Facebook Instagram Linkedin Youtube

De wisselwerking tussen de (CTR) en de (GDPR)  

De wisselwerking tussen de verordening betreffende klinische proeven (CTR) en de algemene verordening gegevensbescherming (GDPR)

Op 31 januari 2022 is de nieuwe verordening betreffende klinische proeven 536/2014 (hierna: CTR) in werking getreden. Met de implementatie van de CTR is er meer nadruk komen te liggen op het beschermen van persoonsgegevens tijdens klinische studies.  

In deze blog zullen we ingaan op het belang van de CTR en de wisselwerking tussen deze verordening en de GDPR. 

1. Ontstaan van de CTR

De CTR is op 31 januari 2022 in werking getreden en vervangt de Richtlijn inzake klinische proeven (EG) nr. 2001/20/EG. Het is van toepassing op alle klinische onderzoeken die in de EU worden uitgevoerd.  

Een klinische proef is een onderzoek dat wordt uitgevoerd om de veiligheid of werkzaamheid van een geneesmiddel te beoordelen. Vaak zullen menselijke vrijwilligers meewerken aan deze klinische proeven door bijvoorbeeld hun bloed te doneren. 

Het doel van de CTR is om een meer consistente en gunstige omgeving te creëren voor grootschalig klinisch onderzoek, met hoge normen van transparantie en veiligheid voor deelnemers van de klinische onderzoeken. 

Om deze transparantie en veiligheid te garanderen heeft de CTR het Clinical Trial Systeem (hierna: CTIS) geïntroduceerd. De CTIS is een databank voor klinische proeven waarin gegevens van geneesmiddelenonderzoek ingediend, vastgelegd en ontsloten worden. Daarnaast vindt ook het indienen van geneesmiddelenonderzoek voor medisch, ethische toetsing plaats via CTIS. 

De CTR  harmoniseert de beoordelings-, toelatings- en toezicht procedure voor klinische proeven in de hele EU door opdrachtgevers te verplichten hun aanvraag voor proeven via het CTIS-portaal in te dienen. Bovendien beoogt de CTIS-databank de transparantie te vergroten door informatie over klinische proeven en de resultaten ervan voor het publiek toegankelijk te maken. 

2.Wisselwerking tussen de CTR en de GDPR

 Beide wetgevingen zijn tegelijkertijd van toepassing, waarbij de CTR  als sectorale wet specifieke bepalingen bevat die vanuit het oogpunt van gegevensbescherming relevant zijn.  Volgens de EDPB bevat de CTR geen afwijkingen van de vereisten van de GDPR.  

De CTR  regelt de uitvoering van klinische proeven door voorschriften vast te stellen om de “rechten, de veiligheid, de waardigheid en het welzijn van de proefpersonen te waarborgen en te garanderen dat de proeven betrouwbare en degelijke gegevens opleveren. De GDPR waarborgt de bescherming van personen met betrekking tot de verwerking van hun persoonsgegevens (d.w.z. alle informatie over een geïdentificeerde of identificeerbare persoon), met inbegrip van persoonsgegevens over gezondheid.

 

Persoonsgegevens betreffende de gezondheid: 

Ze omvatten alle gegevens betreffende de gezondheidstoestand van een proefpersoon. Deze gegevens kunnen informatie bevatten over de vroegere, huidige of toekomstige fysieke of mentale gezondheidstoestand van de betrokkene. 

Vaak zal aan de proefpersoon een nummer, symbool of kenmerk toegekend worden om hem op unieke wijze te identificeren voor gezondheidsdoeleinden. Daarnaast zal in het kader van de klinische proeven ook vaak Informatie afkomstig van het testen of onderzoeken van een lichaamsdeel of lichaamssubstantie, met inbegrip van genetische gegevens en biologische monsters; en alle informatie over bijvoorbeeld een ziekte, handicap, ziekterisico, medische voorgeschiedenis, klinische behandeling of de fysiologische of biomedische toestand van de betrokkene worden uitgewisseld.  

Het betreft hier zonder twijfel (gevoelige) persoonsgegevens die onder de beginselen van de GDPR vallen. Dat is ook het geval als de proefgegevens niet meer worden geïdentificeerd (of “gepseudonimiseerd”), aangezien dergelijke gegevens nog steeds persoonsgegevens zijn volgens de GDPR.  

Enerzijds bepaalt de CTR dat de GDPR moet worden toegepast op gegevensverwerking die plaatsvindt in het kader van klinische proeven, alsook op wetenschappelijk onderzoek dat gebruik maakt van voor een proef verzamelde gegevens, maar dat plaatsvindt buiten het protocol van de klinische proef. 

De EU-lidstaten moeten bij de beoordeling van het beoordelingsrapport rekening houden met de naleving van de gegevensbeschermingsregels. Anderzijds schrijft de richtlijn gegevensbescherming voor dat persoonsgegevens rechtmatig moeten worden verwerkt. In de overwegingen van de GDPR wordt daaraan toegevoegd dat de verwerking van persoonsgegevens voor wetenschappelijke doeleinden in overeenstemming moet zijn met de desbetreffende wetgeving, zoals de wetgeving die van toepassing is op klinische proeven. 

Bij de inwerkingtreding van de CTR bestond er verwarring rond de relatie tussen de CTR en de GDPR. Zo stelde sommige zich de vraag of de CTR in sommige gevallen niet kon worden gebruikt als vrijstelling voor de naleving van de GDPR. 

De European Data Protection Board (EDPB) heeft in haar advies 2/2019 deze wisselwerking onderzocht. 

In het advies wordt een onderscheid gemaakt tussen het primaire gebruik van gegevens en het secundaire gebruik van gegevens in klinische proeven. 

Primair gebruik van gegevens

Primair gebruik van gegevens omvat “alle verwerkingen in verband met een specifiek protocol van een klinische proef gedurende de gehele levenscyclus ervan, vanaf het begin van de proef tot de verwijdering van de gegevens aan het eind van de archiveringsperiode”.  

Er zijn twee hoofdcategorieën van primaire verwerking:

  1. Verwerking voor betrouwbaarheids- en veiligheidsdoeleinden: Dit is het geval wanneer de CTR de verwerking voor betrouwbaarheids- en veiligheidsdoeleinden vereist. Bijvoorbeeld veiligheidsrapportage en archivering van dossiers van klinische proeven. De passende rechtsgrondslag voor deze verwerking is de “wettelijke verplichting(en) waaraan de verwerkingsverantwoordelijke is onderworpen”. In het geval van gevoelige persoonsgegevens betekent dit dat de verwerking “noodzakelijk is om redenen van algemeen belang op het gebied van de volksgezondheid”
  2. Verwerking voor onderzoeksactiviteiten  : Deze categorie omvat verwerkingsactiviteiten voor onderzoeksdoeleinden die niet wettelijk verplicht zijn. De EDPB onderscheidt vier passende rechtsgrondslagen: uitdrukkelijke toestemming, algemeen belang, gerechtvaardigde belangen en, wanneer de gegevens gevoelig zijn, wetenschappelijke doeleinden. Er wordt een belangrijk onderscheid gemaakt tussen toestemming in het kader van de CTR en toestemming in het kader van de GDPR: 

 

 

  • Geïnformeerde toestemming om deel te nemen aan een klinische proef in het kader van de CTR moet worden onderscheiden van de rechtsgrondslag van uitdrukkelijke toestemming in het kader van de GDPR. 

 

  • Toestemming in het kader van de CTR is mogelijk niet voldoende in het kader van de GDPR: het gebrek aan machtsevenwicht tussen een deelnemer en een opdrachtgever kan verhinderen dat de toestemming vrijelijk wordt gegeven. 

 

  • Een intrekking van geïnformeerde toestemming krachtens de CTR is slechts prospectief en heeft geen gevolgen voor de reeds verrichte activiteiten en het gebruik van de gegevens die zijn verkregen op basis van de geïnformeerde toestemming vóór de intrekking daarvan. Daarentegen is de intrekking van toestemming krachtens de GDPR retrospectief, en moeten alle op de toestemming gebaseerde gegevensverwerkingsactiviteiten worden stopgezet.  

Secundair gebruik van gegevens

Secundair gebruik is de verwerking van gegevens voor wetenschappelijke doeleinden, maar buiten het kader van het protocol van de klinische proef. 

Op basis van de CTR is een afzonderlijke rechtsgrondslag vereist voor het secundaire gebruik van gegevens. Als dit toestemming is, moet deze tegelijk met de geïnformeerde toestemming voor deelname aan de klinische proef worden gevraagd. 

De EDPB suggereert echter dat het verenigbaarheidsvermoeden van de GDPR hier van toepassing is. Daarom wordt aangenomen dat het secundaire gebruik niet onverenigbaar is met het oorspronkelijke doel (en dus binnen de werkingssfeer van het protocol valt). Als de gegevens worden verwerkt voor archiveringsdoeleinden van algemeen belang, wetenschappelijk onderzoek, historisch onderzoek of statistische doeleinden, en er passende waarborgen zijn. 

Het advies van de EDPB verschaft enige duidelijkheid over de relatie tussen de CTR en de GDPR. De Sponsors, die meestal de verwerkingsverantwoordelijke zullen zijn, zullen vooral baat hebben bij de richtsnoeren over de rechtsgrondslagen. 

Conclusie

De CTR bevestigt en versterkt de gegevensbeschermingsverplichtingen die op grond van de GDPR bij de uitvoering van klinische proeven in de EU moeten worden nageleefd (bv. transparantie voor de betrokkenen, kwaliteit en vertrouwelijkheid van de gegevens, rechten van de betrokkenen). 

De verwerkingsverantwoordelijken moeten kunnen aantonen dat de persoonsgegevens voldoende worden beschermd en dat zij de bescherming van deze gegevens kunnen waarborgen. 

Dit is van groot belang om de wettelijke goedkeuring voor de uitvoering van een klinische proef in de EU te verkrijgen. 

Daarom moeten zowel de opdrachtgevers, als de onderzoekers in de vroegste stadia van de ontwikkeling van de klinische proef nagaan hoe zij hun verplichtingen inzake gegevensbescherming kunnen nakomen.  

Voor de opdrachtgevers en onderzoekers is dan ook uiterst belangrijk dat zij de bepalingen van de GDPR strikt naleven. 

Voor meer informatie omtrent de toepassingen van de GDPR  bij klinische proeven, kan u steeds beroep doen op een erkende DPO. 

Overeenkomsten en Verschillen tussen de GDPR en Andere Europese Wetten
Iets anders lezen?gdpr-en-andere-europese-wetten
Interessant!
Een Audit in NIS2
Iets anders lezen?nis2-audit
Interessant!
Hoe Bescherm Je Gevoelige Gegevens Tijdens Remote Working?
Iets anders lezen?beschermen-van-gevoelige-gegevens-tijdens-remote-werken
Interessant!
Hoe zorg je voor databeveiliging in online winkels?
Iets anders lezen?databeveiliging-in-online-winkels
Interessant!
Interessant!
Een NIS2 incident melden
Iets anders lezen?nis2-incident-melden
Interessant!
PDCA-cyclus voor Informatiebeveiliging en Privacy
Iets anders lezen?pdca-cyclus-voor-informatiebeveiliging-en-privacy
Interessant!
Onzichtbare Bedreiging Voor Privacy
Iets anders lezen?onzichtbare-bedreiging-voor-privacy
Interessant!
10 Cyber Security Tips voor KMO's
Iets anders lezen?10-cyber-security-tips-voor-kmos
Interessant!
ISO27001 Eenvoudig Uitgelegd
Iets anders lezen?iso27001-eenvoudig-uitgelegd
Interessant!
Dpo nodig?

Delen:

Meer berichten

gdpr audit

Een Audit in NIS2

Inleiding: De Europese Unie heeft ingespeeld door de NIS2-richtlijn te introduceren, een update van de oorspronkelijke Network and Information Systems (NIS) richtlijn

Partners

AMS Antwerp Management School
Ombudsdienst Energie
College Of Europe
DeltaHealthCare Willebroek
FKS Hasselt
KLIO Kusala Leadership Intelligent Organisation
Vancauthem BV
Bureau Buitenland BV
Vandermaesen Lakkerij Tessenderlo
Takeldienst M-Assistance
Notariaat Cabes
Notariskantoor Fagard & Deak

Links

Links

Contact

©DPO Associates Alle rechten voorbehouden. Privacy verklaringCookie verklaring | Algemene voorwaarden