfrastructuur en in de gebouwen van de klinische en technische partners van het iPROLEPSIS-project. De persoonsgegevens die in de gebouwen van elke klinische partner worden opgeslagen, hebben betrekking op de patiënten die zich in die gebouwen bevinden. De gegevens die door de technische partners worden opgeslagen, zijn gepseudonimiseerd, waarbij de identificatoren – aanvullende informatie – niet voor hen beschikbaar zijn, maar wel voor de betreffende klinische partner.
9.3 De iPROLEPSIS-databeheerinfrastructuur, opgezet door partner Intrasoft, wordt gehost door cloudprovider Hetzner, een Duits bedrijf met ISO27001-certificering. Met Hetzner is een overeenkomst gesloten met betrekking tot beschikbaarheid, back-up, malwarebescherming, encryptie, enz. De informatie wordt opgeslagen in de Europese Economische Ruimte. De data-infrastructuur biedt alleen toegang aan geautoriseerde gebruikers, waarbij authenticatiemechanismen en interfaces voor veilige gegevensuitwisseling met de cloudgebaseerde back-end worden geïmplementeerd. Toegang tot de iPROLEPSIS-databeheerinfrastructuur wordt uitsluitend verleend aan specifiek personeel van de klinische en technische partners door middel van beperkte toegangsrechten.
9.4 In de regel zullen de partners die op welke wijze dan ook de persoonsgegevens van de eindgebruiker verwerken, deze na afloop van het project verwijderen, conform een relevant verwijderingsplan voor persoonsgegevens. Bij wijze van uitzondering hierop zullen de partners EMC en CICERO, conform de relevante nationale wettelijke verplichtingen, na afloop van de betreffende studies de persoonsgegevens van hun patiënten – eindgebruikers – gedurende 15 jaar bewaren, partner HUJI gedurende 20 jaar en partner TUM gedurende 10 jaar, maar deze na een relevant verzoek verwijderen. Na verwijdering zullen de persoonsgegevens van de eindgebruikers volledig worden verwijderd door de bovengenoemde projectpartners. We benadrukken dat het in het geval van elk van de bovengenoemde partners gaat om de persoonsgegevens van de eindgebruikers – patiënten – die onder hun toezicht staan, en niet om de persoonsgegevens van alle deelnemers aan de studie.
10 Gegevensoverdracht aan derden
10.1 In de regel geven onze projectpartners geen persoonsgegevens door aan derden zonder dat dit noodzakelijk is voor de verwerking en zonder de uitdrukkelijke toestemming van de betrokkenen. Met respect voor het principe van vertrouwelijkheid zorgen zij ervoor dat de verwerkte persoonsgegevens niet aan onbevoegden worden bekendgemaakt en nemen zij de nodige maatregelen.
10.2 In het kader van de verwerking van de persoonsgegevens van eindgebruikers kan het nodig zijn om deze gegevens over te dragen aan de projectpartner van iPROLEPSIS in het Verenigd Koninkrijk. In dat geval informeren wij de eindgebruikers dat een dergelijke overdracht als veilig wordt beschouwd, aangezien het Britse wettelijke kader voor gegevensbescherming door de Commissie adequaat is bevonden middels een adequaatheidsbesluit, conform artikel 45 van de AVG. Er zullen geen persoonsgegevens worden overgedragen aan de klinische partner in Israël.
10.3 In elk geval verklaren de projectpartners categorisch dat zij de tijdens het gebruik van de miPROLEPSIS-app verzamelde persoonsgegevens niet aan derden zullen overdragen voor direct gebruik door hen voor promotionele doeleinden (marketing) of enig ander doel dat geen verband houdt met het iPROLEPSIS-project.
11 Beveiliging
11.1 De veilige verwerking van de persoonsgegevens van de eindgebruikers is voor ons van het grootste belang. Onze projectpartners nemen alle passende organisatorische en technische maatregelen om de vertrouwelijkheid, integriteit en beschikbaarheid van de onder dit beleid verzamelde persoonsgegevens te waarborgen.
11.2 De projectpartners erkennen de doeleinden zoals beschreven in de subsidieovereenkomst of andere officiële documentatie van het iPROLEPSIS-project, bepalen de verwerkingswijze in overeenstemming met de bovengenoemde projectgerelateerde doeleinden en implementeren de passende technische en organisatorische maatregelen ter bescherming van de verwerkte gegevens. De projectpartners en eventuele derden die met hen samenwerken bij de verwerking van persoonsgegevens, hebben dit beleid volledig begrepen en nageleefd. Geen enkele derde partij heeft toegang tot persoonsgegevens die door de projectpartners worden verwerkt zonder een samenwerkings- en geheimhoudingsovereenkomst te ondertekenen.
11.3 In overeenstemming met de toepasselijke Europese en nationale wetgeving inzake de bescherming van persoonsgegevens hebben onze projectpartners hun personeel adequaat opgeleid en geschoold, volgen zij een passend beveiligingsbeleid en maken zij gebruik van geschikte technische en operationele instrumenten, zoals anonimisering (indien van toepassing), pseudonimisering, gegevensversleuteling en continue en gerichte personeelstraining.
11.4 In het kader van de "risicogebaseerde aanpak", een noviteit van de AVG, implementeren de projectpartners per geval de nodige maatregelen, zowel primair ter voorbereiding als tijdens de verwerking, om de integriteit en veiligheid van de persoonsgegevens van de eindgebruikers te waarborgen. Enkele van de maatregelen die wij als projectpartners hebben genomen om de integriteit en veiligheid van gegevens te garanderen, zijn onder meer de verbintenis van de partners tot geheimhoudingsclausules, de identificatie, beperking en registratie van personen (fysiek of elektronisch) met toegang tot databases, persoonsgegevens, bestanden, enz., en het hanteren van toegangsbeleid, protocollen en maatregelen voor veilige opslag en toegangscontrole, met name voor de bijzondere categorieën persoonsgegevens die in de iPROLEPSIS-databeheerinfrastructuur worden opgeslagen.
12. Acties in geval van een datalek
12.1 Ondanks de inspanningen van onze projectpartners om de integriteit en veiligheid van de persoonsgegevens van eindgebruikers te waarborgen, kan de snelle technologische ontwikkeling leiden tot het ontstaan van nieuwe, onvoorziene methoden die kunnen resulteren in opzettelijk verlies, misbruik, wijziging of vernietiging van hun persoonsgegevens. Hoewel onze projectpartners de veiligheid van de persoonsgegevens in elke onvoorziene situatie niet absoluut kunnen garanderen, garanderen zij wel waakzaamheid en effectief beheer van potentiële risico's, altijd in samenwerking met de bevoegde autoriteiten, naast de reeds genomen veiligheidsmaatregelen.
12.2 Volgens artikel 33 van de AVG moet de verwerkingsverantwoordelijke de toezichthoudende autoriteit, zoals bedoeld in artikel 55, onverwijld en, indien mogelijk, binnen 72 uur na kennisname van de inbreuk op persoonsgegevens hiervan op de hoogte stellen, tenzij de inbreuk op persoonsgegevens waarschijnlijk geen risico vormt voor de rechten en vrijheden van natuurlijke personen. Indien de melding aan de toezichthoudende autoriteit niet binnen 72 uur plaatsvindt, moet deze vergezeld gaan van een motivering voor de vertraging. Indien het niet mogelijk is de informatie gelijktijdig te verstrekken, mag deze gefaseerd en zonder onnodige vertraging worden verstrekt.
12.3 Bovendien zijn wij, overeenkomstig artikel 34 van de AVG, verplicht om de projectpartners onverwijld op de hoogte te stellen indien hun persoonsgegevens op een manier worden gelekt die een groot risico vormt voor hun vrijheden en rechten, zoals bepaald in de toepasselijke Algemene Verordening Gegevensbescherming (AVG).
13. Contact
Heeft u vragen of opmerkingen over dit privacy- en persoonsgegevensbeschermingsbeleid, de maatregelen die onze projectpartners nemen om uw persoonsgegevens te beschermen, of wilt u uw rechten als betrokkene uitoefenen, neem dan contact op met de geautoriseerde juridische partner van het iPROLEPSIS-project, Diadikasia Business Consulting Symvouloi Epicheiriseon AE, via het e-mailadres: legalint@diadikasia.gr .
14. Geldigheid van het privacy- en persoonsgegevensbeschermingsbeleid
Dit beleid is op 05-09-2025 door de projectpartners gepubliceerd en wordt periodiek verbeterd en herzien. Daarom raden we eindgebruikers aan dit beleid regelmatig te raadplegen om op de hoogte te blijven van hoe wij hun persoonsgegevens beheren.