Een clinical trial is een ingewikkeld traject waarbij tal van partijen betrokken zijn en rekening moet worden gehouden met veel wettelijke verplichtingen. Wet- en regelgeving met betrekking tot data privacy maakt clinical trials nog complexer, omdat veel van deze partijen zeer gevoelige persoonsgegevens verwerken. In dit artikel vertellen we je over de specifieke rollen die je kunt tegenkomen bij het uitvoeren van een clinical trial onder de Algemene Verordening Gegevensbescherming (AVG). Daarnaast leggen we uit welke verantwoordelijkheden elke rol met zich meebrengt. Je ontdekt waarom het belangrijk is om het verschil te weten tussen een verwerkingsverantwoordelijke, een gezamenlijke verwerkingverantwoordelijke en een verwerker, en we onderzoeken de relatie tussen deze partijen.

Verwerkingsverantwoordelijke

Een verwerkingsverantwoordelijke kan kort worden gedefinieerd als een ‘natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt’. [1]

Elk type entiteit kan de rol van verwerkingsverantwoordelijke op zich nemen. Dit betekent dat een organisatie, een individu of zelfs een groep individuen de rol van verwerkingsverantwoordelijke op zich kan nemen. De verwerkingsverantwoordelijke oefent invloed uit op de verwerking die plaatsvindt als gevolg van zijn beslissingsbevoegdheid. De beslissing waarom en hoe persoonsgegevens worden verwerkt, kan uitsluitend door de verwerkingsverantwoordelijke worden genomen of met andere entiteiten samen. Het is echter altijd de verwerkingsverantwoordelijke die moet beslissen over de middelen en doeleinden van de verwerking van persoonsgegevens.

Bij het instellen van een clinical trial wordt de sponsor beschouwd als de verwerkingsverantwoordelijke, omdat het de sponsor is die bepaalt waarom en hoe persoonsgegevens worden verwerkt.

Gezamenlijke verwerkingsverantwoordelijke

Wanneer verschillende partijen gezamenlijk bepalen waarom en hoe persoonsgegevens moeten worden verwerkt, zullen gezamenlijke verwerkingsverantwoordelijken aanwezig zijn. Om te bepalen of er gezamenlijke verwerkingsverantwoordelijken aanwezig zijn, moet een feitelijke analyse worden gemaakt van de daadwerkelijke invloed die elke partij heeft op de doeleinden en middelen voor de verwerking van persoonsgegevens.

De meest voorkomende omstandigheden waarin partijen gezamenlijke verwerkingsverantwoordelijken zullen zijn, zijn wanneer zij betrokken zijn bij dezelfde verwerking of wanneer de partijen doelen nastreven die complementair of nauw met elkaar verbonden zijn. Dit kan bijvoorbeeld het geval zijn wanneer er sprake is van een wederzijds voordeel dat voortvloeit uit dezelfde verwerking.

Bij het opzetten van een clinical trial wordt de Clinical Research Organization (CRO) beschouwd als de gezamenlijke verwerkingsverantwoordelijke als zij en de sponsor gezamenlijk bepalen waarom en hoe persoonsgegevens moeten worden verwerkt. Dit kan worden afgesproken in het onderzoeksprotocol van de clinical trial.

Processor

Een verwerker kan worden gedefinieerd als ‘een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die / dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt’. [2] Een verwerker kan, net als een verwerkingsverantwoordelijke, elk type entiteit zijn. Om een entiteit als verwerker te kwalificeren, moet aan twee voorwaarden worden voldaan. Ten eerste moet het een afzonderlijke entiteit zijn met betrekking tot de verwerkingsverantwoordelijke en ten tweede moet het persoonsgegevens verwerken namens de verwerkingsverantwoordelijke.

De rol van verwerker vloeit niet voort uit de aard van een entiteit die gegevens verwerkt, maar uit haar concrete activiteiten in een specifieke context. De aard van de dienst bepaalt of de verwerking neerkomt op verwerking van persoonsgegevens namens de verwerkingsverantwoordelijke in de zin van de AVG.

In een clinical trial omgeving worden leveranciers, zoals ziekenhuizen of testlocaties, beschouwd als verwerkers omdat ze handelen in opdracht van de verwerkingsverantwoordelijke.

Verhouding tussen de partijen

De concepten verwerkingsverantwoordelijke en verwerker zijn zogenaamde ‘functionele concepten’, wat betekent dat ze gericht zijn op het toewijzen van verantwoordelijkheden op basis van de werkelijke rollen van de partijen. Dit betekent dat de juridische status van een verwerkingsverantwoordelijke of processor wordt bepaald door zijn werkelijke activiteiten in een specifieke situatie, in plaats van door titel – het kan niet alleen gebaseerd zijn op een beslissing.

De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de AVG en moet dit kunnen aantonen. Een manier waarop de verwerkingsverantwoordelijke dit kan doen, is door alleen gebruik te maken van een verwerker of verwerkers die voldoende garanties bieden om passende technische en organisatorische maatregelen [3] te nemen bij de verwerking van persoonsgegevens.

De relatie tussen verwerkingsverantwoordelijke en verwerker moet worden geregeld door een contract of andere rechtshandeling, zoals een verwerkersovereenkomst. Deze relatie kan worden beschouwd als een van ondergeschiktheid in het licht van het feit dat de verwerker moet handelen in opdracht van de verwerkingsverantwoordelijke en niet andersom. Als een verwerker niet dienovereenkomstig handelt, kan hij worden beboet voor het niet naleven van de AVG. In een clinical trial moet een ziekenhuis handelen volgens de instructies van de sponsor bij het verwerken van de persoonsgegevens van de deelnemers aan het onderzoek.

De relatie tussen gezamenlijke verwerkingsverantwoordelijken is enigszins anders omdat ze samen moeten beslissen wie welke taken gaat uitvoeren. Om de naleving van de AVG te waarborgen, moeten ze verantwoordelijkheden verdelen door middel van een regeling. In deze regeling moet in duidelijke taal worden vermeld welke taken aan welke gezamenlijke verwerkingsverantwoordelijke zijn toegewezen. In een clinical trial zullen de CRO en de sponsor gezamenlijk moeten bepalen welke entiteit welke taken zal uitvoeren, zoals welke entiteit verzoeken van deelnemers aan de studie zal beantwoorden.

Bescherming van persoonsgegevens

Een van de belangrijkste verantwoordelijkheden voor de verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijken en verwerker is dat de persoonsgegevens die tijdens een clinical trial worden verzameld en verwerkt, voldoende beschermd moeten zijn. Deze verantwoordelijkheid geldt ongeacht of de persoonsgegevens normale of speciale categorieën van persoonsgegevens zijn.

Een beveiligingsmaatregel die partijen kunnen implementeren is het pseudonimiseren van persoonsgegevens. De gegevens worden zodanig verwerkt dat de persoonsgegevens niet langer aan een bepaalde studiedeelnemer kunnen worden toegeschreven zonder het gebruik van aanvullende informatie. [4] Deze aanvullende informatie moet apart worden bewaard en technische en organisatorische maatregelen moeten ervoor zorgen dat de persoonsgegevens anoniem zijn. In een clinical trial zou het psuedonimiseren van de verzamelde gegevens uit de rapportformulieren van de sponsor een voorbeeld zijn. Bijvoorbeeld door het ziekenhuis of de testfaciliteit een code toe te wijzen aan elke studiedeelnemer. De gebruikte sleutelcode wordt ook apart en veilig bewaard.

Het feit blijft dat elke clinical trial anders is. Het is een complex proces waarbij verschillende partijen betrokken zijn, die elk een belangrijke rol en verantwoordelijkheden hebben om te vervullen. Daarom raden we ten zeerste aan om bij elke clinical trial een analyse uit te voeren om te bepalen welke entiteiten welke rol spelen met betrekking tot de verwerking van gevoelige gegevens. Om vervolgens passende maatregelen te kunnen nemen om ervoor te zorgen dat elke partij haar verantwoordelijkheden en verplichtingen met betrekking tot hun specifieke rol nakomt.

Lees ook ons white paper voor een volledig overzicht van de verantwoordelijkheden en verplichtingen van de verschillende partijen bij een clinical trial.

[1] Article 4(7) General Data Protection Regulation, EU 2016/679
[2] Article 4(8) General Data Protection Regulation, EU 2016/679
[3] Article 28(1) General Data Protection Regulation, EU 2016/679
[4] Article 4(5) General Data Protection Regulation, EU 2016/679