Google Fit-Richtlinie zu Nutzerdaten und Gesundheitsstudien

Die Nutzungsbedingungen, die Richtlinien zu Nutzerdaten und die Entwickler sowie die Entwicklerrichtlinien von Google Fit dienen der Sicherheit und dem Schutz von Datenschutz und sollen die Gesundheits- und Fitnessforschung unterstützen. Google Fit APIs dürfen nur für die Gesundheitsforschung, die im Rahmen dieser Richtlinie als Gesundheitsforschung bezeichnet wird, verwendet werden, wenn die Forschung von einem unabhängigen Gremium überprüft oder genehmigt wird, dessen Ziel 1) die Rechte, die Sicherheit und das Wohlbefinden der Teilnehmer schützen und 2) die Befugnis hat, die Forschung am Menschen zu überprüfen, zu ändern, zu genehmigen oder abzulehnen. Zu den unabhängigen Ausschussgremien gehören ein in 45 C.F.R. §§ 46.101-115 beschriebener Institutional Review Board (IRB), ein in Richtlinie 2001/20/EG oder Richtlinie 2005/28/EC oder ein anderes Rechtssubjekt, das im Wesentlichen ähnliche Anforderungen erfüllt, ein Ethikkomitee (EG).

Von Google genehmigte Anwendungen und Webdienste, die Google Fit APIs für die Gesundheitsforschung verwenden, werden als „Health Research Applications“ oder „Health Research Web Services“ bezeichnet und zusammen als „Gesundheitsforschungsanwendungen und -Webdienste“ bezeichnet. „Sie“ und „Ihr“ beziehen sich im Sinne der Verwendung dieser Health Research-Anwendungen und -Webdienste auf diese Health Research-Anwendungen und -Webdienste. Im Falle eines Konflikts zwischen dieser Richtlinie oder anderen Bedingungen in Bezug auf den Zugriff auf Nutzerdaten unterliegt diese Health Research-Richtlinie für Gesundheitsforschungsanwendungen und/oder Webdienste.

Anwendungen und Webdienste im Gesundheitsbereich:

1. für die Einholung der Genehmigung oder einen Verzicht von einer Prüfungskommission verantwortlich sind;
2. Sie müssen die unten stehende Richtlinie, die Google Fit-Richtlinie zu Entwickler- und Nutzerdaten, sofern nicht anders angegeben, sowie andere geltende Google-Richtlinien, einschließlich der Google APIs-Nutzungsbedingungen, der Google Fit-Nutzungsbedingungen für Entwickler und der OAuth 2.0-Richtlinien, einhalten.
3. Alle anwendbaren Gesetze und Vorschriften müssen eingehalten werden, einschließlich, aber nicht beschränkt auf das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern (California Consumer Privacy Act, HIPAA, DSGVO (EU und Vereinigtes Königreich), DPA 2018), die Common Rule und die FDA-Verordnungen zum Schutz menschlicher Personen.

Es liegt in Ihrer Verantwortung, die Einhaltung dieser Bedingungen regelmäßig zu überwachen und sicherzustellen. Sollten Sie diese Bedingungen zu irgendeinem Zeitpunkt nicht mehr erfüllen können oder besteht ein erhebliches Risiko dafür, dass Sie diese Bedingungen nicht erfüllen können, müssen Sie die Nutzung unserer Dienste sofort einstellen. Wir behalten uns außerdem das Recht vor, deine Autorisierung zur Gesundheitsforschung zu verweigern oder zu widerrufen, wenn du gegen diese Richtlinie verstößt oder wir begründete Bedenken hinsichtlich deiner Einhaltung dieser Richtlinie haben.

Bescheinigung von Gesundheitsstudien

Für Anwendungen und Webdienste für Gesundheitsforschung muss beim Einreichungsverfahren für Entwickler die Option „Gesundheitsforschung“ ausgewählt werden. Anträge für Gesundheitsforschung und Webdienste müssen Folgendes einreichen:

1. Ausgefülltes Aufnahmeformular
2. Genehmigungs-/Verzichtserklärung des IRB/EC (oder einem im Wesentlichen ähnlichen Äquivalent)
3. IRB/EC-Akkreditierung (oder eine vergleichbare Akkreditierung)
4. Genaue Daten angefordert und Begründung für die Verwendung

Eignung für Gesundheitsforschung bestimmen

Gesundheitsforschungsanwendungen und Webdienste müssen die Berechtigung eines Teilnehmers bestätigen, bevor er seine Einwilligung nach informierter Art und die Berechtigung für den Zugriff auf die Daten eines Teilnehmers einholen kann.

Transparente und genaue Information und Kontrolle für die Gesundheitsforschung

Nachdem Sie bestätigt haben, dass Sie die Voraussetzungen erfüllen, müssen Sie den Abschnitt „Transparente und genaue Hinweise und Kontrolle“ der Google Fit-Richtlinie für Entwickler und Nutzerdaten einhalten.

Darüber hinaus müssen Gesundheitsforschungsanwendungen oder Webdienste eine Offenlegung über ein Dialogfeld oder inkrementelle Dialogfelder enthalten, die Folgendes enthalten:

1. Art, Zweck und Dauer der Forschung;
2. die Risiken und Nutzen für die Teilnehmenden;
3. die Datenschutz-, Sicherheits- und Datenverarbeitungsmaßnahmen zum Schutz der Daten;
4. Kontaktperson für Fragen
5. Die Aufbewahrungsdauer(n) der für die Studie erhobenen Daten
6. Wie Sie sich von der Studie zurückziehen
7. Wie können Ihre Daten während des gesamten Lebenszyklus der Studie aus der Studie gelöscht werden, einschließlich der Frage, ob die Studie das Löschen zulässt, nachdem die Daten öffentlich zugänglich sind; und,
8. Alle anderen relevanten Dokumente oder Informationen, die von Ihrem IRB/EC verlangt werden.

Sie müssen dem Teilnehmer auch die Möglichkeit bieten, die oben genannten Informationen, die Dokumente zur Einwilligung der Nutzer mit Einwilligung und alle anderen Dokumente, die von der IRB/EC verlangt werden, zu speichern, zu speichern oder per E-Mail zu senden. Jede teilnehmende Person muss vor der Teilnahme an der Studie die erforderlichen Offenlegungen und Einwilligungen unterschreiben und einreichen. Eine Kopie aller signierten Dokumente muss an den Teilnehmer gesendet werden.

Gesundheitsforschungsanwendungen und -Webdienste folgen der Use of Electronic Informed Consent Questions and Answers der FDA oder weitgehend ähnlichen Standards. Sie können beispielsweise Diagramme/Infografiken mit einfachen Worten verwenden und von den Teilnehmern verlangen, dass sie die Fragen zur Gesundheitsforschung vor der Anmeldung richtig beantworten.

Begrenzte Verwendung von Nutzerdaten für Gesundheitsstudien

Anwendungen oder Webdienste im Gesundheitsbereich müssen den folgenden Anforderungen entsprechen. Diese Anforderungen gelten für die Teilnehmerdaten, einschließlich der von Google Fit APIs erhaltenen Rohdaten sowie Daten, die aggregiert, anonymisiert oder aus den Teilnehmerdaten oder den Rohdaten abgeleitet werden.

1. Beschränken Sie die Verwendung der Teilnehmerdaten auf den beabsichtigten Zweck für die Erhebung.
2. De-identifizieren Sie Teilnehmerdaten sofort so weit wie möglich für Ihre Studie.
3. Verwenden oder teilen Sie die Daten der Teilnehmenden nicht für neue Forschungsstudien oder zu anderen Zwecken als den ursprünglichen Studienzwecken, ohne eine separate informierte Einwilligung der Teilnehmer einzuholen, es sei denn, die IRB verzichtet ausdrücklich auf die separate Einwilligungserklärung.
4. Verwenden oder teilen Sie keine Daten mit Mitgliedern Ihres Teams, die keinen echten Bedarf haben.
5. Übertragen Sie Teilnehmerdaten nur an Dritte:
   1. Falls dies erforderlich ist, um den ursprünglichen Forschungszweck zu verfolgen, und die Dritte sind verpflichtet, den Zugriff auf die Daten der Teilnehmenden und deren Nutzung auf die Erfüllung dieses Zwecks zu beschränken.
   2. Wenn der Teilnehmer seine ausdrückliche Einwilligung zur Weitergabe bestimmter Daten erteilt hat, z. B. in dem unterzeichneten Einwilligungsdokument, das dem Teilnehmer vorgelegt wird.
   3. wenn dies aus Sicherheitsgründen erforderlich ist (z. B. Untersuchung von Missbrauch) oder
   4. um geltende Gesetze und Vorschriften einzuhalten.

Jegliche andere Übertragung, Verwendung oder der Verkauf von Teilnehmerdaten ist ausdrücklich untersagt. Hierzu zählen auch:

1. Die Übertragung, der Verkauf oder die Nutzung von Teilnehmerdaten für die Bereitstellung von Anzeigen, einschließlich kontextbezogener, Retargeting-, personalisierter oder interessenbezogener Werbung.
2. Die Übertragung oder der Verkauf von Teilnehmerdaten an Dritte wie Werbeplattformen, Datenbroker oder andere Wiederverkäufer von Informationen.
3. Übertragung, Verkauf oder Nutzung von Teilnehmerdaten zur Ermittlung der Kreditwürdigkeit oder zu Kreditvergabezwecken
4. Die Übertragung, der Verkauf oder die Nutzung der Daten der Teilnehmenden im Zusammenhang mit Produkten oder Dienstleistungen, die gemäß Abschnitt 201(h) des FD&C Act als Medizinprodukt eingestuft werden können, sofern die Daten der Teilnehmenden vom Medizinprodukt für seine zertifizierte Funktion verwendet werden.
5. Die Übertragung, der Verkauf oder die Nutzung von Teilnehmerdaten zu einem beliebigen Zweck oder in irgendeiner Weise in Verbindung mit „Geschützten Gesundheitsdaten“ (wie im HIPAA definiert), es sei denn, Sie erhalten eine gültige HIPAA-Autorisierung, die gegebenenfalls von einem IRB oder einer EC geprüft wurde.

Eine bestätige Erklärung, dass Ihre Nutzung der Daten den Google Fit APIs for Health Research-Einschränkungen entspricht, müssen in Ihrer App oder auf einer Website Ihres Webdienstes oder Ihrer Anwendung offengelegt werden. Dazu kann ein Absatz in Ihrem Dokument zur Einwilligungserklärung oder ein Link auf einer Startseite zu einer speziellen Seite oder eine Datenschutzerklärung mit dem Hinweis „Die Verwendung der Informationen, die von den Google Fit APIs zur Verfügung gestellt werden, eingehalten werden. Dadurch kann die Überprüfung Ihrer App länger dauern.

Empfehlungen zur sicheren Datenverarbeitung in der Gesundheitsforschung

Gesundheitsforschungsanwendungen und Webdienste müssen dem Abschnitt „Sichere Datenverarbeitung“ der Google Fit-Richtlinie zu Nutzerdaten und Entwickler entsprechen.

Anwendungen und Webdienste für Gesundheitsforschung werden außerdem nach den Best Practices des US Department of Health and Human Services, der U.S. Food and Drug Administration, der U.S. Food and Drug Administration oder den Ich Good Clinical Practice Guidelines empfohlen, z. B. beim Beantragen eines Vertraulichkeitszertifikats der National Institutes of Health, das Daten vor einer erzwungenen Offenlegung an Dritte schützen kann.

Daten veröffentlichen

Gesundheitsforschungsanwendungen und Webdienste dürfen die Ergebnisse ihrer Forschung veröffentlichen, dürfen jedoch nicht den Eindruck erwecken, dass Google das Studiendesign und die wissenschaftliche Gültigkeit der Forschung genehmigt oder die Studienergebnisse anderweitig befürwortet, sofern dies nicht schriftlich von Google erfolgt. Gesundheitsforschungsanwendungen und -webdienste müssen den einschlägigen Gesetzen und Vorschriften sowie den folgenden Anforderungen entsprechen, wenn du deine Forschungsanwendungen veröffentlichen oder in beliebiger Form öffentlich zugänglich machen möchtest:

1. Die Studie muss bei einem öffentlichen Register registriert werden, z. B. clinicaltrials.gov.
2. Google Fit über die Aufnahme der Studie in die Google Fit-Publikationsbibliothek informieren
3. Die Quelle der Informationen öffentlich offenlegen
4. Veröffentlichen Sie keine einzelnen Daten, die möglicherweise identifizierbar sind, und verringern Sie das Risiko einer Re-Identifikation. Beispiele für Best Practices zur Minderung des Risikos einer Re-Identifikation:
   1. Stellen Sie nach Möglichkeit aggregierte Daten auf Zusammenfassungsebene und nicht auf de-identifizierte Daten auf Einzelebene bereit.
   2. Wenn Sie de-identifizierte Daten auf individueller Ebene teilen müssen, stellen Sie sie anderen Personen, nicht öffentlich, nur zum Zweck der Bewertung durch andere Teilnehmende zur Verfügung, vorbehaltlich der vertraglichen Verpflichtungen des Empfängers, die Daten weder offenzulegen noch einen Versuch zu re-identifizieren.
   3. Wenn Sie de-identifizierte Daten auf individueller Ebene veröffentlichen müssen, müssen Sie dies unter Einhaltung aller anwendbaren Gesetze tun und zumindest ein anerkanntes De-Identifikationsverfahren wie z. B. Differential Privacy verwenden, um die Vertraulichkeit zu wahren, oder eine Expertenmeinung dazu einholen, dass das Risiko einer Re-Identifikation sehr gering ist.