Vragen en antwoorden over de gegevenssectie van de model-PIF

Hieronder vindt u vragen en antwoorden over de gegevenssectie van de model-PIF. De vragen en antwoorden zijn ook beschikbaar als document.

Waar vind ik algemene informatie over de gevolgen van de Algemene Verordening Gegevensbescherming (AVG) voor medisch-wetenschappelijk onderzoek?

Algemene informatie over de gevolgen van de AVG voor medische-wetenschappelijk onderzoek vindt u hier.

Waarom staat in de eerste paragraaf van sectie 10 dat ook de geboortedatum wordt verzameld, gebruikt en bewaard? Dit is meestal toch niet nodig?

Het gaat er in deze paragraaf om een indruk te geven van de persoonsgegevens die in het kader van het onderzoek worden verzameld. Of bepaalde gegevens al dan niet alleen in de ‘source  documents’/medische files en/of in de case report forms (CRF’s) worden opgenomen, is op dit punt in de PIF niet van belang. In de brondocumenten (‘source documents’)/medische files zal vaak wel de precieze geboortedatum staan. In het CRF zal deze informatie echter alleen worden verzameld als dat noodzakelijk is voor de studie. Bezorgdheid over het al dan niet registreren van de geboortedatum kwam in het verleden voort uit vrees dat daarmee gegevens herleidbaar zouden worden en onder de vereisten in de privacywetgeving zouden vallen. Onder de huidige – ruime – definitie van ‘persoonsgegevens’ in de AVG speelt dat punt geen rol meer, omdat ook de – gecodeerde – gegevens in de CRF’s worden aangemerkt als persoonsgegevens in de zin van de AVG. Als de geboortedatum in het CRF moet worden opgenomen, dan moet de noodzaak daarvan in het protocol onderbouwd zijn.

Waarom worden gecodeerde gegevens ook persoonsgegevens genoemd? De gegevens in de CRF’s die naar een externe partij worden gestuurd zijn toch geen persoonsgegevens?

Ook al blijft de sleutel op de onderzoekslocatie, zolang er een mogelijkheid is om gegevens te herleiden tot een persoon, blijven het persoonsgegevens in de zin van de AVG.

In de paragraaf ‘Toegang tot uw gegevens voor controle’ staat dat ‘nationale en internationale toezichthoudende autoriteiten’ inzage hebben in de ongecodeerde gegevens. Valt de METC hier ook onder?

Nee, in Nederland heeft de METC geen inzage in de ongecodeerde gegevens. Met ‘nationale en internationale toezichthoudende autoriteiten’ worden met name autoriteiten zoals de Inspectie Gezondheidszorg en Jeugd (IGJ), het Europees Geneesmiddelenagentschap (EMA) en de Food and Drug Administration (FDA) bedoeld.

In de vorige versie van de model-PIF werd ook het onderzoeksteam genoemd in de paragraaf ‘Toegang tot uw gegevens voor controle’. Het onderzoeksteam wordt in de versie van mei 2018 echter niet meer genoemd. Waarom is dit nu weggelaten?

In de nieuwe versie van de model-PIF is de tekst over ‘inzage’ door diverse instanties toegespitst op instanties met een controlerende taak. Zij moeten inzage hebben in alle persoonsgegevens om de kwaliteit en betrouwbaarheid van het onderzoek te kunnen toetsen. Het onderzoeksteam hoort niet thuis in dit rijtje van externe controleurs en is daarom niet meer opgenomen. Voor wat betreft de rechten voor onderzoeksmedewerkers op toegang tot c.q. verwerking van persoonsgegevens is de redenering dat dit – net als in de rest van de gezondheidszorg – een afgeleide is van de rechten die toekomen aan de onderzoeker c.q. de instelling (als verantwoordelijke voor de verwerking van persoonsgegevens). De onderzoeker c.q. instelling heeft de verantwoordelijkheid om ervoor te zorgen dat daarbij wordt voldaan aan de vereisten van de AVG (onder andere een geheimhoudingsplicht bij de verwerking van bijzondere persoonsgegevens).

In de paragraaf ‘Bewaartermijn gegevens <indien van toepassing> en lichaamsmateriaal’ staat: ‘Uw gegevens moeten [….] jaar worden bewaard op de onderzoekslocatie <indien van toepassing> en [....] jaar bij de opdrachtgever’. Hoe kan die bewaartermijn worden bepaald en hoe moeten de gegevens verder worden gespecificeerd?

Zoals in de toelichting op deze paragraaf in de model-PIF wordt vermeld, kan het hier gaan om verschillende bewaartermijnen.

In de EU-verordening 536/2014 voor klinisch geneesmiddelenonderzoek is in artikel 58 in een bewaartermijn voorzien van minimaal 25 jaar voor gegevens in geneesmiddelenstudies. Vooruitlopend op het van toepassing worden van de verordening acht de CCMO het aanvaardbaar om deze bewaartermijn bij geneesmiddelenonderzoek alvast te hanteren. Voor advanced therapeutic medicinal products (ATMP’s) is een bewaartermijn van minimaal 30 jaar in wet- en regelgeving vastgelegd.

Voor overige WMO-studies (geen geneesmiddelenstudies) is er in de wet- en regelgeving geen bewaartermijn vastgelegd. Hantering van een bewaartermijn van minimaal 15 jaar, mits in het protocol onderbouwd, acht de CCMO aanvaardbaar. Daar waar bij specifieke studies met een kortere bewaartermijn dan de hiervoor genoemde termijnen kan worden volstaan, acht de CCMO hantering van een kortere termijn aangewezen.

De bewaartermijnen voor de gegevens op de onderzoekslocatie en bij de sponsor zijn in principe gelijk. Indien deze afwijkend zijn biedt de model-PIF de mogelijkheid om de bewaartermijn op de onderzoekslocatie en bij de sponsor separaat te vermelden. Het protocol moet een nadere specificatie bevatten van de gegevens die gedurende de bewaartermijn op de onderzoeklocatie en bij de sponsor bewaard moeten worden. Dergelijke details hoeven niet in de PIF te worden opgenomen.

De volgende informatie staat niet langer op het toestemmingsformulier: ‘Ik geef toestemming om mijn gegevens op de onderzoekslocatie nog [15] jaar na dit onderzoek te bewaren’. Waarom is dit verwijderd?

Het bewaren van gegevens hoort bij het ‘verzamelen en gebruiken van mijn gegevens/bloedmonsters/lichaamsmateriaal voor de beantwoording van de onderzoeksvraag in dit onderzoek’ waar in de toestemmingsverklaring al toestemming voor wordt gevraagd. Aparte toestemming voor bewaren is dus niet noodzakelijk.

In de tekst wordt de proefpersoon geïnformeerd over het doorsturen van gegevens naar landen buiten de Europese Unie (EU). Moet de proefpersoon, indien van toepassing, hier geen toestemming voor geven? In de vorige versie van de model-PIF stond dit in het toestemmingsformulier.

Dit is in de versie van mei 2018 inderdaad aangepast. We gaan ervan uit dat bij het doorsturen van gegevens naar landen buiten de EU een passend niveau van bescherming van de persoonsgegevens is gewaarborgd. In dat geval is voor de doorgifte van de persoonsgegevens naar landen buiten de EU geen aparte toestemming nodig. In het protocol dient beschreven te worden welke waarborgen voor een passend beschermingsniveau zijn getroffen bij doorgifte naar een land buiten de EU. Indien geen passend niveau van bescherming kan worden gewaarborgd, dan dient wel apart toestemming voor doorgifte naar een land buiten de EU te worden gevraagd. Tevens dient in dat geval aan de uitgebreide informatieplicht uit de AVG te worden voldaan.

Is het verplicht om bij een sponsorgeïnitieerde studie ook de contactgegevens van de sponsor (als verwerkingsverantwoordelijke) te vermelden in sectie 10? Bij de industrie wil men liever niet dat proefpersonen direct met de sponsor kunnen bellen omdat de gegevens van de patiënt dan bekend/gedeblindeerd worden. Is het niet mogelijk om alle vragen van de proefpersoon over de AVG via de onderzoeksinstelling te laten lopen?

Er lijkt hierbij sprake te zijn van een verkeerde voorstelling van zaken, namelijk dat het niet wenselijk (en eigenlijk verboden) is dat de opdrachtgever/sponsor op de hoogte raakt van de identiteit van de deelnemer, ook al vloeit dat voort uit een actie van de deelnemer zelf (namelijk het willen uitoefenen van diens rechten jegens de opdrachtgever/sponsor). Als de industrie de opdrachtgever voor het onderzoek is, dan is de industrie, naast de onderzoeksinstelling, ‘verwerkingsverantwoordelijke’. Op grond van de AVG moet de betrokkene (proefpersoon) worden geïnformeerd over wie de
verwerkingsverantwoordelijke(n) is/zijn. Daarom moeten er ook contactgegevens van de opdrachtgever/sponsor in de PIF worden opgenomen. De AVG is er ook pertinent in dat de betrokkene zich tot alle verwerkingsverantwoordelijken moet kunnen wenden met vragen over de verwerking van de persoonsgegevens en voor de uitoefening van rechten. Dat betekent dat de opdrachtgever/sponsor zich daarop moet voorbereiden en adequate procedures moet inrichten.

Als de opdrachtgever buiten de EU gevestigd is, moet hij dan – naast de vertegenwoordiger in de EU – ook genoemd worden als verwerkingsverantwoordelijke?

Een vertegenwoordiger van de verwerkingsverantwoordelijke binnen de EU wordt benoemd zodat hij kan fungeren als aanspreekpunt voor de toezichthouder(s) en de betrokkenen voor vragen over de naleving van de AVG en over de uitoefening van rechten. Als daarnaast ook de contactinformatie van de verwerkingsverantwoordelijke zelf wordt opgenomen, kan het verstandig zijn om op te merken dat de vertegenwoordiger het eerste, preferente, contactpunt is.

Kan de verwerkingsverantwoordelijke in een instelling dezelfde persoon zijn als de functionaris gegevensbescherming?

Nee, de verwerkingsverantwoordelijke is veelal de raad van bestuur van de instelling. De functionaris gegevensbescherming wordt door de verwerkingsverantwoordelijke/raad van bestuur benoemd om te adviseren over de naleving van de AVG en dient een onafhankelijke positie te hebben. De aanstelling van een functionaris gegevensbescherming is meestal verplicht (als op grote schaal bijzondere persoonsgegevens worden verwerkt).

Is de vertegenwoordiger van de verwerkingsverantwoordelijke binnen de EU hetzelfde als een ‘legal representative’?

De AVG vereist dat er specifiek voor kwesties rondom de verwerking van de persoonsgegevens door de verantwoordelijke voor de gegevensverwerking die buiten de EU is gevestigd een binnen de EU gevestigde vertegenwoordiger wordt benoemd. Dat kan, maar hoeft niet, dezelfde organisatie te zijn die ook als ‘legal representative’ voor de overige kwesties rondom de uitvoering van het onderzoek fungeert.

In de huidige model-PIF staat dat wanneer een patiënt stopt tijdens de studie de al verzamelde gegevens gewoon gebruikt mogen worden. Volgens de AVG mag iedereen toch verzoeken zijn gegevens te laten wissen?

Bij het opstellen van de huidige tekst van de model-PIF is onderscheid gemaakt tussen enerzijds de beslissing van de proefpersoon om te stoppen met deelname aan de studie, en anderzijds het intrekken van de toestemming voor de verwerking van zijn/haar persoonsgegevens.

Enerzijds is bij het opstellen van de huidige tekst kennis genomen van de opinie van WP29 dat als toestemming de grondslag is voor de verwerking van persoonsgegevens (hetgeen bij WMO-plichtig onderzoek nu geacht wordt de juiste grondslag te zijn), op grond van artikel 17, eerste lid onder b, AVG (en er geen andere rechtsgrond is voor de verwerking), de gegevens moeten worden gewist als de betrokkene daar om vraagt.

Anderzijds is in artikel 17, derde lid onder d, AVG aangegeven dat het eerste en tweede lid niet van toepassing zijn ‘voor zover de verwerking nodig is met het oog op (…) wetenschappelijk onderzoek (…) overeenkomstig artikel 89, eerste lid AVG’. Er is voor gekozen om vooralsnog uit te gaan van de toepasselijkheid van het bepaalde in artikel 17, derde lid onder d, AVG terwijl tegelijkertijd de Europese Commissie heeft verzocht om verheldering hiervan. De Europese Commissie heeft aangegeven dat er vraagtekens zijn te zetten bij het uitsluitend focussen op toestemming als grondslag voor de verwerking van persoonsgegevens bij wetenschappelijk onderzoek, terwijl er ook andere grondslagen denkbaar zijn (wettelijke verplichting van de verwerkingsverantwoordelijke, gerechtvaardigd belang van de verwerkingsverantwoordelijke) waardoor ook de scherpe kant van het
bepaalde in artikel 17, eerste lid onder b, AVG zou worden vermeden. Dit is nog niet geheel uitgekristalliseerd en tot zolang achten wij de huidige tekst ‘de best mogelijke’.

Is de tekst van sectie 10 in de model-PIF ook verplicht voor de PIF voor proefpersonen van 12 tot en met 15 jaar?

Voor wat betreft de kwestie van ‘zeggenschap over verwerking van persoonsgegevens’ kent de Uitvoeringswet Algemene Verordening Gegevensbescherming (net als vroeger de Wbp) een andere leeftijdsgrens, namelijk dat pas vanaf de leeftijd van 16 jaar de rechten kunnen worden uitgeoefend door de betrokkene zelf en dat die rechten tot die tijd worden uitgeoefend door de ouders/vertegenwoordigers. De CCMO is van mening dat dit betekent dat in de PIF voor proefpersonen van 12 tot en met 15 jaar alle verwijzingen naar ‘daarvoor wordt je om toestemming/instemming gevraagd’ moeten worden verwijderd en dat er een vereenvoudiging van de tekst kan worden doorgevoerd. De tekst van de PIF voor de ouders moet dan wel volledig zijn en blijven.