GDPR (General Data Protection Regulation) - AVG (Algemene Verordening Gegevensbescherming)”

Locatie: Regardz Berghotel, Amersfoort.

  1. Opening

Reneé van Boxtel, lid van de GCP-commissie, opent deze dag waar ca. 65 personen aan hebben deelgenomen.

De privacywetgeving ofwel de bescherming van persoonsgegevens is veranderd. Dit is ook van invloed op de uitvoer van klinisch onderzoek. Vandaag zal de invloed daarvan op het GxP- en ICT-werkterrein worden belicht.

De presentaties van alle sprekers staan op de website op het ledengedeelte onder downloads/Events 2018 (wel eerst inloggen).

  1. Algemene introductie GDPR/AVG

Door: Marie-José Bonthuis

Marie-José geeft ons een heldere inleiding over de veranderingen ten gevolge van de GDPR/AVG die, na de huidige overgangsperiode, per 25 mei 2018 in werking treedt. Ze geeft een overzicht van de verschillen met de huidige Wet Bescherming Persoonsgegevens (WbP). De AVG kent o.a. boetes, documentatieplicht, DPIA en de verplichting tot het aanstellen van een FG (Functionaris Gegegevensbescherming).

 

 

Voor wetenschappelijk onderzoek is het van belang om al in de ontwerpfase de privacyaspecten en de rollen van betrokken partijen te beschrijven. De wetgeving spreekt hier van “Privacy by design”.

Voor hoog risico data is een DPIA (Data Privacy Impact Assessment) verplicht. Marie-José vertelt ons over de soorten persoonsgegevens die er zijn: gewone, bijzondere, direct herleidbaar, indirect herleidbaar, anoniem en pseudoniem. Door dit in kaart te brengen is het mogelijk om te beoordelen welk niveau van beveiliging men dient toe te passen. Hierover wordt momenteel door experts nagedacht binnen de “Artikel 29 werkgroep” (Working Party 29, WP29) een onafhankelijk adviesorgaan.  

 

 

Over informed consent staan in de AVG een aantal uitzonderingen beschreven. Voor bedrijven en organisaties is het van belang dat de AVG niet alleen op papier bestaat maar dat men kan aantonen dat nieuwe processen zijn geïmplementeerd. Marie-José spreekt van een groeimodel waarbij uiteindelijk continue verbetering van privacy beleid plaatsvindt.

  1. GDPR en klinisch onderzoek “als het getij verloopt, verzet men de bakens”, de praktische kant

Door: Karin Baas

Karin geeft ons een overzicht van documenten, checklists en praktische links die behulpzaam zijn bij de uitvoering van de AVG in de dagelijkse praktijk. Ze laat ons de “AVG Regelhulp” zien en het 10 stappenplan.

Er zijn zeer veel instanties zoals de AP, KvK en CCMO die bruikbare documenten delen op internet.

Ook de rijksoverheid helpt ons op weg met bijvoorbeeld een “Model gegevensbeschermings effectbeoordeling rijksdienst (PIA)” en een “Checklist verwerkersovereenkomsten”. Zelfs voor basisschoolleerlingen van groep 7 & 8 zijn er lespakketten beschikbaar.

De WP29 heeft voor auditors specifieke criteria opgesteld om te kunnen beoordelen of in een DPIA voldoende informatie is vastgelegd om te kunnen voldoen aan de nieuwe wetgeving.

Karin heeft ook toegelicht op welke GCP-bepalingen de AVG mogelijk van invloed is. Dit roept nog veel vragen op en zal waarschijnlijk in de toekomst duidelijker gaan worden. 

Voor klinisch onderzoek is het goed te weten dat de CCMO recent heeft gecommuniceerd dat zij afraden om bij reeds lopende studies individuele patiënten te benaderen over wijzigingen t.g.v. de AVG.

 

  1. Allemaal aan de PIA – Een jungle vol datalekken

Door: Brenno de Winter

Mag u persoonsgegevens verwerken? Het antwoord is: NEE… tenzij. U moet daarvoor een zogeheten wettelijke grondslag hebben. Brenno laat ons meedenken met behulp van jungle foto’s waarbij 1 zebra op de uitkijk staat, de zogenaamde wachter. Brenno legt uit wat het belang van “grondslag” is. Wat geeft u het recht bepaalde gegevens te verwerken? Wanneer het van vitaal belang is en wanneer het een wettelijke plicht is dan mag je die persoonsgegevens verwerken. Een voorbeeld is een EPD van een ziekenhuis.

Als organisatie ben je verplicht goed over deze grondslag na te denken. Is het noodzakelijk om deze data te verwerken of kan het ook anders? De begrippen proportioneel (in verhouding) en subsidiair (kan je hetzelfde bereiken op een andere manier) komen aan de orde. Een bijzonder aspect van de privacywetgeving is dat het de herleidbaarheid betreft tot een natuurlijk persoon, een levend mens van vlees en bloed.

We hebben met een DPIA geoefend aan de hand van een casus uit de zaal over het bewaren van een curriculum vitae (CV). Belangrijk is weer om hier de grondslag vast te stellen. Dit kan bijvoorbeeld, bij geneesmiddelen-onderzoek, wetgeving zijn waarvoor een beroepsmatig CV gearchiveerd dient te worden.

Bij CV’s die verkregen zijn n.a.v. een sollicitatie mag men die alleen verwerken als er een geldige reden is én mits betrokkende daarvan op de hoogte is.   

Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben en in sommige gevallen moeten zij het datalek ook melden aan de betrokkene(n).

Goede documentatie hieromtrent is vereist evenals het uitvoeren van corrigerende en preventieve maatregelen.

  1. Data Privacy, curse or blessing?

Door: Hans van Snellenberg

Hans weet ons ervan te overtuigen dat de nieuwe privacywetgeving “een zegen” is en geen vloek. De DNA-informatie van kankerpatiënten is door de AVG-wetgeving beter beschermd en de veiligheidseisen zijn aan alle betrokken partijen met argumenten te onderschrijven.

Bij Hartwig Medical Foundation wordt op grote schaal DNA geanalyseerd van oncologische patiënten. Deze DNA-gegevens, in combinatie met klinische data, worden in 1 nationale databank opgeslagen. Data worden beschikbaar gesteld (om niet) aan nationale en internationale onderzoeksgroepen. Deze direct herleidbare persoonsgegevens vereisen een hoge mate van beveiliging.

Hans zet ons aan het denken over de ethiek van de informed consent procedure. Deelnemers aan het onderzoek hebben er vaak zelf geen baat bij maar hun deelname helpt toekomstige patiënten. De toestemmingsprocedure is nog steeds in ontwikkeling gezien de vele ethische vraagstukken. Er worden immers ook andere bevindingen gedaan wanneer het hele genoom in kaart is gebracht. De vraag is of de patiënt en/of zijn familie daarover  geïnformeerd wil worden.  

Daarnaast vertelt hij over de zorgvuldige procedures die worden gehanteerd voor de uitgifte van data aan onderzoeksgroepen. Dit kunnen “statistical data” en “personal data” zijn. Bij Hartwig is er een Independent Data Access Board en een Independent Scientific Board. Zij zijn betrokken bij de boordeling van een data aanvraag.

Bij data verstrekking worden de afspraken hieromtrent in een overeenkomst vastgelegd.

  1. Samenvatting

Het was een inspirerende dag waarin veel aspecten rondom privacywetgeving zijn belicht. Het zal een uitdaging blijven voor de beroepsgroep om een goede balans te vinden tussen de bescherming van verschillende soorten persoonsgegevens, veiligheid van de proefpersonen en de wetenschappelijke vooruitgang.

Dankzij het prachtige weer konden we deze vrijdag afsluiten op het mooie terras van het Berghotel.

Veel dank aan alle sprekers en de DARQA-commissie leden die deze dag mogelijk hebben gemaakt.