Πολιτική Προστασίας των Προσωπικών Δεδομένων και Ασφαλείας Η προστασία και ασφάλεια των προσωπικών δεδομένων και των πληροφοριών υγείας είναι πρωταρχικής σημασίας για την εταιρεία Outcome Sciences, Inc. με το διακριτικό τίτλο Outcome (στο εξής: Outcome). Η Outcome προστατεύει με επιμέλεια τα εμπιστευτικά προσωπικά δεδομένα και τις πληροφορίες υγείας που της παρέχονται από εταίρους και εθελοντές συμμετέχοντες σε έρευνες, από επαγγελματίες στον τομέα της υγείας και ιδρύματα υγειονομικής περίθαλψης που διατηρούν δεδομένα. Η Outcome δεσμεύεται να τηρεί τους εφαρμοστέους νόμους, κανόνες και κανονισμούς κατά τη χρήση, συλλογή και δημοσιοποίηση τέτοιων πληροφοριών. Η παρούσα Πολιτική Προστασίας των Προσωπικών Δεδομένων και Ασφαλείας αποτελεί δυναμικό έγγραφο, το οποίο αντικατοπτρίζει τη συνεχή επαγρύπνησή μας όσον αφορά τον ορθό χειρισμό και διασφάλιση των πληροφοριών που μας εμπιστεύονται προς φύλαξη. I. Για χρήστες εγκατεστημένους στις Ηνωμένες Πολιτείες, εφαρμόζονται οι όροι του παρόντος τμήματος I: H νομοθετική πράξη Health Insurance Portability and Accountability Act του 1996 (στο εξής: HIPAA) και οι κανόνες και κανονισμοί που υλοποιούνται στο πλαίσιο αυτής θεσπίστηκαν για την προστασία, την ασφάλεια και τη διανομή πληροφοριών υγείας που είναι προσωπικά αναγνωρίσιμες. Οι οργανισμοί υγειονομικής περίθαλψης, οι οποίοι περιλαμβάνουν προγράμματα υγείας και παρόχους υπηρεσιών υγείας, οφείλουν να συμμορφώνονται με την HIPAA καθώς σε διαφορετική περίπτωση αντιμετωπίζουν σημαντικές κυρώσεις που επιβάλλονται από το αμερικανικό υπουργείο Υγείας και Ανθρωπίνων Υπηρεσιών, την αρμόδια προς επιβολή της HIPAA κυβερνητική υπηρεσία. Η συμμόρφωση με την HIPAA έχει μεγάλη σημασία διότι η HIPAA καθορίζει τις νομικές, κανονιστικές προϋποθέσεις καθώς και τις προϋποθέσεις ασφαλείας και τεχνολογίας οι οποίες επιβάλλονται στις οργανώσεις υγειονομικής περίθαλψης οι οποίες διαχειρίζονται πληροφορίες υγείας που είναι προσωπικά αναγνωρίσιμες. Καίτοι η Outcome δεν είναι οργάνωση υγειονομικής περίθαλψης, ορισμένα από τα καθήκοντα και υποχρεώσεις που υπαγορεύονται από την HIPAA εφαρμόζονται στην Outcome σε περίπτωση που ενεργεί ως Εταίρος (όπως ορίζεται στην HIPAA) οργανισμών υγειονομικής περίθαλψης, όπως σε περίπτωση που η Outcome διευκολύνει τη διεξαγωγή ερευνητικών μελετών εγκρίσεως μετά την απομάκρυνση από την αγορά και προγραμμάτων βελτίωσης ποιότητας σε διάφορες εγκαταστάσεις υγειονομικής περίθαλψης, όπου περιλαμβάνεται η χρήση και δημοσιοποίηση πληροφοριών υγείας που είναι προσωπικά αναγνωρίσιμες. Η Outcome δεσμεύεται να διαχειρίζεται πληροφορίες υγείας που είναι προσωπικά αναγνωρίσιμες σύμφωνα με τους ομοσπονδιακούς νόμους και τους κανονισμούς των Η.Π.Α. σχετικά με την ασφάλεια και την ηλεκτρονική διαχείριση των προστατευόμενων πληροφοριών υγείας, περιλαμβάνοντας ενδεικτικά, τις ισχύουσες απαιτήσεις της HIPAA σχετικά με την ασφάλεια και την ηλεκτρονική μεταφορά καθώς και κάθε άλλη νομική επιταγή. Όλες οι ερευνητικές λύσεις της Outcome μετά την κυκλοφορία στην αγορά είναι σύμφωνες με την HIPAA και αλληλοσυνδέονται με τα ήδη υπάρχοντα πρωτόκολλα της HIPAA για οργανισμούς υγειονομικής περίθαλψης. Η Outcome διαθέτει μεγάλη εμπειρία στην προσαρμογή των προϊόντων για οργανισμούς υγειονομικής περίθαλψης και φαρμακευτικές εταιρείες, και έχει συνεργαστεί στενά μαζί τους για να διευκολύνει τη συμμόρφωση των οργανισμών υγειονομικής περίθαλψης με την HIPAA. Η Outcome έχει αναπτύξει και διαχειρίζεται τον μεγαλύτερο αριθμό ψηφιακών πλατφορμών μελετών και
καταχωρήσεων (estudies και eregistries) στον κλάδο, και τα online συστήματα μας χρησιμοποιούνται σε πάνω από 2.000 νοσοκομεία στις Η.Π.Α., συμπεριλαμβανομένων όλων των μεγάλων ακαδημαϊκών κέντρων. Η Outcome έχει θέσει σε εφαρμογή διοικητικές, υλικές και τεχνικές ρήτρες διασφάλισης οι οποίες προστατεύουν εύλογα και κατάλληλα την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των ηλεκτρονικά προστατευόμενων πληροφοριών υγείας. Η Outcome διαχειρίζεται την ασφάλεια μέσω υλικών και λογικών μεθόδων. Τα συστήματα και οι βάσεις δεδομένων που έχουμε στη διάθεσή μας διατηρούνται υπό επίβλεψη σε ασφαλή εγκατάσταση ελεγχόμενης προσβάσεως. Στους μηχανισμούς που χρησιμοποιούμε περιλαμβάνονται η κρυπτογράφηση, η ταυτοποίηση, η ανίχνευση εισβολής, η ταυτοποίηση χρήστη, η ασφαλής αποθήκευση και η δημιουργία αντιγράφων ασφαλείας, η σύνταξη εγγράφων και μη τροποποιήσιμα αρχεία ελέγχου. Επιπλέον, οι εξωτερικές αξιολογήσεις της ασφάλειας του συστήματος πραγματοποιούνται συνήθως από ανεξάρτητο, τρίτο εμπειρογνώμονα. Συνοπτικά, τα συστήματα της Outcome συντηρούνται με βάση την υψηλών προτύπων συλλογή, διαχείριση και διαβίβαση πληροφοριών υγειονομικής περίθαλψης. Πραγματοποιείται τακτική παρακολούθηση των τεχνολογικών, διαδικαστικών και καταστατικών αλλαγών που επηρεάζουν την προστασία των προστατευόμενων πληροφοριών για την υγεία. II. Για χρήστες εγκατεστημένους στην Ευρωπαϊκή Ένωση, εφαρμόζονται οι όροι του παρόντος τμήματος II: Σύμφωνα με τη νομοθεσία της ΕΕ, κάθε πληροφορία που αναφέρεται σε κατονομαζόμενο ή αναγνωρίσιμο φυσικό πρόσωπο αποτελεί «δεδομένο προσωπικού χαρακτήρα». Τα προσωπικά δεδομένα πρέπει να προστατεύονται σύμφωνα με το νομικό πλαίσιο που ορίζεται στην οδηγία περί Προστασίας Προσωπικών Δεδομένων 95/46/ΕΚ (στο εξής: οδηγία περί Προστασίας Προσωπικών Δεδομένων). Όλα τα προσωπικά δεδομένα αποθηκεύονται σε ασφαλή βάση δεδομένων, κατόπιν συναίνεσης ή κατόπιν έγκρισης των αρμόδιων επιτροπών δεοντολογίας. Όλο το προσωπικό της Outcome που μεταχειρίζεται προσωπικά δεδομένα εκπαιδεύεται σύμφωνα με τις απαιτήσεις των ισχυόντων νόμων και κανονισμών. Η Outcome δεσμεύεται να διασφαλίζει ότι οι προσωπικές πληροφορίες υγείας (ως ευαίσθητα δεδομένα) παραμένουν αυστηρά εμπιστευτικές. Εντούτοις, τα προσωπικά δεδομένα ενδέχεται να δημοσιοποιούνται σε ρυθμιστικές αρχές για την απόκτηση κανονιστικής έγκρισης ή για τη συμμόρφωση με τις ισχύουσες νομικές απαιτήσεις. Προσωπικά δεδομένα ενδέχεται να κοινολογούνται σε ορισμένους τρίτους κατόπιν ενημέρωσης και συγκατάθεσης που λαμβάνεται από τα υποκείμενα των δεδομένων των οποίων τα προσωπικά δεδομένα μπορεί να χρησιμοποιηθούν για ερευνητικές δραστηριότητες ή ως άλλως επιτρέπεται από τις αρμόδιες επιτροπές δεοντολογίας. Τα προσωπικά δεδομένα μπορεί, κατά καιρούς, να κωδικοποιούνται με κλειδί αποκωδικοποίησης, και σε περίπτωση χρήσης τους, ο χειρισμός της μεθόδου κωδικοποίησης με κλειδί αποκωδικοποίησης πραγματοποιείται σύμφωνα με τις αρχές της ΕΕ περί προστασίας δεδομένων. Οι ιδιώτες δικαιούνται να έχουν πρόσβαση και να διορθώνουν τα δεδομένα προσωπικού χαρακτήρα που τηρούνται για αυτούς, εφόσον το επιθυμούν. Το Υπουργείο Εμπορίου των Ηνωμένων Πολιτειών και η Ευρωπαϊκή Επιτροπή συμφώνησαν στην έκδοση ενός συνόλου αρχών για την προστασία των δεδομένων και συναφών συχνών ερωτήσεων προκειμένου οι εταιρείες των Η.Π.Α. να πληρούν τις προϋποθέσεις της
νομοθεσίας της Ευρωπαϊκής Ένωσης για παροχή επαρκούς προστασίας των προσωπικών πληροφοριών που διαβιβάζονται από την ΕΕ προς τις Ηνωμένες Πολιτείες (στο εξής: Αρχές Ασφαλούς Λιμένα). Ο Ευρωπαϊκός Οικονομικός Χώρος (στο εξής: ΕΟΧ) έχει επίσης αναγνωρίσει ότι οι Αρχές Ασφαλούς Λιμένα παρέχουν επαρκή προστασία των δεδομένων προσωπικού χαρακτήρα. Ο ΕΟΧ περιλαμβάνει τις 25 χώρες της Ευρωπαϊκής Ένωσης, καθώς και την Ισλανδία, το Λιχτενστάιν και τη Νορβηγία. Η Outcome δεσμεύεται να προστατεύει την ιδιωτική ζωή και προσχωρεί στις Αρχές Ασφαλούς Λιμένα σχετικά με την κοινοποίηση, επιλογή, περαιτέρω διαβίβαση των πληροφοριών, πρόσβαση στις προσωπικές πληροφορίες, ασφάλεια, ακεραιότητα των δεδομένων και εφαρμογή. Σε περίπτωση που η Outcome συλλέγει προσωπικά δεδομένα απευθείας από ιδιώτες εντός του ΕΟΧ, οφείλει να ενημερώνει τα πρόσωπα σχετικά με τους σκοπούς για τους οποίους συλλέγει και χρησιμοποιεί πληροφορίες που τα αφορούν, ήτοι τη διεξαγωγή της έρευνας, που ενδέχεται να περιλαμβάνει τα προσωπικά δεδομένα τους. Η Outcome θα παρέχει πληροφορίες σε τρίτους αντιπροσώπους μόνο κατά την παροχή των υπηρεσιών της Outcome σύμφωνα με τις αρχές που κατονομάζονται ανωτέρω. H Outcome μπορεί να μεταβιβάσει προσωπικά δεδομένα στα γραφεία της στις Ηνωμένες Πολιτείες, σε αντιπροσώπους που υπόκεινται στον ομοσπονδιακό νόμο των ΗΠΑ περί προστασίας των πληροφοριών υγείας (τη νομοθετική πράξη the Health Insurance Portability and Accountability Act του 1996 («HIPAA»)), καθώς και σε αντιπροσώπους της που δεν υπόκεινται στην HIPAA. Εντούτοις, σε περίπτωση μεταβιβάσεως στα γραφεία της Outcome στις Ηνωμένες Πολιτείες ή σε αντιπροσώπους που δεν υπόκεινται στην HIPAA, κατάλληλες εγγυήσεις έχουν τεθεί σε εφαρμογή στην περίπτωση της Outcome και απαιτούνται από τους αντιπροσώπους της Outcome. Οι εν λόγω εγγυήσεις μπορεί να περιλαμβάνουν: σύμβαση που υποχρεώνει τον πράκτορα να παρέχει τουλάχιστον το ίδιο επίπεδο προστασίας που απαιτείται από τις σχετικές Αρχές Ασφαλούς Λιμένα, να υπόκειται στην πιστοποίηση Ασφαλούς Λιμένα της οδηγίας της ΕΕ 95/46/ΕΚ ή να υπόκειται σε άλλη διαδικασία επάρκειας της Ευρωπαϊκής Επιτροπής (π.χ., η Πιστοποίηση Ασφαλούς Λιμένα Ελβετίας-ΗΠΑ). Η Οutcome αναγνωρίζει τη σημασία της διατήρησης του απορρήτου των πληροφοριών που συλλέγονται ή/και αποθηκεύονται online και διαθέτει συστήματα προστασίας των δεδομένων που συλλέγονται ή/και αποθηκεύονται online ή μέσω ηλεκτρονικής βάσης δεδομένων. H Outcome έχει θέσει σε εφαρμογή διοικητικές, υλικές και τεχνικές ρήτρες διασφάλισης για την προστασία των ηλεκτρονικών προσωπικών δεδομένων από απώλεια, άτοπη χρήση και μη εξουσιοδοτημένη πρόσβαση. Ειδικότερα, η Outcome συνεχίζει τη διαδικασία πιστοποίησης σύμφωνα με τα διεθνή πρότυπα ασφάλειας BS ISO/IEC 27001:2005 για συστήματα διαχείρισης πληροφοριών. Τα πρότυπα αυτά εφαρμόζουν τις κατευθυντήριες γραμμές του Οργανισμού Οικονομικής Συνεργασίας και Ανάπτυξης για την προστασία της ιδιωτικής ζωής, την ασφάλεια των πληροφοριών και των συστημάτων δικτύων. Προκειμένου να διατηρηθεί η συλλογή μας πληροφοριών και το σύστημα μετάδοσης σε βέλτιστα πρότυπα, η Outcome παρακολουθεί τις τροποποιήσεις των τεχνολογικών, κανονιστικών και νομοθετικών διατάξεων που αφορούν την προστασία της ιδιωτικής ζωής και της ασφάλειας των προσωπικών δεδομένων. III. Για χρήστες εγκατεστημένους εκτός των Ηνωμένων Πολιτειών και της Ευρωπαϊκής Ένωσης, εφαρμόζονται οι όροι του παρόντος τμήματος III: Πρόθεση της Outcome είναι να εξασφαλίσει ότι όλα τα προσωπικά δεδομένα που της παρέχονται, από όλον τον κόσμο, υπόκεινται στην κατάλληλη διαχείριση η οποία εκτελείται
σύμφωνα με τους διεθνείς κανόνες προστασίας δεδομένων που ισχύουν για τα δεδομένα προσωπικού χαρακτήρα. Πρόθεση της Outcome αποτελεί η συμμόρφωση των συνήθων πρακτικών και διαδικασιών της σχετικά με τη συλλογή και κοινοποίηση των προσωπικών δεδομένων με τους τοπικούς νόμους προστασίας δεδομένων, κατά περίπτωση. Οι Κατευθυντήριες γραμμές για την προστασία της ιδιωτικής ζωής και τη διασυνοριακή ροή δεδομένων προσωπικού χαρακτήρα του Οργανισμού για την Οικονομική Συνεργασία και Ανάπτυξη (στο εξής: ΟΟΣΑ, κατευθυντήριες γραμμές του ΟΟΣΑ) προσδιορίζουν τις γενικές αρχές προστασίας προσωπικών δεδομένων. Οι εν λόγω κατευθυντήριες γραμμές του ΟΟΣΑ αποτελούν τον πυρήνα των περισσότερων νόμων για την προστασία των δεδομένων σε παγκόσμιο επίπεδο. Προκειμένου να εξασφαλιστεί υψηλό επίπεδο προστασίας των προσωπικών δεδομένων τα οποία διαχειρίζεται και επεξεργάζεται η Outcome, τα προσωπικά δεδομένα θα συλλέγονται, χρησιμοποιούνται και δημοσιοποιούνται από την Outcome, σύμφωνα με τα πρότυπα που καθορίζονται στις κατευθυντήριες γραμμές του ΟΟΣΑ. Όλα τα προσωπικά δεδομένα αποθηκεύονται σε ασφαλή βάση δεδομένων, κατόπιν της συγκατάθεσης του υποκειμένου των δεδομένων ή άλλης κατάλληλης έγκρισης. Το σύνολο του προσωπικού της Outcome το οποίο διαχειρίζεται προσωπικά δεδομένα εκπαιδεύεται σύμφωνα με τις απαιτήσεις συναφών νόμων και κανονισμών περί προστασίας δεδομένων. H Outcome δεσμεύεται να διασφαλίζει ότι τα προσωπικά δεδομένα φυλάσσονται αυστηρώς εμπιστευτικά. Εντούτοις, τα προσωπικά δεδομένα μπορούν να αποκαλυφθούν σε ρυθμιστικές αρχές για τους σκοπούς της απόκτησης κανονιστικής έγκρισης, σύμφωνα με τις εφαρμοστέες νομικές προϋποθέσεις ή άλλως για τη συμμόρφωση με τις εφαρμοστέες νομικές προϋποθέσεις. Προσωπικά στοιχεία μπορεί επίσης να γνωστοποιούνται σε ορισμένους τρίτους σύμφωνα με τους όρους της σαφούς ενημέρωσης και συγκατάθεσης που παρέχεται από τα υποκείμενα των δεδομένων των οποίων τα προσωπικά δεδομένα μπορούν να χρησιμοποιηθούν για τις ερευνητικές δραστηριότητες, ή ως άλλως επιτρέπεται κατόπιν κατάλληλης έγκρισης. Τα προσωπικά δεδομένα μπορεί, κατά καιρούς, να κωδικοποιούνται με κλειδί κωδικοποίησης, και σε περίπτωση χρήσης τους, ο χειρισμός της μεθόδου κωδικοποίησης με κλειδί αποκωδικοποίησης πραγματοποιείται σύμφωνα με τις κατευθυντήριες γραμμές του ΟΟΣΑ. Οι ιδιώτες δικαιούνται να έχουν πρόσβαση και να διορθώνουν τα δεδομένα προσωπικού χαρακτήρα που τηρούνται για αυτούς, εφόσον το επιθυμούν. Σε περίπτωση που η Outcome συλλέγει απευθείας προσωπικά δεδομένα από ιδιώτες παγκοσμίως, θα τους ενημερώνει σχετικά με τους σκοπούς για τους οποίους συλλέγει και χρησιμοποιεί τα προσωπικά δεδομένα τους, ήτοι για τη διεξαγωγή έρευνας που μπορεί να περιλαμβάνει τα προσωπικά δεδομένα τους και για κάθε άλλο συναφή σκοπό. H Outcome παρέχει πληροφορίες σε ανεξάρτητους τρίτους αντιπροσώπους αποκλειστικά με σκοπό την παροχή υπηρεσιών της Outcome με τρόπο που συνάδει με τις αρχές που περιγράφονται ανωτέρω. Η Outcome μπορεί να μεταβιβάζει προσωπικά δεδομένα στα γραφεία της στις Ηνωμένες Πολιτείες και τα γραφεία της αυτά θα διατηρούν τα εν λόγω δεδομένα σύμφωνα με την παρούσα Πολιτική. H Outcome μπορεί επίσης να μεταβιβάσει προσωπικές πληροφορίες στους αντιπροσώπους, από τους οποίους θα ζητηθούν οι κατάλληλες εγγυήσεις ότι τα προσωπικά στοιχεία θα διαχειρίζονται σύμφωνα με τις κατευθυντήριες γραμμές του ΟΟΣΑ και τους ισχύοντες τοπικούς νόμους. H Outcome αναγνωρίζει τη σημασία της διατήρησης του απορρήτου των πληροφοριών που συλλέγονται ή/και αποθηκεύονται online και διαθέτει συστήματα που προστατεύουν τα
προσωπικά δεδομένα που συλλέγονται ή/και αποθηκεύονται ηλεκτρονικά ή μέσω ηλεκτρονικής βάσης δεδομένων. H Outcome έχει θέσει σε εφαρμογή διοικητικές, υλικές και τεχνικές ρήτρες διασφάλισης για την προστασία των ηλεκτρονικών προσωπικών δεδομένων από απώλεια, άτοπη χρήση και μη εξουσιοδοτημένη πρόσβαση. Ειδικότερα, η Outcome συνεχίζει τη διαδικασία πιστοποίησης για τα διεθνή πρότυπα ασφαλείας BS ISO/IEC 27001:2005 για συστήματα διαχείρισης πληροφοριών. Τα πρότυπα αυτά εφαρμόζουν τις κατευθυντήριες γραμμές του ΟΟΣΑ για την προστασία της ιδιωτικής ζωής, την ασφάλεια των πληροφοριών και των συστημάτων δικτύου. Προκειμένου να διατηρηθεί η συλλογή πληροφοριών μας και το σύστημα μετάδοσης σε βέλτιστα πρότυπα, ηoutcome παρακολουθεί τις εξελίξεις όσον αφορά τις τεχνολογικές, κανονιστικές και νομοθετικές διατάξεις που αφορούν την προστασία της ιδιωτικής ζωής και της ασφάλειας των προσωπικών δεδομένων.