Tietosuojakäytäntö

1.    JohdantoYksityisyytesi on meille tärkeää!

Pyrimme yhdessä CoroPrevention Consortiumin kumppaneiden kanssa noudattamaan täysin EU:n yleistä tietosuoja-asetusta (GDPR).

Tätä CoroPrevention-mobiilisovellusta voivat käyttää vain ne, jotka osallistuvat CoroPrevention Personalized Prevention -ohjelmaan. Mobiilisovelluksen avulla voit osallistua ohjelmaan ja se tukee yhteistä päätöksentekoa, ja se muistuttaa sinua sovituista tavoitteista ja lääkkeiden ottamisesta. Tämä edellyttää säännöllistä henkilökohtaisten käyttäytymis-, lääkitys- ja parametritietojesi raportointia tutkimushoitajallesi. Raportointi tapahtuu täyttämällä tiedot sovelluksessa ja tutkimuskäyntien aikana.

CoroPrevention Tool Suite -sovelluksen valmistaja UniWeb BV pitää tärkeänä varmistaa eritoten sen, että kaikki palvelumme, järjestelmämme ja niiden sisältämät tiedot pysyvät turvassa ja luottamuksellisina. Tätä varten olemme kehittäneet tehokkaan tietoturvan hallintajärjestelmän, jolle olemme saaneet ISO 27001:2013 -sertifikaatin.

Korkeiden tietoturvastandardiemme myötä voimme suojata tietojärjestelmiemme sisältämät kriittiset ja arkaluontoiset tiedot vaarantumiselta tai luvattomalta käytöltä. Lisäksi ne auttavat meitä suojaamaan henkilötietojasi virheiltä, onnettomuuksilta tai pahantahtoisilta toimilta, jotka aiheuttaisivat tietojen luvatonta julkaisemista, paljastamista, muuttamista, häviämistä tai tuhoutumista.

Laajempi CoroPrevention-tutkimuksen tietosuojaseloste on saatavilla CoroPrevention- verkkosivustolta. Jos tämän käytännön ja CoroPrevention-tutkimuksen tietosuojaselosteen välillä on ristiriitoja, CoroPrevention-tietosuojaseloste on etusijalla tähän CoroPrevention- mobiilisovelluksen tietosuojakäytäntöön nähden.

 

2.    Kenellä on oikeus päästä tietoihin?

CoroPrevention Personalized Prevention -ohjelman toteuttavat CoroPrevention-konsortion kumppanit.

Ainoastaan tutkimuspaikan henkilöstöllä on oikeus päästä tietoihin, jotka koskevat tutkimuksen osallistujien henkilöllisyyttä. Tutkimuksen aikana kerätyt tiedot tallennetaan pseudonymisoituina (koehenkilön tunnuksella) ja salattuina, ja niihin pääsevät vain valtuutetut henkilöt, jotka ovat osa CoroPrevention-konsortiota. Tutkijan on pidettävä ehdottoman luottamuksellisina kaikki tiedot, joiden avulla tutkittava voidaan tunnistaa tutkittavan tunnisteen lisäksi (esim. allekirjoitettu ”suostumus lääketieteelliseen tutkimukseen”), paitsi siinä määrin kuin on tarpeen kokeisiin liittyvän seurannan, auditointien ja viranomaistarkastusten mahdollistamiseksi.

Täydellinen luettelo yhteisistä rekisterinpitäjistä on CoroPreventionin tietosuojaselosteessa, joka julkaistaan CoroPreventionin verkkosivustolla.

 

Kolmannet osapuolet

UniWeb ei koskaan myy tai jaa henkilötietoja muille kuin edellä luetelluille kolmansille osapuolille, jotka osallistuvat CoroPrevention-ohjelmaan.

Tiettyjen palvelujen tarjoamisessa UniWeb on riippuvainen kolmansien osapuolten toimittajista (esim. keskitetty lokiratkaisu, datakeskuksen isännöinti). Kuten UniWebin vakioiduissa toimintamenettelyissä edellytetään, kaikki toimittajat tarkastetaan perusteellisesti ennen kuin niiltä hankitaan palveluja. Yleisen tietosuoja-asetuksen noudattaminen sisältyy tietenkin kaikkia toimittajia koskeviin vaatimuksiin. UniWeb arvioi säännöllisesti yhteistyötä toimittajiensa kanssa ja yhteistyön ehtoja. Yhteistyö lopetetaan, jos toimittaja ei enää täytä UniWebin tietoturvallisuuden hallintajärjestelmän vaatimuksia.

Sovellettavan lain sallimissa rajoissa henkilötietojasi voidaan luovuttaa seuraaville osapuolille:

 

●      Valtion viranomaiset

●      Auditoijat

 

3.    Mitä tietoja käsittelemme ja miksi?

UniWeb rakentaa, ylläpitää ja isännöi verkkosovelluksia ja verkkosivustoja rekisterinpitäjän ja CoroPrevention Consortiumin yhteistyökumppaneiden toimittamien eritelmien mukaisesti. Näiden sovellusten ja verkkosivustojen käsittelemät henkilötiedot vaihtelevat rekisterinpitäjän määrittelemien erilaisten käyttäjäroolien ja niihin liittyvien tarkoitusten mukaan.

CoroPrevention-sovellukset ja EDC-järjestelmä keräävät tietoja, joita ovat (esimerkiksi):

-        Potilaan tunniste (pseudonyymi)

-        Terveys-, lääke- ja liikuntatiedot

-        Ravitsemus- ja tupakointitiedot

-        Käyttötilastot sovelluksessa, mukaan lukien lokitiedot ja yhteystiedot (esim. selain, IP- osoite).

Näiden käsittelytoimien tarkoitukseen voivat sisältyä (esimerkiksi):

 

-        Terveyshyödyt ja kliinisen tutkimuksen tavoitteet tutkimuksen protokollan mukaisesti

-        Tunnistaminen, potilasturvallisuus ja kyberturvallisuuden seuranta

-        Sen salliminen, että käyttäjä voi määrittää muistutuksia ja hälytyksiä

-        Sovellusten toiminnan optimointi.

-        Konsortiosopimukseen ja sääntelyvaatimuksiin liittyvien sopimusten täyttäminen konsortiokumppaneiden kanssa.

Konsortiotason tietosuojaa koskeva vaikutusten arviointi tehdään, jotta riskejä voitiin arvioida ja vaikutuksia lieventää.

Jos haluat perehtyä luetteloon tai haluat saada lisätietoa tietojenkäsittelytoimien tarkoituksesta, ota yhteyttä paikalliseen tutkimushoitajaan.

 

4.    Missä säilytämme henkilötietojasi?

UniWebillä on täysi määräysvalta ja omistusoikeus laitteistoon, jota käytetään henkilötietojesi tallentamiseen. Tuotanto-, valmistelu- ja varmuuskopiointipalvelimemme sijaitsevat Belgiassa, jossa on isännöintipalvelun toimittajamme turvallinen datakeskus. Toimittaja on sertifioitu ISO 27001:2013- ja ISO 22301:2012 -standardien mukaisesti. Henkilötiedot pysyvät näillä palvelimilla, mutta toimeksiantaja voi viedä niitä tiettyinä hetkinä vain tutkimus-, turvallisuus- ja käyttöanalyysitarkoituksiin. Lokitiedot tallennetaan tilapäisesti keskitetylle lokitoimittajalle EU:n sisäistä datakeskusta käyttäen.

 

5.    Kuinka kauan säilytämme henkilötietoja?

Oletussäilytysaika

Kaikkien UniWebin kehittämien verkkosivustojen ja verkkosovellusten suunnitteluprosessin aikana on sovittu yhteisten rekisterinpitäjien kanssa vakiosäilytysajasta ja poistomenettelystä sääntelyvaatimusten mukaisesti, kuten CoroPreventionin tietosuojaselosteessa on kuvattu.

UniWebin asiakkaiden osalta kaikki henkilötiedot, joita on käsitelty tuotantopalvelimiemme kautta sopimuksen mukaisesti, poistetaan järjestelmistämme pian sopimuksen päättymisen jälkeen. Tiedot poistetaan myös kokonaan varmuuskopioistamme 180 päivän kuluessa (tai sopimuksen mukaisesti).

Osana tietoturvan hallintajärjestelmässämme kuvattuja vakioituja toimintamenettelyjä UniWeb tarkastelee säännöllisesti tarvetta säilyttää tietoja, jotta emme säilytä tietoja pidempään kuin on ehdottoman välttämätöntä.

 

Poikkeukset

Poikkeamat oletussäilytysajasta voivat olla tarpeen:

-        lain mukaan

-        rekisterinpitäjän nimenomaisesta pyynnöstä (josta rekisterinpitäjä on ottanut täyden vastuun)

Lisätietoja näistä poikkeuksista saat ottamalla yhteyttä paikalliseen tutkimushoitajaan tai tutustumalla CoroPrevention-sivustolla julkaistuun CoroPreventionin tietosuojaselosteeseen.

 

6.    Miten varmistamme turvallisuuden?

UniWeb on sitoutunut rakentamaan turvallisia ja suorituskykyisiä mobiili- ja verkkosovelluksia. UniWeb päivittää ja parantaa jatkuvasti turvatoimenpiteitä, jotka on toteutettu suojaamaan henkilötietoja ja muita tietoja luvattomalta käytöltä, muuttamiselta, häviämiseltä tai tuhoutumiselta. Seuraavassa esimerkkejä UniWebin käyttämistä turvatoimenpiteistä:

●      Kaikki UniWebin hallussa olevat tiedot salataan sekä silloin, kun ne ovat tallennettuina laitteistolle, että silloin, kun niitä siirretään palvelumme ja selaimesi tai sovelluksesi välillä.

●      Kaikki tiedot on täysin varmuuskopioitu.

●      Palveluillemme tehdään läpäisytestejä ja ne suojataan Nessus-skannauksilla.

●      Keskitetty lokiratkaisu sovelluksen suorituskyvyn seurantaan ja kyberturvallisuuden seurantaan.

●      Palvelumme tukevat kehittynyttä todentamista, myös G-Suiten käyttöä, Office 365 -tilin todentamista ja Duo Multi-Factor Authentication -todentamista.

Jos sattuu tietoturvatapahtuma, UniWeb käsittelee sen nopeasti ja asianmukaisesti noudattamalla UniWebin tietoturvan hallintajärjestelmässä kuvattuja vakioituja toimintamenettelyjä. Turvatoimenpiteidemme tavoin näitä menettelyjä tarkistetaan ja päivitetään säännöllisesti vastaamaan jatkuvasti muuttuviin tietoturvahaasteisiin.

Kaikki UniWebin työntekijät saavat säännöllistä koulutusta turvallisuuden parhaista käytännöistä ja yhtiön menettelytavoista. Odotamme samantasoista sitoutumista toimittajiltamme, joiden palveluja tarkistetaan säännöllisesti.

 

7.    Mitkä ovat oikeutesi rekisteröitynä?

Tietoon perustuvan suostumusprosessin aikana sinulle kerrottiin oikeuksistasi rekisteröitynä ja oikeudet lueteltiin tietoon perustuvan suostumuksen asiakirjassa.

Esimerkkejä näistä oikeuksista ovat muun muassa seuraavat:

●       Sinulla on oikeus pyytää henkilötietojasi koskevia tietoja.

●       Sinulla on oikeus pyytää kopio kaikista tiedoistasi vakiomuodossa.

Voit helposti käyttää mitä tahansa oikeuksiasi tutustumalla tietoon perustuvaan suostumuslomakkeeseen tai ottamalla yhteyttä tutkimushoitajaasi.

 

8.    Miten voit antaa suostumuksesi?

Kun rekisteröity antaa henkilötiedot mobiili- tai verkkosovelluksen kautta sekä tietoon perustuvassa suostumusprosessissa selitetyllä tavalla, hän antaa nimenomaisen suostumuksensa, jonka nojalla yhteiset rekisterinpitäjät voivat käsitellä tietoja ilmoitettuihin tarkoituksiin.

Jos rekisterinpitäjä syöttää henkilötietoja mobiili- tai verkkosovellukseen, rekisterinpitäjän katsotaan olevan vastuussa siitä, että rekisteröidylle tiedotetaan asiasta asianmukaisesti ja että rekisterinpitäjä saa rekisteröidyltä suostumuksen tietoon perustuvan suostumusprosessin

aikana. Jos näin ei tehdä, kyseessä on vaatimustenvastaisuus, joka edellyttää, että UniWeb ryhtyy asianmukaisiin toimiin tietoturvan hallintajärjestelmässä kuvattujen vakioitujen toimintamenettelyjen mukaisesti. Kaikki kulut, joita UniWebille kertyy näiden korjaavien toimenpiteiden suorittamisesta, veloitetaan rekisterinpitäjältä.

Jos UniWeb tai jokin CoroPrevention Consortiumin kumppaneista haluaa välittää tiettyjä henkilötietoja kolmansille osapuolille, käyttäjältä pyydetään lisäsuostumus. Edellä mainittu koskee myös henkilötietojesi käsittelyä EU:n ulkopuolella.

 

9.    Keneen voit ottaa yhteyttä?

Jos sinulla on kysyttävää tästä tietosuojakäytännöstä tai jos haluat käyttää jotakin edellä mainituista rekisteröidyn oikeuksista, ota yhteyttä paikalliseen tutkimushoitajaasi.