Seit mittlerweile 7 Jahren entwickeln wir Medizinprodukte, um Menschen mit psychischen Erkrankungen zu helfen. Mehrere tausend Menschen haben uns bereits ihr Vertrauen geschenkt und gemeinsam mit Therapeut:innen eines unserer Produkte eingesetzt. Unserer Meinung nach verpflichtet uns dieses Vertrauen zu höchster Sorgfalt. Deshalb legen wir seit Anfang an großen Wert auf Datenschutz und Informationssicherheit. Dieses Merkblatt dient dazu, unsere Bemühungen zu verdeutlichen. Sollten darüber hinaus Fragen entstehen, wenden Sie sich gerne jederzeit an uns. Die Kontaktdaten unseres Teams für Informationssicherheit und Datenschutz finden Sie auf der Rückseite.
Unsere Medizinprodukte erfordern die Einbindung von Mediziner:innen oder Therapeut:innen. Um die Behandlung zu ermöglichen müssen also Informationen zwischen Leistungserbringer:innen, Patient:innen und Sympatient geteilt werden. Unter anderem verschicken wir Kursmaterial (VR-Brille, Kopfhörer, etc.) an Patient:innen, koordinieren in einigen Fällen Termine und teilen Informationen zur Behandlung mit Therapeut:innen, sofern Patient:innen das wünschen. Jegliche Datenverarbeitung findet erst statt, wenn Patient:innen explizit eingewilligt haben und auch danach können Patient:innen diese Einwilligung jederzeit widerrufen. Alle Daten werden nach abgeschlossener Behandlung gelöscht, wenn wir nicht rechtlich zur Aufbewahrung verpflichtet sind.
Wie jedes europäische Unternehmen müssen auch wir den Anforderungen der Datenschutzgrundverordnung (DSGVO) entsprechen. Darüber hinaus erfüllen wir weitere spezifische Anforderungen aus dem Sozial Gesetzbuch V (SGB V), der Digitalen Gesundheitsanwendung Verordnung (DiGAV) und der Evangelischen Datenschutzverordnung (EVD). Invirto ist als DiGA nach §33a SGB V vom
Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) zugelassen. Im Rahmen dieses Zulassungsverfahrens wird auch der Datenschutz von unseren Medizinprodukten intensiv überprüft. Um der Vielzahl an Anforderungen zu entsprechen, betreiben wir ein Managementsystem für Informationssicherheit nach ISO 27001, das jährlich vom TÜV überprüft wird. Außerdem beauftragen wir regelmäßig ein Unternehmen, das versuchen soll, unsere Infrastruktur zu hacken, um mögliche Schwachstellen offenzulegen - Wir sind stolz darauf, dass unsere Infrastruktur immer standgehalten hat.
Unsere Entwickler:innen haben die App nach dem "Privacy-by-Design"-Prinzip erstellt. Es wurde also schon bei den ersten Entwürfen bedacht, wie eine Infrastruktur aussieht, die Daten bestmöglich schützt. Alle Daten werden ausschließlich verschlüsselt übertragen und wenn möglich pseudonymisiert oder anonymisiert. Wir teilen die meisten Datenpakete der App auf und speichern sie bei unterschiedlichen Anbietern auf verschiedenen Servern, sodass die einzelnen Datenpakete auf dem jeweiligen Server kaum Informationen preisgeben. Diese Datenpakete können dann nur mit komplexen Mechanismen wieder zusammengeführt werden. Natürlich liegen alle Daten ausschließlich auf Servern innerhalb der Europäischen Union.
In unserer Firmenkultur ist eine besondere Aufmerksamkeit für Informationssicherheit und Datenschutz verankert. Neben regelmäßigen Schulungen betreiben wir ein Rollen- und Rechtekonzept, das sicherstellt, dass nur Mitarbeitenden Zugriff auf Daten von Patient:innen haben, bei denen aufgrund ihrer Aufgabe ein Zugriff zwingend erforderlich ist. Darüber hinaus haben wir ein Team, dass sich ausschließlich um Informationssicherheit und Datenschutz kümmert - Sollten Sie weitere Fragen haben, können Sie gerne Kontakt aufnehmen.
Anschrift:
Sympatient GmbH
Koppel 34-36
20099 Hamburg
Ansprechpartner:in:
Herr Eglant Elezaj
E-Mail: dataprotection@sympatient.com
Datenschutzbeauftragter (DSB) &
Chief-Information-Security-Officer (CISO)
Montag - Donnerstag von 9 - 13 Uhr
Rückruf zur Wunschuhrzeit hier buchen.
Anliegen per Kontaktformular hier übermitteln.
Montag bis Freitag
von 9-17 Uhr
