Introductie
De Algemene Verordening Gegevensbescherming (AVG) is op 25 mei 2018 van kracht geworden en biedt een belangrijke herziening van de wet die regelt hoe persoonsgegevens worden verzameld en gebruikt, met uitbreiding van ruimere rechten en controle voor personen wat betreft de verwerking van hun persoonsgegevens, terwijl er strengere verplichtingen worden opgelegd aan organisaties die persoonsgegevens verwerken.

Deze verklaring licht onze sterke betrokkenheid toe om te voldoen aan de AVG en biedt enige context voor de verwerking van persoonsgegevens door iRhythm.

Onze inzet
iRhythm neemt gegevensprivacy en -beveiliging serieus. We hebben ons robuuste nalevingsprogramma verbeterd en herzien het voortdurend om het nog beter af te stemmen op de unieke elementen van de AVG. Ons multifunctionele projectteam, dat bestaat uit externe experts op het gebied van beveiliging en gegevensprivacy, werkt door zich te richten op het garanderen van naleving en transparantie voor onze klanten en patiënten.

Naleving van de AVG
Als onderdeel van onze AVG-voorbereiding hebben we een gedetailleerde analyse uitgevoerd van alle bedrijfsprocessen waarbij er persoonsgegevens worden verzameld en gebruikt. We hebben onze gegevensstromen in kaart gebracht en hebben een hiaatanalyse uitgevoerd aan de hand waarvan we ons nalevingsprogramma hebben gestructureerd. Belangrijke stappen die we hebben genomen als onderdeel van dit programma zijn:

• Transparantie: Het beoordelen en bijwerken van onze privacyverklaringen voor artsen, patiënten, gebruikers van onze website en ons ZioSuite-portaal, evenals het communiceren van informatie over onze rechtmatige verwerking om te voldoen aan onze AVG-meldingsverplichtingen.
• Verwerkingsregistratie: Het documenteren van onze dossiers over de verwerking van persoonsgegevens en het bepalen en vastleggen van de juiste rechtsgronden voor elk verwerkingsdoel. Dit is een dynamisch dossier dat we voortdurend in de gaten houden.
• Rechten van betrokkenen: Het bijwerken van verbeterde kennisgevingen van rechten aan personen en het implementeren van nieuwe en gewijzigde beleidslijnen en processen om te anticiperen op de uitoefening van rechten van betrokkenen, deze te beheren en erop te reageren.
• Beveiliging: Patiënten- en persoonsgegevens worden tijdens doorvoer en in de rusttoestand versleuteld. Het versleutelingsbeleid van iRhythm voldoet aan alle algemeen aanvaarde commerciële en overheidsnormen of overtreft deze.
• Incidentrespons: Het beoordelen en verbeteren van onze bestaande incidentresponsprocedures om alle noodzakelijke rapporten binnen de door de AVG vereiste termijnen te identificeren, onderzoeken, indammen en creëren.
• Beoordelingen van gegevensbeschermingseffecten (Data Protection Impact Assessments, DPIA's):iRhythm heeft een DPIA-procedure geïmplementeerd en voert DPIA's uit wanneer onze verwerking van persoonsgegevens waarschijnlijk leidt tot een hoog risiconiveau. We hebben processen geïmplementeerd om elke beoordeling vast te leggen en, waar van toepassing, om de maatregelen vast te leggen en te beheren om het risiconiveau te verminderen.
• Privacy door ontwerp en standaarden: Het ontwikkelen van richtlijnen voor product- en systeemontwikkelaars zodat iRhythm privacy door ontwerp en standaarden kan opnemen in nieuwe systemen en processen.
• Beleidslijnen en procedures: Het beoordelen, bijwerken en schrijven van nieuwe beleidslijnen en procedures om te voldoen aan onze aangescherpte AVG-verplichtingen.
• Contracten: Het opvragen van informatie over de AVG-gereedheid van onze dienstverleners en het uitvoeren van doorlopende beoordelingen en het bijwerken van overeenkomsten die relevant zijn voor de verwerking van persoonsgegevens in overeenstemming met de AVG-vereisten met klanten en onderaannemers.
• Gegevensbewaring: Het bewaren van persoonsgegevens voor de duur van uw gebruik van de Zio service en indien nodig om te voldoen aan onze contractuele verplichtingen, om problemen vast te stellen of om juridische (of regulatoire) procedures op te lossen. We kunnen ook na deze tijd geaggregeerde informatie bewaren voor onderzoeksdoeleinden en om ons te helpen onze diensten te ontwikkelen en te verbeteren. Patiënten kunnen niet worden geïdentificeerd aan de hand van geaggregeerde informatie die voor deze doeleinden wordt bewaard of gebruikt.
• Training en bewustwording: Het bijwerken van trainingsmateriaal en het implementeren van een trainingsprogramma voor werknemers over de vereisten van de AVG, het stimuleren van bewustwording en het verder verbeteren van de nalevingscultuur binnen iRhythm.
• Privacyfunctionaris: We hebben een verantwoordelijke aangewezen voor de naleving van de privacywetgeving binnen iRhythm. De functionaris wordt ondersteund door een multifunctioneel team dat kennis over de AVG in de hele organisatie bevordert.
• Melding: Ons privacybeleid kan worden bekeken op onze website op https://info.irhythmtech.com/privacy.
• Verwerkingsverantwoordelijke/Verwerker: Vaststellen dat iRhythm een verwerkingsverantwoordelijke is en geen verwerker. Als verwerkingsverantwoordelijke begrijpt iRhythm dat zij is onderworpen aan het bredere toepassingsgebied van verplichtingen die voortvloeien uit de wetgeving voor gegevensbescherming waaraan ook haar accounts zijn onderworpen.
• Verantwoordelijkheid: Het invoeren van systemen en logboeken om de genomen nalevingsmaatregelen vast te leggen en bij te houden.

iRhythm begrijpt dat voortdurend toezicht en bewustwording van werknemers essentieel zijn voor de voortdurende naleving van de AVG. Wij blijven de verwerking van persoonsgegevens evalueren en passen onze documentatie waar nodig aan.

Als u nog vragen hebt over onze naleving van de AVG, neem dan contact met ons op via privacy@irhythmtech.com.