Spring naar inhoud

Algemene Verordening Gegevensbescherming: de impact op klinisch onderzoek

14 april 2018

normen

De EU-regels voor gegevensbescherming trachten personen te beschermen door beperkingen te stellen aan de verwerking (verzameling, opslag of gebruik) van hun persoonlijke gegevens. Onder de nieuwe Algemene Verordening Gegevensbescherming (AVG) (2016/679 / EU General Data Protection Regulation (GDPR)), die vanaf 25 mei 2018 in de hele EU van toepassing zal zijn, zijn deze regels aangescherpt: betrokkenen hebben nieuwe rechten om ervoor te zorgen dat hun gegevens veilig worden verwerkt en bedrijven die dergelijke gegevens gebruiken hebben duidelijkere verantwoordelijkheden en verplichtingen ten aanzien van  adequate gegevensbescherming opgelegd gekregen.

Welke gegevens vallen onder de AVG?

Deze versterkte rechten sluiten echter niet noodzakelijkerwijs naadloos aan bij andere sectorspecifieke wetgeving waarin grote hoeveelheden gegevens worden verzameld en verwerkt. In het bijzonder werpt de GDPR een aantal belangrijke vragen op voor klinisch onderzoek, waarvan één van de fundamentele aspecten de verzameling en analyse van gevoelige persoonsgegevens is. Gezondheidsgegevens worden beschouwd als gevoelige persoonlijke gegevens, en onder zowel de huidige wetgeving als de GDPR gelden strengere voorwaarden voor verwerking in vergelijking met andere soorten persoonlijke gegevens (bijvoorbeeld NAW en contactgegevens). De GDPR heeft het begrip gevoelige persoonlijke gegevens verruimd, specifiek met biometrische en genetische gegevens (inclusief lichaamsmateriaal), en introduceert nieuwe nalevingsvereisten voor dergelijke gegevens.

Een belangrijke vraag voor klinisch onderzoek is of gepseudonimiseerde gegevens onder de wetgeving vallen, dat wil zeggen gegevens waarbij een sleutel wordt bewaard, zodat het (theoretisch) mogelijk is patiënten opnieuw te identificeren met behulp van “in beginsel anonieme” patiëntcodes. Onder de GDPR worden gepseudonimiseerde gegevens een vorm van persoonlijke gegevens en moeten dienovereenkomstig worden beschermd. In werkelijkheid worden vertrouwelijkheids- en gegevensbeveiligingsbepalingen in elk geval op dergelijke gegevens toegepast in het kader van klinische proeven. Deze verduidelijking in de AVG betekent echter dat er met betrekking tot dergelijke gegevens extra stappen moeten worden ondernomen.

Hoe kunnen proefpersonen instemmen met de verwerking van hun gegevens?

De Clinical Trials Directive 2001/20 / EC en de nieuwe Clinical Trials Regulation 536/2014 / EU vereisen dat deelnemers aan klinisch onderzoek vooraf een geïnformeerde toestemming verlenen aan hun deelneming. Hoewel dit niet de enige rechtsgrondslag is voor de verwerking van gevoelige persoonsgegevens onder de AVG, is het verkrijgen van geïnformeerde toestemming van proefpersonen ook beste praktijk ten behoeve van de AVG. Toestemming moet expliciet, ondubbelzinnig en vrij worden gegeven. Het moet specifiek zijn voor elke verwerkingsprocedure en alleen worden gebruikt voor de doeleinden die zijn vermeld in het toestemmingsformulier. De GDPR introduceert ook strengere eisen, waaronder:

  • Personen in staat stellen toestemming te geven voor verschillende delen van verzameling en verwerking (granulaire toestemming).
  • Bijhouden van gegevens om te laten zien welke personen hebben toegestemd, wat hen is verteld en wanneer en hoe ze hebben toegestemd.
  • Het gemakkelijk intrekken van toestemming, op welk moment de relevante verwerkingsactiviteiten opnieuw moeten worden bekeken.
  • Strengere toestemmingsvereisten voor minderjarigen of onbekwame betrokkenen.

Volgens de AVG moet bepaalde informatie aan personen worden verstrekt vooraleer hun persoonlijke gegevens worden verkregen, zoals de identiteit en contactgegevens van de gegevensbeheerder (dwz de opdrachtgever), de contactgegevens van de gegevensbeschermingsfunctionaris, de doeleinden en de wettelijke basis voor verwerking, de ontvangers van de gegevens, hoelang de gegevens zullen worden opgeslagen en de rechten die personen volgens de wetgeving hebben. Dit zal ook moeten worden gecombineerd met de informatie die moet worden verstrekt over de proef, zoals uiteengezet in de Clinical Trials Directive en Regulation, en waarschijnlijk zal leiden tot zeer lange en gedetailleerde toestemmingsformulieren – op een moment waarop ethische commissies proberen om dergelijke formulieren te vereenvoudigen.

Krachtens de AVG biedt toestemming geen wettelijke basis voor verwerking wanneer er sprake is van een “duidelijke onevenwichtigheid” tussen de betrokkene en de voor de verwerking verantwoordelijke, dat wil zeggen wanneer het onwaarschijnlijk is dat toestemming vrijwillig is gegeven. Wat dit in de praktijk betekent en wat de implicaties voor patiënten, onderzoekers en sponsors zijn, moet uit de praktijk blijken.

Verder is de geldigheid van toestemmingen verkregen onder de huidige wetgeving nog steeds onduidelijk. Aangezien de vereisten voor toestemming strenger zijn in het kader van de AVG, en omdat er geen overgangsbepalingen zijn die bepalen hoe de momenteel verzamelde gegevens zullen worden behandeld – of specifieke richtlijnen met betrekking tot klinische proeven – moeten de huidige toestemmingsformulieren worden herzien en bijgewerkt. Het is echter onduidelijk of sponsors nieuwe toestemmingen moeten verkrijgen van patiënten die al betrokken zijn bij proeven. Europese verduidelijking over dit onderwerp zou welkom zijn. We moeten het nu doen met de interpretatie van de verschillende lidstaten en die zijn verschillend. De Nederlandse interpretatie afgegeven door de CCMO blijft een beetje onduidelijk: het hangt af van de situatie, waarbij de tekst van de huidige patiënten informatie en de belangen van de specifieke proefpersonen moeten worden meegewogen. Deze mening van het CCMO is overigens niet voorgelegd aan de autoriteit persoonsgegevens en staat nog steeds ter discussie. Frankrijk is duidelijker: je moet herzien. Voor lopend onderzoek, waarbij het tekenen van een herzien consentformulier relatief eenvoudig is, kun je voor de zekerheid beter maar een nieuwe toestemming vragen.

Welke nieuwe rechten hebben proefpersonen?

De nieuwe rechten op het wissen van persoonlijke gegevens (het “recht om te worden vergeten”) rectificatie, en gegevensoverdracht kunnen verreikende gevolgen hebben voor klinisch onderzoek als ze niet op de juiste manier worden geregeld door sponsors en toezichthouders.

Ten eerste moet de verantwoordelijke voor de verwijdering (dwz de sponsor) overeenkomstig het recht om gegevens te wissen persoonlijke gegevens verwijderen en alle redelijke stappen ondernemen om derden te informeren om hetzelfde te doen, als de betrokkene daarom verzoekt. Hierop bestaan uitzonderingen, bijvoorbeeld wanneer verwerking noodzakelijk is om redenen van openbaar belang op het gebied van de volksgezondheid, of voor wetenschappelijke of historische onderzoeksdoeleinden. Maar algehele duidelijkheid over hoe deze uitzondering toe te passen is er niet. Als sponsor loop je tegen bepaalde dilemma’s aan. Aangezien je als sponsor alleen over gepseudominiseerde gegevens beschikt kun je niet direct aan het verzoek van de proefpersoon voldoen. Daarnaast kan het verwijderen van gegevens leiden tot een wijziging van de algehele conclusie van het onderzoek. Het is naar verwachting waarschijnlijker dat proefpersonen met negatieve onderzoeksuitkomsten zullen verzoeken om hun gegevens te wissen. Ten derde moet er bij een intrekking van de geïnformeerde toestemming duidelijkheid zijn of het gaat om het beëindigen van verdere deelneming aan het onderzoek, of dat ook het verwerken van de reeds verkregen gegevens moet worden beëindigd, danwel deze gegevens zelfs moeten worden vernietigd.

Ook een verzoek om rectificatie van klinische gegevens kan problemen geven in het kader van klinisch onderzoek. Immers, de rectificatie kan leiden tot het ontstaan van protocolafwijkingen, omdat de onderzoeker protocollair gezien anders had moeten besluiten op basis van de gerectificeerde gegevens. De onderzoeker hoeft het ook per definitie niet eens te zijn met het verzoek tot rectificatie van de proefpersoon en zijn medische beoordeling willen handhaven. Het verzoek tot rectificatie kan dus leiden tot aanvullende verantwoordingsdocumentatie.

Ten tweede houdt het recht op overdraagbaarheid van gegevens in dat proefpersonen op proef het recht hebben om hun persoonlijke gegevens in een algemeen gebruikt en machinaal leesbaar formaat te ontvangen en deze gegevens naar een andere organisatie te verzenden. Dit is geen onbelemmerd recht; de kwalificatie is dat gegevensportabiliteit de rechten en vrijheden van anderen niet mag aantasten (bijvoorbeeld intellectuele eigendomsrechten of de bedrijfsgeheimen van de sponsor), maar van bedrijven wordt verwacht dat zij stappen ondernemen om te voldoen aan een verzoek om overdraging van gegevens.

Welke nieuwe nalevingsmaatregelen moeten bedrijven overwegen?

Net zoals ICH Q8 “Pharmaceutical Development” Quality by Design (QbD) introduceerde, introduceert de AVG Privacy By Design, waarbij verwerkingsverantwoordelijken (sponsors) de implicaties voor privacy al vanaf het begin bij het opstellen van de proefopzet moeten overwegen. Sponsors worden aangemoedigd om privacy te overwegen bij het ontwerpen van de datamanagementactiviteiten ten behoeve van het verwerken van de klinisch onderzoeksgegevens, zoals bij het bouwen van het databasemanagementsysteem waarmee persoonlijke gegevens worden verzameld en verwerkt, robuuste gegevensbeschermingsprocedures inbouwen in het protocol, privacyoverwegingen tijdens de fase van de werving van proefpersonen en de opzet van het toestemmingsformulier waarin wordt uiteengezet wat men van plan is te doen met de gegevens.

Aangezien klinische proeven betrekking hebben op de verwerking van gevoelige persoonsgegevens, moet de opdrachtgever een gegevensbeschermingseffectbeoordeling uitvoeren, waarschijnlijk zowel voor proeven die na 25 mei 2018 beginnen, als voor lopende onderzoeken en gegevens die vanaf die datum worden verwerkt. Deze beoordeling moet uiteenzetten:

  • Een beschrijving van de verwerkingshandelingen en de doeleinden van verwerking.
  • Een beoordeling van de noodzaak en evenredigheid van de verwerking.
  • Een beoordeling van de risico’s voor de rechten en vrijheden van proefpersonen uit de klinische proef.
  • De maatregelen die worden gebruikt om die risico’s aan te pakken.

De verwerkingsverantwoordelijke en verwerkers die betrokken zijn bij het uitvoeren van klinisch onderzoek (bijv. sponsors, CRO’s en onderzoekers) zullen waarschijnlijk ook een functionaris voor gegevensbescherming moeten aanstellen. Het zou hun verantwoordelijkheid zijn om hun organisatie te informeren en adviseren over haar verplichtingen onder de AVG, de naleving van de AVG te bewaken, advies te geven op verzoek en te fungeren als aanspreekpunt voor de relevante toezichthouder.

Volgens de huidige regels heeft de gegevensbeheerder (dwz de sponsor) de volledige verantwoordelijkheid voor de naleving. Dit is aan het veranderen onder de AVG, wat de benoeming van een gezamenlijke functionaris voor gegevensbescherming mogelijk maakt, en ook verplichtingen oplegt aan de verwerkers (dwz CRO’s, onderzoekers of statistici). De Clinical Trials Regulation biedt ook de mogelijkheid om co-sponsors en niet-commerciële sponsors te hebben die allemaal verplichtingen zullen hebben krachtens de Clinical Trials Regulation en de AVG.

Meer informatie door de CCMO

No comments yet

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s

Deze site gebruikt Akismet om spam te bestrijden. Ontdek hoe de data van je reactie verwerkt wordt.

%d bloggers liken dit: