Introduction
Le Règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018. Il a constitué une mise à jour significative de la loi régissant la collecte et l’utilisation des données à caractère personnel et a étendu les droits et le contrôle des personnes sur la manière dont leurs données à caractère personnel sont traitées tout en imposant des obligations accrues aux organisations qui traitent lesdites données à caractère personnel.

La présente déclaration explique notre engagement sans faille à respecter le RGPD et contextualise le traitement des données à caractère personnel par iRhythm.

Notre engagement
iRhythm prend au sérieux la confidentialité et la sécurité des données. Nous améliorons et révisons en permanence notre solide programme de conformité pour nous adapter au maximum aux aspects uniques du RGPD. Notre équipe de projet interfonctionnelle, comptant des experts externes en sécurité et confidentialité des données, travaille dans le but d’assurer la conformité et la transparence vis-à-vis de nos clients et de nos patients.

Conformité au RGPD
Dans le cadre de notre préparation au RGPD, nous avons entrepris une analyse détaillée de tous les processus commerciaux impliquant la collecte et l’utilisation de données à caractère personnel. Nous avons cartographié nos flux de données et effectué une analyse des écarts afin de structurer notre programme de conformité. Les principales mesures que nous avons prises dans le cadre de ce programme sont les suivantes :

• Transparence :Examen et mise à jour de nos avis de confidentialité aux médecins, patients et utilisateurs de notre site Web et de notre portail ZioReports, ainsi que le communication d’informations sur le traitement légitime pour remplir nos obligations de notification énoncées dans le RGPD.
• Dossier de traitement : Documenter nos dossiers sur le traitement des données à caractère personnel, et déterminer et enregistrer les bases juridiques appropriées pour chaque finalité de traitement. Il s’agit d’un dossier évolutif que nous révisons régulièrement.
• Droits des sujets concernés :Mise à jour des avis à l’attention des particuliers avec le renforcement des droits, et mise en œuvre de politiques et processus nouveaux et modifiés pour anticiper, gérer et répondre à l’exercice des droits des sujets concernés.
• Sécurité :les données à caractère personnel et les données des patients sont chiffrées en transit et en veille. La politique de chiffrement d’iRhythm respecte ou dépasse toutes les normes commerciales et gouvernementales généralement acceptées.
• Réponse aux incidents :Révision et amélioration de nos procédures de réponse aux incidents existantes pour identifier, enquêter, contenir et établir tous les rapports nécessaires dans les délais requis par le RGPD.
• Évaluations d’impact sur la protection des données (DPIA) :iRhythm a mis en œuvre une procédure DPIA (Data Protection Impact Assessments) et mènera des DPIA lorsque son traitement des données à caractère personnel sera susceptible d’entraîner un niveau élevé de risque. Nous mettons en œuvre des processus pour enregistrer chaque évaluation et, le cas échéant, pour enregistrer et gérer les mesures visant à réduire le niveau de risque.
• Protection de la vie privée dès la conception et par défaut :Élaboration de directives à l’attention des développeurs de produits et de systèmes afin qu’iRhythm puisse intégrer la protection de la vie privée dès la conception et par défaut dans les nouveaux systèmes et processus.
• Politiques et procédures :Révision, mise à jour et rédaction de nouvelles politiques et procédures pour remplir les obligations renforcées énoncées dans le RGPD.
• Contrats :Demander des informations sur la préparation au RGPD de nos prestataires de services, mener des vérifications continues et mettre à jour les accords de traitement des données à caractère personnel conformément aux exigences du RGPD avec les clients et les sous-traitants.
• Conservation des données :Conserver les données à caractère personnel pendant toute la durée de votre utilisation du Zio Service et pendant la durée nécessaire pour remplir nos obligations contractuelles, identifier les problèmes ou résoudre des procédures judiciaires (ou réglementaires). Nous pouvons également conserver des informations agrégées au-delà de ce délai à des fins de recherche, et pour développer et améliorer nos services. Il est impossible d’identifier les patients à partir des informations agrégées conservées ou utilisées à ces fins.
• Formation et sensibilisation :Mise à jour des supports de formation et mise en œuvre d’un programme de formation pour les employés sur les exigences du RGPD, sensibilisation et renforcement de la culture de conformité au sein d’iRhythm.
• Délégué à la protection de la vie privée :Nous avons désigné la responsabilité en matière de conformité à la confidentialité des données au sein d’iRhythm. Le délégué s’appuie sur une équipe interfonctionnelle qui promeut la sensibilisation au RGPD dans l’ensemble de l’organisation.
• Notification : Nos politiques de confidentialité sont consultables sur notre site Web à l’adresse https://www.zioreports.com/Application.html#PP_UK.
• Responsable du traitement/sous-traitant :Établir qu’iRhythm est un responsable du traitement et non un sous-traitant. En tant que responsable du traitement, iRhythm comprend qu’elle est soumise à un éventail plus large d’obligations découlant de la loi sur la protection des données auquel ses clients sont également soumis.
• Responsabilité :Mise en place de systèmes et de journaux pour transcrire les mesures de conformité et tenir des registres à ce sujet.

iRhythm comprend que la supervision continue et la sensibilisation des employés sont essentielles à la conformité au RGPD. Nous continuons à vérifier le traitement des données à caractère personnel, à ajuster et à adapter nos documents selon les besoins.

Pour toute autre question sur notre conformité au RGPD, veuillez nous contacter à l’adresse UKprivacy@irhythmtech.com.