Uw Privacy
Laatst bijgewerkt: 25 maart 2022
1. Over dit Beleid
1.1 ResMed (hierna “ResMed”, “we”, “wij”, “ons” of “onze”) zet zich in voor de bescherming van de privacy en veiligheid van uw Persoonsgegevens (zoals hierna gedefinieerd) en wil transparant zijn over de soorten Persoonsgegevens die wij over u verzamelen en hoe wij deze gebruiken. In dit Privacybeleid (hierna het “Beleid”) wordt uitgelegd hoe wij de informatie die wij over u verzamelen (“Persoonsgegevens”) via uw gebruik van het ResMed-apparaat (het “Apparaat”), verzamelen, gebruiken en delen en wordt u geïnformeerd over de rechten en vrijheden die u kunt uitoefenen met betrekking tot ons gebruik van uw Persoonsgegevens. Dit Beleid beschrijft ook de maatregelen die we nemen om uw Persoonsgegevens te beschermen.
1.2 Dit apparaat wordt beheerd door ResMed SAS, met hoofdkantoor te 292 Allée Jacques Monod, 69791 Saint-Priest, Frankrijk, dat de verwerkingsverantwoordelijke is voor alle Persoonsgegevens die via dit apparaat worden verzameld. Raadpleeg deze gebruikershandleiding voor meer informatie over deze App.
1.3 Als u niet wilt dat ResMed Persoonsgegevens over u verwerkt via dit apparaat, zoals beschreven in deze Privacyverklaring, mag u de functionaliteit “connectiviteit” op dit apparaat niet activeren (neem contact op met uw zorgverlener om er zeker van te zijn dat de functionaliteit “connectiviteit” niet is geactiveerd op uw apparaat).
2. Soorten Persoonsgegevens die we verzamelen en waarom
2.1 Wanneer u de App gebruikt, verzamelen we de volgende soorten Persoonsgegevens over u, die we alleen verwerken voor de hierna beschreven doelen:
2.2 Slaapgegevens
Het Apparaat stelt ons in staat om informatie over uw slaappatroon en -stoornissen te verzamelen. Slaapgegevens worden als gezondheidsgerelateerd (gezondheidsgegevens) beschouwd wanneer ze worden gebruikt om uw gezondheidstoestand te analyseren en uw gezondheidsrisico’s te beoordelen. Dit is bijvoorbeeld het geval wanneer onze analyse van uw slaapstoornissen is gebaseerd op het hoge aantal apneus per uur dat binnen een bepaalde tijdsperiode is gemeten.
ResMed verwerkt uw gezondheidsgegevens voor de volgende doeleinden:
❶ Voldoen aan wettelijke verplichtingen in verband met het in de handel brengen van medische hulpmiddelen:
(i) om de bruikbaarheid, prestaties en beveiliging van zijn medische apparaten te verbeteren.
(ii) om een klinische follow-up van zijn medische apparaten uit te voeren nadat deze op de markt zijn gekomen.
(iii) om incidenten op te volgen die het gevolg kunnen zijn van het gebruik van medische hulpmiddelen.
❷ Uitvoeren van gezondheidsstudies, -onderzoek en -evaluaties.
Uw gezondheidsgegevens kunnen ook worden hergebruikt onder de verantwoordelijkheid van ResMed, onderzoekers of partners van ResMed voor de doeleinden van retrospectieve studies van algemeen belang op het gebied van gezondheid en om kennis te verbeteren. Overeenkomstig de Algemene Verordening Gegevensbescherming (AVG) vereist de verwerking voor dit doel uw voorafgaande uitdrukkelijke toestemming.
Deze Privacyverklaring wordt regelmatig bijgewerkt. Wij raden u aan deze verklaring regelmatig te raadplegen om u te informeren over alle studies die ResMed, onderzoekers of partners van ResMed verrichten op basis van het hergebruik van uw gegevens.
Deze gezondheidsstudies die worden uitgevoerd op basis van het hergebruik van uw persoonsgegevens:
(i) hebben tot doel wetenschappelijke kennis te verbeteren,
(ii) moeten een algemeen belang dienen dat in overeenstemming is met geldende wet- en regelgeving,
(iii) worden verricht door ResMed, onderzoekers of partners van ResMed die vooraf de vereiste formaliteiten van de autoriteiten hebben vervuld, in het bijzonder de CNIL,
(iv) worden goedgekeurd door het Wetenschappelijk Comité van ResMed.
3. Hoe verkrijgen wij uw Persoonsgegevens?
3.1 Het merendeel van de informatie die we verwerken, verkrijgen we direct via het ResMed-apparaat dat uw slaap bewaakt.
3.2 ResMed verwerkt Persoonsgegevens van de Klant namens de Klant als Verwerker in het kader van de levering van de ResMed HI-diensten.
4. ResMed verwerkt uw Persoonsgegevens als Verwerkingsverantwoordelijke voor de hierboven omschreven doelen 1 en 2.
5. Met wie delen wij uw Persoonsgegevens?
5.1 Wij kunnen uw Persoonsgegevens delen met de volgende categorieën van ontvangers:
(a) met onze in de Europese Unie gevestigde externe leveranciers, dienstverleners en partners die ons gegevensverwerkingsdiensten leveren, of die anderszins Persoonsgegevens verwerken voor de doelen die in dit Beleid staan beschreven of die aan u zijn bekendgemaakt wanneer we uw Persoonsgegevens verzamelen. Zo kunnen we Persoonsgegevens delen met in de Europese Unie gevestigde externe leveranciers en andere dienstverleners waarop we een beroep doen in het kader van de diensten die zij aan ons leveren, waaronder ondersteuning in domeinen als beheer en ondersteuning van IT-platformen, infrastructuur- en toepassingsdiensten, marketing en gegevensanalyse. Dit is de lijst van externe leveranciers en dienstverleners die bij de beschreven behandelingen betrokken zijn:
(b) met een wethandhavings-, regelgevende of overheidsinstantie, rechtbank of andere derde wanneer we het delen van de gegevens noodzakelijk achten (i) om te voldoen aan de toepasselijke wet- of regelgeving, (ii) om onze wettelijke rechten uit te oefenen, vast te stellen of te verdedigen, of (iii) om uw vitale belangen of die van anderen te beschermen;
(c) met onze auditors, adviseurs, wettelijke vertegenwoordigers en soortgelijke tussenpersonen in het kader van de adviserende diensten die zij ons bieden voor rechtmatige zakelijke doeleinden en met een contractueel verbod om de Persoonsgegevens voor enig ander doel te gebruiken;
(d) met een potentiële koper (en zijn vertegenwoordigers en adviseurs) naar aanleiding van een voorgestelde aankoop, fusie of overname van enig deel van ons bedrijf, op voorwaarde dat we de koper ervan op de hoogte brengen dat hij uw Persoonsgegevens alleen mag gebruiken voor de in dit Beleid vermelde doeleinden;
(e) met iedere andere persoon als u vooraf uw toestemming hebt gegeven voor het delen van de gegevens.
6. Hoe beschermen wij uw privacy?
6.1 Wij verwerken Persoonsgegevens in overeenstemming met de volgende principes:
(a) Eerlijkheid: wij verwerken Persoonsgegevens op een eerlijke manier. Dit betekent dat we transparant zijn over hoe we Persoonsgegevens verwerken.
(b) Wettelijkheid: wij verwerken Persoonsgegevens alleen voor wettelijke redenen.
(c) Doelbeperking: wij verwerken Persoonsgegevens voor de gespecificeerde uitdrukkelijke en rechtmatige doeleinden en verwerken deze niet op een manier die niet met deze doelen overeenstemt, tenzij toegestaan door toepasselijke wetten inzake gegevensbescherming.
(d) Gegevensminimalisatie: wij verwerken Persoonsgegevens die adequaat, relevant en noodzakelijk zijn om de doelen waarvoor de gegevens worden verwerkt te bereiken.
(e) Juistheid van gegevens: wij nemen passende maatregelen om ervoor te zorgen dat de Persoonsgegevens die we over u bewaren nauwkeurig, volledig en – indien van toepassing – actueel zijn. Het is echter ook uw verantwoordelijkheid om ervoor te zorgen dat uw Persoonsgegevens zo nauwkeurig, volledig en actueel als mogelijk blijven door ons onmiddellijk van eventuele wijzigingen of fouten op de hoogte te brengen. U moet ons op de hoogte brengen van wijzigingen in Persoonsgegevens die we over u bewaren (bijvoorbeeld een adreswijziging).
(f) Gegevensbeveiliging: wij nemen passende technische en organisatorische maatregelen om uw Persoonsgegevens die we verzamelen en verwerken te beschermen. De maatregelen die we nemen zijn bedoeld om een passend beveiligingsniveau te bieden, rekening houdend met het risico van de verwerking van uw Persoonsgegevens. Alle gegevens worden met name beschermd op basis van de verschillende risiconiveaus door middel van fysieke maatregelen, zoals beveiligde zones, technische maatregelen, zoals versleuteling, en organisatorische maatregelen, zoals doorlichting van en toezicht op medewerkers.
(g) Beperkte bewaartermijn: wij bewaren uw Persoonsgegevens in een vorm die ons in staat stelt u te identificeren zolang dit nodig is om de doelen waarvoor we uw gegevens verwerken te bereiken; we bewaren ze niet langer, tenzij dit nodig is om aan toepasselijke wetgeving te voldoen.
7. Opslaan, bewaren en verwijderen van gegevens
7.1 De Persoonsgegevens die we over u verzamelen, worden opgeslagen op onze servers in een land in de Europese Economische Ruimte (momenteel in Frankrijk en/of Duitsland).
Persoonlijke gegevens van klanten worden door ResMed gedurende de hieronder vermelde termijnen in een archief bewaard. ResMed is wettelijk verplicht om deze bewaartermijnen na te leven overeenkomstig toepasselijke wetgeving (met inbegrip van maar niet beperkt tot de regelgeving inzake medische hulpmiddelen (EU) 2017/745 van 5 april 2017), in zijn hoedanigheid van Verwerkingsverantwoordelijke. De volgende tabel geeft een overzicht van de verschillende bewaartermijnen voor gegevens overeenkomstig het doel van de verwerking.
8. Technische en organisatorische maatregelen.
8.1 We gebruiken diverse gegevensbeveiligings- en privacymaatregelen om uw Persoonsgegevens te beschermen en om aan de toepasselijke wetgeving inzake gegevensbescherming te voldoen.
8.2 Uw Persoonsgegevens worden opgeslagen in een beveiligd datacenter in Frankrijk of Duitsland door een HDS-gecertificeerde Health Hosting Provider. Onze onderaannemer werkt volgens onze strikte en precieze instructies. De onderaannemer ondergaat regelmatige audits door onafhankelijke externe auditors, inclusief penetratietests en certificeringsaudits. De Hosting-subverwerker is verantwoordelijk voor onderhoud, fysieke hardware en netwerkbeveiliging met betrekking tot de Persoonsgegevens van klanten die door hem worden gehost.
8.3 Alle ResMed-medewerkers hebben een geheimhoudingsovereenkomst ondertekend en krijgen ook diverse opleidingen in beveiliging en privacy (e-learning, privacy champions-training, enz.). Door deze opleidingen in de praktijk te brengen kan ResMed aantonen dat al onze medewerkers die Europese Persoonsgegevens verwerken een goede kennis hebben van onze privacy- en beveiligingsprocessen en deze volgen.
8.4 De vertrouwelijkheid en integriteit van uw gegevens wordt beschermd door het gebruik van partitionering (d.w.z. gescheiden test- en productieomgevingen), pseudonimisering, sterke authenticatie en versleutelingsmethoden, die de gegevens beschermen in rust en bij doorgifte. Er is een passend versleutelingsbeleid vastgelegd om te garanderen dat de toegepaste methoden adequaat zijn.
8.5 Er wordt gebruik gemaakt van back-ups om de beschikbaarheid en integriteit van uw gegevens te garanderen. De back-upbewerkingen worden gecontroleerd, beveiligd en gedocumenteerd. Daarnaast zijn een noodgevalherstelplan en een bedrijfscontinuïteitsplan toegepast en getest.
8.6 Er worden regelmatig automatische beveiligingsupdates toegepast om elk risico op kwetsbaarheden in de infrastructuur te vermijden Firewalloplossingen en antimalware-/antivirusoplossingen van de volgende generatie, evenals kwetsbaarheidsscans en systeempatches, bieden bescherming tegen malware en schadelijke aanvallen. Daarnaast is een veilig verwijderingsproces vastgelegd om ervoor te zorgen dat uw gegevens veilig worden verwijderd.
8.7 Alleen bevoegd onderhoudspersoneel heeft toegang tot systeem- en toepassingsonderdelen op basis van de principes van minimale bevoegdheden, need-to-know en functiescheiding. myAir past logische controles toe op toepassings-, database- en systeemniveau om ervoor te zorgen dat gegevens van één organisatie nooit kunnen worden bekeken of gewijzigd door een andere organisatie.
8.8 Er is een controlemechanisme vastgelegd om logboeken te beoordelen en schadelijke activiteiten te detecteren met behulp van geschikte programma’s.
8.9 ResMed hanteert een wijzigingsbeheerprocedure om ervoor te zorgen dat een veiligheidscontrole plaatsvindt vóór het doorvoeren van significante wijzigingen.
8.10 Er is een actieplan voor beveiligingsincidenten geïmplementeerd en getest. Daarnaast heeft ResMed een programma voor het beheer van beveiligingsincidenten en -gebeurtenissen geïmplementeerd. Dit meldt elke toegang tot het systeem en geeft een waarschuwing in geval van een verboden actie, zodat hierop tijdig en doeltreffend kan worden gereageerd.
8.11 Ondanks de strenge beveiligingsmaatregelen die we toepassen, dient u te beseffen dat het onmogelijk is om absolute veiligheid te garanderen voor gegevens die via internet worden verstuurd. Als we de bevestiging krijgen van een inbreuk op uw Persoonsgegevens, voldoen wij aan alle relevante wettelijke bepalingen met betrekking tot de melding van een inbreuk op de gegevensbeveiliging.
9. Overdracht van Persoonsgegevens buiten de EU/EER
9.1 Uw Persoonsgegevens blijven te allen tijde opgeslagen in datacenters in de Europese Economische Ruimte (“EER”). In een beperkt aantal omstandigheden kan het echter noodzakelijk zijn dat uw Persoonsgegevens op afstand toegankelijk zijn voor of worden overgedragen aan ResMed of zijn dienstenaanbieders in landen buiten de EER (bijvoorbeeld om technische ondersteuning te bieden of om redenen van gegevensbeveiliging).
9.2 ResMed of zijn dienstenaanbieders kunnen ook bevelen van overheden buiten de EER ontvangen die ons verplichten om uw Persoonsgegevens bekend te maken. Deze landen kunnen gegevensbeschermingswetten hebben die afwijken van de wetten in de EER.
9.3 Wanneer we toestaan dat uw Persoonsgegevens worden doorgegeven aan dienstenaanbieders of ResMed-bedrijven buiten de EER, nemen we gepaste veiligheidsmaatregelen (zoals de standaardcontractbepalingen van de Europese Commissie op basis van artikel 46 van de AVG) en ondernemen we andere nodige stappen om ervoor te zorgen dat uw gegevens beschermd blijven overeenkomstig de gegevensbeschermingswet. U hebt het recht om een kopie op te vragen van de veiligheidsmaatregelen die zijn genomen om uw Persoonsgegevens door te geven buiten de EER (u kunt dit doen door contact met ons op te nemen via de in deze verklaring vermelde contactgegevens).
Wanneer we bevelen ontvangen van buitenlandse overheden, zien ResMed en zijn dienstenaanbieders erop toe dat deze bevelen geldig en bindend zijn voordat gegevens worden bekendgemaakt.
9.4 Hieronder vindt u een overzicht van de mogelijke doorgiften buiten de EER die kunnen plaatsvinden in het kader van de hierboven beschreven verwerking.
10. Uw rechten met betrekking tot gegevensbescherming
10.1 U hebt de volgende rechten met betrekking tot gegevensbescherming:
(a) U kunt uw recht op toegang uitoefenen, wat het recht op informatie omvat om inzicht te krijgen in de manier waarop ResMed uw Persoonsgegevens verwerkt, alsook het recht om ResMed te vragen om een kopie van de Persoonsgegevens die we over u bewaren, inclusief een kopie van de Standaardcontractbepalingen die we hebben vastgelegd.
(b) Als u uw Persoonsgegevens wilt corrigeren of bijwerken, kunt u dit doen door contact met ons op te nemen via de onderstaande contactgegevens.
(c) U kunt ons verzoeken om uw Persoonsgegevens te wissen, maar wanneer ResMed uw Persoonsgegevens alleen verwerkt om te voldoen aan haar kwaliteits- en regelgevingsverplichtingen onder de toepasselijke wetgeving (wat het geval is voor doel 1 van de verwerking), zal ResMed niet in staat zijn om uw Persoonsgegevens op verzoek te wissen.
(d) Daarnaast kunt u onder bepaalde omstandigheden, zoals uiteengezet in de toepasselijke wetgeving inzake gegevensbescherming, bezwaar maken tegen de verwerking van uw Persoonsgegevens (alleen voor doel 2), ons vragen de verwerking van uw Persoonsgegevens te beperken of verzoeken om overdraagbaarheid van uw Persoonsgegevens. Ook deze rechten kunt u uitoefenen door contact met ons op te nemen via de onderstaande contactgegevens.
(e) Als wij uw Persoonsgegevens verzamelen en verwerken met uw toestemming, kunt u op elk moment uw toestemming intrekken. Het intrekken van uw toestemming heeft geen invloed op de wettelijkheid van elke eventuele verwerking die we hebben uitgevoerd vóór het intrekken van uw toestemming en heeft evenmin invloed op de verwerking van uw Persoonsgegevens die op wettelijke verwerkingsgronden is uitgevoerd en niet op basis van uw toestemming.
(f) Als u een klacht of bezorgdheid hebt over de manier waarop wij uw Persoonsgegevens verwerken, zullen wij ons uiterste best doen om deze te behandelen. Als u vindt dat wij uw klacht of bezorgdheid niet op afdoende wijze hebben behandeld, hebt u het recht om een klacht in te dienen bij een gegevensbeschermingsautoriteit over de manier waarop wij uw Persoonsgegevens verzamelen en gebruiken. Neem voor meer informatie contact op met uw lokale gegevensbeschermingsautoriteit. De contactgegevens van gegevensbeschermingsautoriteiten in de Europese Economische Ruimte, Zwitserland en bepaalde niet-Europese landen (waaronder de Verenigde Staten en Canada) vindt u hier.
10.2 U kunt de bovenvermelde rechten op elk moment uitoefenen door contact met ons op te nemen zoals beschreven in het gedeelte ‘Contact met ons opnemen’ hieronder. Wij zullen uw verzoek beantwoorden in overeenstemming met de toepasselijke gegevensbeschermingswetten.
10.3 Wij beantwoorden alle verzoeken die we ontvangen van individuele personen die hun rechten met betrekking tot gegevensbescherming willen uitoefenen in overeenstemming met de toepasselijke gegevensbeschermingswetten.
11. Aanpassingen aan dit Beleid
11.1 We kunnen deze Privacyverklaring af en toe aanpassen als gevolg van nieuwe juridische, technische of zakelijke ontwikkelingen. Wanneer we onze Privacyverklaring aanpassen, nemen we passende maatregelen om u hiervan op de hoogte te brengen, in lijn met het belang van de doorgevoerde wijzigingen.
11.2 U kunt zien wanneer deze Privacyverklaring het laatst is bijgewerkt aan de hand van de datum “laatst bijgewerkt” die bovenaan deze Privacyverklaring staat vermeld.
12. Contact met ons opnemen
12.1 Als u vragen, bezorgdheden of klachten hebt over dit Beleid of de manier waarop wij uw Persoonsgegevens verwerken, of als u uw rechten wilt uitoefenen zoals hierboven beschreven, kunt u als volgt contact opnemen met onze privacyafdeling: door een e-mail te sturen naar: privacy@resmed.eu. Per post: ResMed SAS, 292 Allée Jacques Monod, 69791 Saint-Priest, Frankrijk.
U kunt ook als volgt contact opnemen met onze functionaris gegevensbescherming: door een e-mail te sturen naar: privacy@resmed.eu. Per post: Data Protection officer, ResMed SAS, 292 Allée Jacques Monod, 69791 Saint-Priest, Frankrijk.
RH-1111011/3 2022-03
