GDPR en medisch-wetenschappelijk onderzoek

In een bijdrage verschenen in het Tijdschrift voor Gezondheidsrecht (T.Gez.) onderzocht Nils Broeckx in welke mate de verschillende actoren betrokken bij medische experimenten verantwoordelijk zijn voor GDPR-compliance.

Gepubliceerd op 20-11-2019

GDPR-verantwoordelijkheid

medicatie

De identificatie van de verwerkingsverantwoordelijke (data controller) is een eerste belangrijke stap in ieder gegevensverwerkingsproject. De verwerkingsverantwoordelijke is immers degene die verantwoordelijk is voor de naleving van de verschillende GDPR‑verplichtingen, zoals het beschikken over een rechtmatigheidsgrond, het informeren van de studiedeelnemers of het uitvoeren van een gegevensbeschermingseffectbeoordeling. Schending van die verplichtingen kan leiden tot aansprakelijkheid en administratieve/strafrechtelijke geldboetes. De onderaannemers (verwerkers of processors) van de verwerkingsverantwoordelijke hebben ook nog wel bepaalde GDPR-verplichtingen, maar deze zijn toch iets minder omvangrijk.

Die identificatie is bij medisch-wetenschappelijk onderzoek niet evident, omdat er in de praktijk vaak vele verschillende actoren betrokken zijn, te weten de opdrachtgever of sponsor, de onderzoekers, de onderzoeksinstellingen en de CRO’s ('Contract Research Organizations').

Verwerkingsverantwoordelijke of verwerker?

Het probleem situeert zich vooral bij de onderzoekers en de onderzoeksinstellingen (meestal ziekenhuizen). In principe zal de sponsor optreden als verwerkingsverantwoordelijke en treedt de CRO op als verwerker ten behoeve van de sponsor. Voor de onderzoeker en de onderzoekinstelling zal het daarentegen vooral afhangen van de gegevensverwerkingsclausules in het studieprotocol. Laten die clausules veel beslissingsmarge over hoe de persoonsgegevens van de deelnemers door hen worden verwerkt, dan zullen de (hoofd)onderzoeker en onderzoekinstelling gekwalificeerd worden als gezamenlijke verwerkingsverantwoordelijke met de sponsor. Bieden die clausules hen echter weinig tot geen beslissingsmarge, dan zullen ze veeleer als loutere verwerkers worden gekwalificeerd.

Het criterium voor de kwalificatie als verwerkingsverantwoordelijke is immers de beslissingshoedanigheid betreffende het verwerkingsdoel (wetenschappelijk onderzoek) en de essentiële middelen om dat doel te bereiken (type persoonsgegevens, mate van toegang tot die gegevens, bewaarperiode, enz.). Dit is een feitenkwestie die geval per geval moet worden beoordeeld.

Kortom…

Wie meewerkt aan een medisch-wetenschappelijk onderzoek besteedt best voldoende aandacht aan de bepalingen over de verwerking van persoonsgegevens in het studieprotocol. Die bepalingen kunnen immers een belangrijke impact hebben op de GDPR-aansprakelijkheid.

Auteur

broeckx-nils

Nils Broeckx is advocaat.

  561