Datenschutzrichtlinie

 

Einführung

Ihre Privatsphäre liegt uns am Herzen!

Gemeinsam mit unseren Partnern im CoroPrevention-Konsortium sind wir bestrebt, die Datenschutz-Grundverordnung (DSGVO) in ihrer Gänze einzuhalten.

Diese mobile CoroPrevention-Anwendung steht lediglich Teilnehmern des personalisierten Präventionsprogramms CoroPrevention zur Verfügung. Die mobile Anwendung ermöglicht

Ihnen     die     Teilnahme     an     dem     Programm     und   unterstützt               die   gemeinsame

Entscheidungsfindung, indem sie Sie an vereinbarte Ziele und an die Medikamenteneinnahme erinnert. Zu diesem Zweck müssen Sie Ihrer Forschungspflegekraft regelmäßig Informationen über Ihr persönliches Verhalten, Ihre medizinische Behandlung sowie über Ihre Parameter mitteilen. Dies geschieht durch die Informationseingabe in der Anwendung und während der Sprechstunden im Rahmen der Forschung.  

Als Hersteller der App CoroPrevention Tool Suite ist es unsere höchste Priorität bei UniWeb BV, die Sicherheit und Vertraulichkeit all unserer Dienste, Systeme und der damit verbundenen Daten zu gewährleisten. Zu diesem Zweck haben wir ein leistungsfähiges und effektives Information Security Management System entwickelt, für das wir die Zertifizierung ISO 27001:2013 erhalten haben.

Dank unserer hohen Informationssicherheitsstandards können wir die kritischen und sensiblen Daten, die in unseren Informationssystemen enthalten sind, vor Kompromittierung und unbefugter Verwendung schützen. Des Weiteren helfen uns diese Standards Ihre personenbezogenen Daten vor Irrtümern, Versehen oder böswilligen Handlungen zu schützen, die unbefugte Veröffentlichung, Weitergabe, Veränderung, Verlust oder Zerstörung der Daten zur Folge hätten.

Eine ausführlichere Datenschutzerklärung des CoroPrevention-Programms finden Sie auf der CoroPrevention-Website. Bei Widersprüchen zwischen dieser Richtlinie und der CoroPrevention-Datenschutzerklärung wird die CoroPrevention-Datenschutzerklärung diese Datenschutzrichtlinie für die mobile Anwendung CoroPrevention ersetzen. 

Wer hat Zugriff?

Das personalisierte Präventionsprogramm CoroPrevention wird von den Partnern des CoroPrevention-Konsortiums durchgeführt. 

Ausschließlich das Personal des Studienzentrums hat Einsicht in die tatsächliche Identität der

Studienteilnehmer. Die während der Studie erhobenen Daten werden pseudonymisiert (mittels einer Subjekt-ID) und verschlüsselt gespeichert, sodass nur die befugten Personen des CoroPrevention-Konsortiums Zugriff auf diese Daten haben. Alle Unterlagen, die den Studienteilnehmer über die Subjekt-ID (z. B. unterschriebene Einverständniserklärung) hinaus identifizieren könnten, müssen von dem Forscher streng vertraulich gehandhabt werden; Ausnahmen bilden hier die Ermöglichung von studienbegleitendem Monitoring, Audits und behördlichen Inspektionen.

Eine vollständige Liste der gemeinsamen Datenverantwortlichen finden Sie in der CoroPrevention-Datenschutzerklärung auf der CoroPrevention-Website. 

Dritte

UniWeb verkauft niemals personenbezogene Daten an andere Dritte bzw. gibt diese an andere Dritte weiter, die nicht in der obigen Liste aufgeführt sind und am CoroPreventionProgramm beteiligt sind.

Zur Bereitstellung bestimmter Dienste greift UniWeb auf Dritte zurück (z. B. bei zentralisierten Protokollierungslösungen, Rechenzenter-Hosting). Alle Anbieter werden vor der Inanspruchnahme ihrer Dienste ausführlich geprüft, wie in den Standardarbeitsanweisungen von UniWeb festgelegt. Die DSGVO-Konformität ist selbstverständlich Teil der Anforderungen an alle Anbieter. UniWeb prüft die Zusammenarbeit mit seinen Anbietern sowie die Bedingungen dieser Zusammenarbeit regelmäßig. Erfüllt ein Anbieter die im Information Security Management System von UniWeb festgelegten Anforderungen nicht mehr, wird die Zusammenarbeit eingestellt.

Ihre personenbezogenen Daten können, soweit dies nach geltendem Recht zulässig ist, an folgende Parteien weitergegeben werden:

●      Staatliche Behörden

●      Auditoren

3.   Welche Daten verarbeiten wir und warum?

UniWeb erstellt, pflegt und hostet Webanwendungen und Websites in Übereinstimmung mit den von dem Datenverantwortlichen und den Partnern des CoroPrevention-Konsortiums bereitgestellten Angaben. Die von diesen Anwendungen und Websites verarbeiteten personenbezogenen Daten variieren je nach unterschiedlicher Benutzerrolle und den damit vom Datenverantwortlichen festgelegten verbundenen Zwecken. 

Die CoroPrevention-Anwendung und das EDC-System erheben Informationen wie (Liste nicht erschöpfend):

-        Patientenkennung (Pseudonym)

-        Informationen zu Gesundheit, Medikamenten und Bewegung

-        Informationen zu Ernährungs- und Rauchergewohnheiten 

-        Benutzungsstatistiken in der Anwendung, einschließlich Protokollierungs- und Verbindungsinformationen (z. B. Browser, IP-Adresse).

Zu den Zwecken dieser Verarbeitungstätigkeiten gehören Folgende (Liste nicht erschöpfend):

-        Gesundheitlicher Nutzen und Ziele der klinischen Untersuchung in Übereinstimmung mit dem Forschungsprotokoll 

-        Authentifizierung, Patientensicherheit und Überwachung der Cybersicherheit 

-        Möglichkeit für den Benutzer, Erinnerungen und Alarme zu konfigurieren

-        Funktionsoptimierung der Anwendungen

-        Vertragserfüllung mit den Partnern des Konsortiums bezüglich des Konsortialvertrags und der regulatorischen Anforderungen.

 

Es wurde eine Datenschutzfolgenabschätzung auf Konsortiumebene durchgeführt, um Risiken zu bewerten und Maßnahmen zur Risikominderung zu ergreifen.  

Wenn Sie den Bestand einsehen möchten oder weitere Informationen über den Zweck der Datenverarbeitungstätigkeiten wünschen, wenden Sie sich bitte an Ihre

Forschungspflegekraft vor Ort.

4.   Wo speichern wir Ihre personenbezogenen Daten?

UniWeb besitzt die Hardware, die zur Speicherung Ihrer personenbezogenen Daten verwendet wird, und hat die vollständige Kontrolle über diese Hardware. Unsere Produktions, Staging- und Back-up-Server befinden sich in Belgien in dem sicheren Datenzentrum unseres Hostinganbieters, der mit 27001:2013 und ISO 22301:2012 zertifiziert ist. Personenbezogene Daten bleiben auf diesen Servern, sie können jedoch zu bestimmten Zeitpunkten von den Sponsoren zu ausschließlich Studien- und Sicherheitszwecken sowie zur Nutzungsanalyse exportiert werden. Protokollierungsinformationen werden temporär bei dem zentralisierten Protokollierungsanbieter über ein Datenzentrum innerhalb der EU gespeichert. 

5.   Wie lange bewahren wir personenbezogene Daten auf?

Standardmäßiger Aufbewahrungszeitraum

Während des Gestaltungsprozesses aller Websites und Webanwendungen, die von UniWeb entwickelt werden, wird mit den gemeinsamen Datenverantwortlichen ein standardmäßiger Aufbewahrungszeitraum und ein Verfahren zum Löschen gemäß den regulatorischen Anforderungen, wie in der CoroPrevention-Datenschutzerklärung beschrieben, vereinbart. 

Für Kunden von UniWeb werden alle personenbezogenen Daten, die über unsere Produktionsserver gemäß dem Vertrag verarbeitet wurden, zügig nach Vertragsablauf von unseren Servern gelöscht. Die Daten werden innerhalb von 180 Tagen (oder wie vertraglich festgelegt) zudem vollständig aus unseren Back-ups entfernt.

Als Teil unserer Standardarbeitsanweisungen, festgelegt in unserem Information Security Management System, prüfen wir die Notwendigkeit der Datenspeicherung in regelmäßigen Abständen, damit wir Daten nicht länger als unbedingt notwendig aufbewahren.

Ausnahmen

Abweichungen von dem standardmäßigen Aufbewahrungszeitraum können in folgenden Fällen erforderlich sein:

-        wenn gesetzlich vorgeschrieben

-        auf ausdrückliche Aufforderung des Datenverantwortlichen (für den der Datenverantwortliche die volle Verantwortung übernommen hat)

Wenden Sie sich für weitere Informationen zu diesen Ausnahmen bitte an Ihre Forschungspflegekraft vor Ort oder ziehen Sie die CoroPrevention-Datenschutzerklärung auf der CoroPrevention-Website zurate.

 

6.   Wie gewährleisten wir Sicherheit?

Als ein Unternehmen, das sich der Entwicklung sicherer und leistungsfähiger mobiler und webbasierter Anwendungen verschrieben hat, aktualisiert und verbessert UniWeb seine implementierten Sicherheitsmaßnahmen kontinuierlich, um personenbezogene Daten und andere Informationen vor unbefugtem Zugriff, Veränderung, Verlust oder Zerstörung zu schützen. Im Folgenden werden einige Beispiele der von UniWeb angewandten Sicherheitsmaßnahmen vorgestellt: 

●      Alle von UniWeb verwahrten Daten sind verschlüsselt, sowohl im Ruhezustand als auch bei Übertragung zwischen unserer Dienste und Ihrem Browser oder Ihrer Anwendung.

●      Alle Daten werden vollständig gesichert.

●      Unsere Dienste unterliegen Penetrationstests und werden von Nesses-Scans geschützt.

●      Zentralisierte Protokollierungslösung zur Überwachung der Anwendungsleistung sowie zur Überwachung der Cybersicherheit.

●      Unsere Dienste unterstützen erweiterte Authentifizierungsverfahren, einschließlich der Verwendung von G-Suite, Office 365 Konto-Authentifizierung und Duo-Multi-FaktorAuthentifizierung.

Im Falle eines Informationssicherheitsvorfalls wird UniWeb umgehend und angemessen in

Übereinstimmung mit den Standardarbeitsanweisungen, festgelegt in unserem Information

Security Management System, handeln. Diese Verfahren, wie auch unsere Sicherheitsmaßnahmen, werden in regelmäßigen Abständen geprüft und aktualisiert, um den sich ständig ändernden Herausforderungen der Informationssicherheit zu begegnen.

Alle Mitarbeiter bei UniWeb erhalten regelmäßig Schulungen zu den bewährten Sicherheitspraktiken und Unternehmensabläufen. Wir erwarten ein gleiches Maß an Engagement von unseren Anbietern, deren Dienste regelmäßig überprüft werden (Siehe:

Dritte).

7.   Wie lauten Ihre Rechte als betroffene Person?

Ihre Rechte als betroffene Person wurden im Zuge der Einverständniserklärung erläutert und sind im Dokument der Einverständniserklärung aufgeführt. 

Beispiele dieser Rechte sind unter anderem Folgende:

●      Anforderung von Informationen bezüglich Ihrer personenbezogenen Daten

●      Anforderung einer Kopie all Ihrer Daten in einem Standardformat

Sie können jegliche Rechte ausüben, indem Sie die Einverständniserklärung zurate ziehen oder Ihre Forschungspflegekraft kontaktieren.

8.   Wie können Sie Ihre Zustimmung erteilen?

Durch die Bereitstellung ihrer personenbezogenen Daten über die mobile oder webbasierte Anwendung wie im Zuge der Einverständniserklärung erläutert, gibt die betroffene Person den gemeinsamen Datenverantwortlichen ausdrücklich ihr Einverständnis zur Verarbeitung der Daten für die angegebenen Zwecke.

Falls der Datenverantwortliche die personenbezogenen Daten in die mobile oder webbasierte Anwendung eingibt, gilt der Datenverantwortliche als verantwortlich, die betroffene Person ordnungsgemäß zu informieren sowie die Einwilligung während des Verfahrens der Einverständniserklärung einzuholen. Eine Unterlassung gilt als Nichtkonformität und UniWeb muss dann die entsprechenden Maßnahmen ergreifen, die in den

Standardarbeitsanweisungen des Information Security Management System festgelegt sind. Alle von UniWeb für Behebungsmaßnahmen getätigten Kosten werden dem Datenverantwortlichen in Rechnung gestellt.

Falls UniWeb oder einer der Partner des CoroPrevention-Konsortiums bestimmte personenbezogene Daten an Dritte weitergeben möchte, erfordert dies eine zusätzliche Einwilligung von dem Nutzer. Das Vorstehende gilt auch für die Verarbeitung Ihrer personenbezogenen Daten außerhalb der EU.

9. An wen können Sie sich wenden?

Sollten Sie Fragen zu dieser Datenschutzrichtlinie haben oder möchten Sie eines Ihrer oben genannten Rechte als betroffene Person ausüben, dann wenden Sie sich bitte an Ihre Forschungspflegekraft vor Ort.