Zuletzt aktualisiert: 26. März 2020
In diesen FAQ werden häufig gestellte Fragen zum Umgang von Butterfly mit Datenschutz und Sicherheit beantwortet, einschließlich Fragen dazu, wie Butterfly die globalen Datenschutzverordnungen, etwa die Datenschutz-Grundverordnung der Europäischen Union („DSGVO”) oder das Datenschutzgesetz in Australien und Neuseeland, einhält. Darüber hinaus sollen unsere Kunden und medizinische Fachkräfte (wie Sie) besser über die von Ihnen an Butterfly übermittelten Patientendaten informiert werden.
Wir hoffen, dass Sie die FAQ nützlich finden. Bitte beachten Sie jedoch, dass es sich hierbei weder um eine Rechtsberatung handelt noch darauf ausgerichtet ist, Ihr Unternehmen über die erforderlichen Schritte zu informieren, sodass Sie Ihren rechtlichen Verpflichtungen nachkommen.
Ja, Butterfly bietet ein umfangreiches Datenschutzprogramm an.
Wir können Ihnen nicht sagen, wie die Einhaltung des Datenschutzes für Sie aussieht, jedoch können wir Sie darüber informieren, wie unsere Dienste funktionieren und welche Sicherheitskontrollen wir implementiert haben. Wir bemühen uns, sicherzustellen, dass wir für unsere Dienste branchenführende Sicherheitskontrollen verwenden. Letztendlich liegt es allerdings an Ihnen, zu beurteilen, ob unsere Dienste für Ihr Unternehmen geeignet sind. Bei Butterfly bemühen wir uns, diese Einschätzung so einfach wie möglich für Sie zu gestalten:
Wenn Sie weitere Fragen zur Einhaltung des Datenschutzes von Butterfly haben, senden Sie bitte unter Verwendung der obenstehenden Kontaktinformationen eine E-Mail an unseren Datenschutzbeauftragen.
Ja – Datensicherheit ist für uns bei Butterfly von größter Bedeutung. Wir erwarten von allen unseren Mitarbeitern, Daten, die unsere Kunden uns anvertrauen, stets vertraulich zu behandeln.
Unser Sicherheitsteam steht unter der Leitung unseres Informationssicherheitsbeauftragten (Chief Information Security Officer, CISO). Der Informationssicherheitsbeauftragte wird durch ein spezielles Datensicherheitsteam unterstützt, dessen Aufgabe es ist, die Implementierung geeigneter technischer und organisatorischer Sicherheitsmaßnahmen zu garantieren, einschließlich der hier beschriebenen Maßnahmen.
In Verbindung mit unseren Diensten haben medizinische Fachkräfte die Möglichkeit, bestimmte Patientendaten („Patientendaten”) auf die Butterfly Plattform hochzuladen und dort zu hosten. Unsere Kunden bestimmen, welche Patientendaten auf die Plattform hochgeladen werden. Diese können Folgendes umfassen: Patientennamen, Geschlecht, Geburtsdatum sowie die mithilfe des iQ-Geräts erfassten Scans der Krankenaktennummer. Sie umfassen mitunter klinische Notizen der medizinischen Fachkräfte über den Patienten sowie seiner Scans.
Alle Patientendaten, die von Butterfly innerhalb Butterfly-Plattform verarbeitet werden, gelten als personenbezogene Daten und die EU und viele Länder außerhalb der EU wie Australien und Neuseeland verfügen über Gesetze, die die Erhebung, Verwendung, Speicherung und Übermittlung der personenbezogenen Daten ihrer Einwohner schützen. Tatsächlich werden Patientendaten vielerorts als sensible Daten (oder „Sonderkategorie von Daten“) gehandhabt und unterliegen somit einem erhöhten Schutz und verschärften Anforderungen zur Einhaltung.
Butterfly hat eine Reihe von Maßnahmen getroffen, dank derer seine Kunden die Patientendaten innerhalb der Butterfly-Plattform sicher und vertrauensvoll erfassen und speichern können. Butterfly verpflichtet sich, alle von uns erhaltenen personenbezogenen Daten im Sinne der geltenden Datenschutzrechte zu verarbeiten.
Wo Ihre Daten gespeichert werden, hängt von der geografischen Lage Ihres Unternehmens ab. Wir verwenden derzeit die folgenden AWS-Rechenzentren zur Speicherung von Daten:
Die einzelnen Regionen schränken den Zugang der Kunden zum Butterfly Network nicht ein: Sie bestimmen lediglich den geografischen Standort, an dem die Daten gespeichert und die Rechenressourcen bereitgestellt werden. Bitte beachten Sie, dass Ihre Daten zwar in den oben genannten Regionen gespeichert werden, dass jedoch Mitarbeiter von Butterfly Network in den Vereinigten Staaten auf diese Daten zugreifen können. Dies gilt jedoch nur in dem Maße, wie es für die Bereitstellung, Sicherung und Wartung der Dienste gemäß unserem Vertrag mit unseren Kunden erforderlich ist. Daten in anonymisierter oder aggregierter Form können auch in unseren zentralen Speicher- und Verarbeitungssystemen in den Vereinigten Staaten gespeichert werden.
Das ist nicht der Fall. Der Freedom of Information and Protection of Privacy Act (FOIPPA) der Provinz British Columbia und der Personal Information International Disclosure Protection Act (PIIDPA) der Provinz Nova Scotia enthalten Ausnahmen, wonach öffentliche Stellen in diesen Provinzen personenbezogene Daten außerhalb Kanadas speichern können, wenn die Daten der betreffenden Person zugeordnet wurden und die Person, um die es sich handelt, zugestimmt hat, dass ihre Daten gemäß den Bestimmungen des FOIPPA oder des PIIDPA aus einer anderen Gerichtsbarkeit abgerufen oder dort gespeichert werden. PIIDPA bietet den Leitern öffentlicher Einrichtungen in Nova Scotia weiteren Spielraum, die Speicherung von personenbezogenen Daten außerhalb Kanadas zu erlauben, wenn die Speicherung den notwendigen Anforderungen der Tätigkeit der öffentlichen Einrichtung entspricht.
Nein, die DSGVO verlangt nicht, dass personenbezogene Daten aus der EU in der EU verbleiben müssen. Die DSGVO beschränkt die Übermittlung personenbezogener Daten aus der EU in Länder wie die Vereinigten Staaten, es sei denn, der Empfänger sieht angemessene Schutzmaßnahmen für diese Daten vor. Der Anhang zur EU-Datenverarbeitung von Butterfly Network, der auf unsere Datenschutzschild-Zertifizierung und die Modellklauseln der Europäischen Kommission verweist, ermöglicht es unseren Kunden jedoch, personenbezogene Daten aus der EU rechtmäßig an Butterfly Network mit Sitz in den Vereinigten Staaten zu übermitteln. Details zu unserer Datenschutzschild-Zertifizierung finden Sie hier.
Wenn medizinische Fachkräfte Patientendaten an Butterfly übermitteln, sind sie (oder das Krankenhaus, für das sie tätig sind) der/die Datenverantwortliche, Butterfly ist üblicherweise der Datenverarbeiter, der Patient ist das Datensubjekt. Als Datenverarbeiter verpflichtet sich Butterfly, Patientendaten aus der EU gemäß den Anforderungen des Artikels 28 der DSGVO in seinem Anhang zur Standarddatenverarbeitung zu verarbeiten. Eine Kopie des Dokuments ist seinen Standardbedingungen beigefügt (auf Anfrage erhältlich).
Butterfly fungiert mitunter im Rahmen seiner Beziehung zu medizinischen Fachkräften als Datenverantwortlicher, wenn es z. B. Daten erfasst über medizinische Fachkräfte zu Zwecken des Marketings, der Vermarktung und Verwaltung seiner Beziehung mit medizinischen Fachkräften (oder dem Krankenhaus, für das sie tätig sind).
Butterfly kann ferner im Rahmen der geltenden Gesetze und unter Zustimmung seiner Kunden als Datenverantwortlicher für bestimmte Patientendaten in Zusammenhang mit seinen Deep Learning-Aktivitäten fungieren. Mehr Informationen darüber finden Sie im Datenschutzhinweis von Butterfly, in dem erläutert wird, wie wir Patientendaten für solche Zwecke nutzen.
Butterfly hat mit Unterstützung spezialisierter externer Fachberater ein Compliance-Projekt zur Einhaltung der DSGVO initiiert. Folgende spezifische Maßnahmen hat Butterfly zusätzlich zu den oben beschriebenen ergriffen:
Butterfly Network verpflichtet sich zur Einhaltung der DSGVO-Compliance und ist sich der Relevanz dessen für seine Kunden bewusst.
Im Rahmen der EU-Datenschutzgesetze ist der Export personenbezogener Daten in einen Staat außerhalb des Europäischen Wirtschaftsraums („EWR“) an Empfänger außerhalb des EWR verboten, sofern keine entsprechenden Schutzmaßnahmen vorhanden sind.
Obwohl Butterfly Network seine Dienste Kunden auf der ganzen Welt anbietet, einschließlich medizinischen Fachkräften im EWR und der Schweiz, befindet sich sein Hauptsitz in den Vereinigten Staaten. Aus diesem Grund werden personenbezogene Daten aus dem EWR und der Schweiz von Butterfly auf den Servern und Einrichtungen in den Vereinigten Staaten verarbeitet.
Um die Einhaltung von EU-Datenexportgesetzen zu gewährleisten, hat sich Butterfly im Rahmen des EU-US- und Schweiz-US-Datenschutzschildes, das der Vereinfachung des rechtmäßigen Transfers von Daten aus dem EWR und der Schweiz zwecks Verarbeitung von Butterfly in den Vereinigten Staaten dient, selbst zertifiziert. Weitere Informationen über den Datenschutzschild finden Sie unter www.privacyshield.gov. Um unsere Zertifizierung einzusehen, besuchen Sie https://www.privacyshield.gov/participant?id=a2zt00000008hnlAAA&status=Active.
Darüber hinaus gewährleistet Butterfly die Verarbeitung von Daten aus dem EWR und der Schweiz gemäß den EU-Standardvertragsklauseln (bisweilen auch „Modellklauseln” genannt), falls der Transfer nicht durch die Datenschutzschild-Zertifizierung von Butterfly abgedeckt ist. Hierbei handelt es sich um die von der Europäischen Kommission im Voraus genehmigten Bedingungen der Standardformulare für den Datenexport. Durch ihre Unterzeichnung verpflichtet sich Butterfly, die von ihren EU-Kunden erhaltenen personenbezogenen Daten (einschließlich Patientendaten) gemäß den EU-Datenschutzstandards zu schützen.
Wenn Butterfly mit einem Dritten einen Vertrag abschließt, der in irgendeiner Weise mit Patientendaten interagiert, so muss dieser Dritte zunächst eine Sicherheits- und Risikobewertung von Butterfly bestehen, um sicherzustellen, dass er bezüglich personenbezogener Daten die Standards von Butterfly einhält. Darüber hinaus gewährleistet Butterfly, dass solche Unternehmen vertraglich verpflichtet sind gleichwertige Sicherheitsmaßnahmen zum Schutz von Patientendaten umzusetzen und aufrechtzuerhalten.
Unsere aktuelle Liste der Subprozessoren ist nachstehend aufgeführt. Da sich unser Geschäft entwickelt und wächst, können sich auch die von uns beauftragten Subprozessoren ändern. Bitte schauen Sie regelmäßig nach, ob es Aktualisierungen gibt.
In manchen Ländern verlangen die Datenschutzgesetze, dass Patienten darüber informiert werden, wie ihre Daten genutzt und weitergegeben werden (einschließlich über die beabsichtigten Empfänger ihrer Daten und über Informationen zu der Behörde, die ihre Daten aufbewahrt). In manchen Fällen müssen Patienten dementsprechend über die von Butterfly durchgeführte Verarbeitung informiert werden. Falls dies auf Ihre Gerichtsbarkeit zutrifft, ermöglichen Sie Patienten bitte, den Datenschutzhinweis von Butterfly einzusehen. Auf diese Weise können sie nachvollziehen, wie Butterfly ihre personenbezogenen Daten in Verbindung mit den Diensten von Butterfly verarbeitet und nutzt.
Bestimmte Datenschutzgesetze (einschließlich der DSGVO) geben Patienten das Recht, eine Kopie ihrer von Ihnen aufbewahrten Daten anzufordern. Dies kann mitunter als „Auskunftsantrag des Datensubjekts“ bezeichnet werden. Richtet ein Patient einen solchen Auskunftsantrag direkt an Butterfly, leiten wir ihn in unserer Funktion als Datenverarbeiter schnellstmöglich an Sie weiter. Sollte Butterfly die angefragten Daten aufbewahren, stellt Butterfly Ihnen die entsprechenden Daten gemäß unserem Vertrag mit Ihnen bereit.
Neben dem Recht des Zugriffs auf die von uns über sie gehaltenen Daten haben Patienten außerdem andere Rechte nach geltenden Datenschutzrichtlinien (wie der DSGVO in der EU). Solch Rechte beinhalten das Recht, fehlerhafte oder unvollständige Daten berichtigen zu lassen, ihre Daten löschen zu lassen oder von Ihnen die Einstellung der Verarbeitung ihrer Daten zu verlangen. Die Patienten können von Ihnen eventuell auch verlangen, ihre von Ihnen erfassten Daten an eine andere medizinische Fachkraft zu übermitteln. Wenn ein Patient eines seiner Rechte in Bezug auf seine Patientendaten ausüben möchte, werden wir Ihnen angemessene Unterstützung bieten, um die Ausführung der Patientenanfrage zu erleichtern. Wenn ein Patient uns direkt kontaktiert, um solche Rechte auszuüben, werden wir die Anfrage so bald wie möglich an Sie weiterleiten.
Butterfly erfasst auch personenbezogene Daten von Kunden/medizinischen Fachkräften, um Butterfly-Produkte zu bewerben, Ihnen ein Butterfly-Konto einzurichten, Bestellungen zu bearbeiten und Anfragen zu beantworten. Diese Daten werden durch dieselben Sicherheitsmaßnahmen geschützt. Unser Datenschutzhinweis enthält Einzelheiten darüber, wie Butterfly die personenbezogenen Daten medizinischer Fachkräfte verarbeitet sowie über deren Rechte.
If you have any questions or require assistance, please contact dpo@butterflynetinc.com