Политика Google Fit в отношении пользовательских данных и медицинских исследований

Условия использования Google Fit , Политика пользовательских данных и разработчиков , а также Рекомендации для разработчиков направлены на защиту конфиденциальности и безопасности, одновременно содействуя исследованиям в области здоровья и фитнеса. API Google Fit можно использовать только для исследований в области здравоохранения, называемых в настоящей политике исследованиями в области здравоохранения, только в том случае, если исследование рассмотрено или одобрено независимым советом, целью которого является 1) защита прав, безопасности и благополучия участников и 2) с полномочиями тщательно изучать, изменять, одобрять или не одобрять исследования, проводимые на людях. Независимые советы включают Институциональный наблюдательный совет (IRB), подробно описанный в 45 CFR §§ 46.101-115, Комитет по этике (EC), подробно описанный в Директиве 2001/20/EC или Директиве 2005/28/EC, или другую организацию, придерживающуюся по существу аналогичных требований. ("Доска обзоров").

Одобренные Google приложения и веб-службы, использующие API Google Fit для исследований в области здравоохранения, будут называться «Приложения для исследований в области здравоохранения» или «Веб-службы для исследований в области здравоохранения» и совместно именоваться «Приложения и веб-службы для исследований в области здравоохранения». «Вы» и «ваш» в настоящем документе относятся к этим приложениям и веб-службам для исследований в области здравоохранения. В случае противоречия между этой политикой или любыми другими условиями в отношении доступа к пользовательским данным, настоящая политика Health Research контролирует приложения Health Research и/или веб-службы.

Приложения и веб-службы для медицинских исследований:

  1. Несут ответственность за получение одобрения или отказа от наблюдательного совета;
  2. Должен соблюдать приведенную ниже политику, Политику Google Fit в отношении данных для разработчиков и пользователей , если здесь не указано иное, а также другие применимые политики Google, включая Условия использования API Google , Условия использования Google Fit для разработчиков и политики OAuth 2.0 , а также:
  3. Должен соблюдать все применимые законы и правила, включая, помимо прочего, Закон штата Калифорния о конфиденциальности потребителей, HIPAA, GDPR (ЕС и Великобритания), DPA 2018), Общее правило, правила FDA о защите людей.

Вы несете ответственность за регулярный контроль и обеспечение соблюдения этих условий. Если в какой-либо момент вы не сможете выполнить эти условия (или если существует значительный риск того, что вы не сможете их выполнить), вы должны немедленно прекратить использование наших услуг. Мы также оставляем за собой право отказать или отозвать ваше разрешение на медицинские исследования, если вы не соблюдаете эту политику или у нас есть разумные опасения по поводу соблюдения вами этой политики.

Аттестация медицинских исследований

Приложения и веб-службы для исследований в области здравоохранения должны выбрать «Исследования в области здравоохранения» в процессе подачи заявки разработчиком. Приложения и веб-службы для медицинских исследований должны предоставлять:

  1. Заполненная форма приема
  2. IRB/EC (или по существу аналогичный эквивалент) Письмо об одобрении/отказе от ответственности
  3. Аккредитация IRB/EC (или по существу аналогичный эквивалент)
  4. Точные запрошенные данные и обоснование использования

Определить право на участие в медицинских исследованиях

Приложения и веб-службы для медицинских исследований должны подтвердить право участника на участие до получения информированного согласия и запроса разрешения на доступ к данным участника.

Прозрачное и точное уведомление и контроль медицинских исследований

После подтверждения права вы должны соблюдать раздел «Прозрачное и точное уведомление и контроль» Политики Google Fit в отношении данных разработчиков и пользователей .

Кроме того, приложения или веб-службы для медицинских исследований должны предоставлять раскрытие информации через диалоговое окно или дополнительные диалоговые окна, которые включают:

  1. характер, цель и продолжительность исследования;
  2. Риски и выгоды для участника;
  3. Принятые меры конфиденциальности, безопасности и обработки данных для защиты данных;
  4. Контактное лицо по любым вопросам;
  5. Период(ы) хранения данных, собранных для исследования;
  6. Как выйти из исследования;
  7. Как удалить свои данные из исследования на протяжении всего жизненного цикла исследования, в том числе разрешается ли исследование удалять данные после того, как данные станут общедоступными; и,
  8. Любые другие соответствующие документы или информация, требуемые вашим IRB/EC.

Вы также должны предоставить участнику возможность сохранить, сохранить или отправить по электронной почте вышеуказанную информацию, документы информированного согласия и любые другие документы, требуемые IRB/EC. Каждый участник должен подписать и предоставить необходимые раскрытия информации и согласия до участия в исследовании. Копии всех подписанных документов должны быть отправлены участнику.

Приложения и веб-службы для медицинских исследований будут следовать стандартам использования электронного информированного согласия FDA (вопросы и ответы ) или по существу аналогичным стандартам. Например, включите в свои объяснения простой язык с диаграммами/инфографикой и потребуйте от участников правильно отвечать на вопросы о медицинских исследованиях до их зачисления.

Ограниченное использование пользовательских данных для исследований в области здравоохранения

Приложения и веб-службы для медицинских исследований должны соответствовать приведенным ниже требованиям. Эти требования применяются к данным участников, включая необработанные данные, полученные из API Google Fit, а также данные, агрегированные, анонимизированные или полученные из данных участников или необработанных данных.

  1. Ограничьте использование данных участников по назначению для сбора.
  2. Немедленно деидентифицируйте данные участников в максимально возможной степени для вашего исследования.
  3. Не используйте и не передавайте данные участников третьим лицам для новых научных исследований или для каких-либо целей, отличных от первоначальных целей исследования, без получения отдельного информированного согласия от участников, если только IRB явно не откажется от требования отдельного информированного согласия.
  4. Не используйте и не делитесь данными с членами вашей команды, у которых нет реальной необходимости знать.
  5. Передавайте данные участников только третьим лицам:
    1. Если это необходимо для достижения первоначальной цели исследования, третьи стороны обязаны ограничить доступ и использование данных участников для достижения этой цели;
    2. Если участник предоставил явное согласие на обмен конкретными данными; например, в подписанном документе об информированном согласии, представленном участнику;
    3. если это необходимо в целях безопасности (например, расследование злоупотреблений); или,
    4. для соблюдения применимых законов и правил.

Любая другая передача, использование или продажа данных участников категорически запрещены, в том числе:

  1. Передача, продажа или использование данных участников для показа рекламы, включая контекстную, ретаргетинговую, персонализированную или основанную на интересах рекламу.
  2. Передача или продажа данных участников третьим лицам, таким как рекламные платформы, брокеры данных или любые другие реселлеры информации.
  3. Передача, продажа или использование данных участников для определения кредитоспособности или в целях кредитования.
  4. Передача, продажа или использование данных участника с любым продуктом или услугой, которые могут квалифицироваться как медицинское устройство в соответствии с разделом 201(h) Федерального закона о пищевых, лекарственных и косметических средствах (FD&C), если данные участника будут использоваться медицинским устройством. выполнять свою сертифицированную функцию.
  5. Передача, продажа или использование данных участников для любых целей или каким-либо образом, включающих Защищенную медицинскую информацию (согласно определению HIPAA), если они не получены вами по действующему разрешению HIPAA, которое было проверено IRB или EC, в зависимости от обстоятельств.

В вашем приложении или на веб-сайте, принадлежащем вашему веб-сервису или приложению, должно быть указано утвердительное заявление о том, что использование вами данных соответствует ограничениям на ограниченное использование API Google Fit для исследований в области здравоохранения; например, абзац в вашем документе об информированном согласии или ссылка на домашней странице на специальную страницу или политику конфиденциальности, в которой говорится: «Использование информации, полученной от API Google Fit, будет соответствовать Политике Google Fit в отношении данных разработчиков и пользователей , включая Требования к ограниченному использованию ». Если вы не можете добавить информацию о раскрытии информации, политика конфиденциальности вашего приложения должна соответствовать требованиям, изложенным в этой политике. Этот вариант может увеличить время проверки вашего приложения.

Рекомендации по безопасной обработке данных для медицинских исследований

Приложения и веб-службы для исследований в области здравоохранения должны соответствовать разделу безопасной обработки данных о пользовательских данных Google Fit и политике разработчиков .

Приложениям и веб-службам для медицинских исследований также рекомендуется следовать передовым практикам, рекомендованным Министерством здравоохранения и социальных служб США, правилами Управления по контролю за продуктами и лекарствами США или рекомендациями ICH по надлежащей клинической практике , например, подачей заявления на получение сертификата конфиденциальности от национальных институтов. здравоохранения, который может защитить данные от принудительного раскрытия третьим лицам.

Публикация данных

Приложения и веб-службы для медицинских исследований могут опубликовать результаты своих исследований, но не могут предполагать, что Google одобряет дизайн исследования, научную обоснованность исследования или иным образом подтверждает результаты исследования, если они не предоставлены Google в письменном виде. Приложения и веб-службы для медицинских исследований должны соответствовать соответствующим законам и правилам, а также следующим требованиям, если вы планируете публиковать свои исследования или делать их общедоступными в любой форме:

  1. Зарегистрируйте свое исследование в публичном реестре; например, Clinicaltrials.gov .
  2. Уведомить Google Fit о включении исследования в библиотеку публикаций Google Fit;
  3. Публично раскрывать источник информации.
  4. Воздержитесь от публикации индивидуальных данных, которые можно идентифицировать, и снизьте риск повторной идентификации. Примеры передовой практики по снижению риска повторной идентификации включают в себя:
    1. По возможности предоставляйте совокупные данные на сводном уровне, а не обезличенные данные на индивидуальном уровне.
    2. Если вам необходимо поделиться обезличенными данными индивидуального уровня, вместо публичной публикации данных предоставляйте их выборочно другим лицам только в целях экспертной оценки при условии соблюдения договорных обязательств получателя не раскрывать и не пытаться повторно идентифицировать данные.
    3. Если вам необходимо опубликовать обезличенные данные на индивидуальном уровне, вы должны сделать это в соответствии со всеми применимыми законами и, как минимум, использовать принятый метод обезличивания, такой как дифференциальная конфиденциальность, для сохранения конфиденциальности или получить экспертное заключение о том, что риск повторной идентификации очень мал.