Titel van de studie/ onderzoek:
Referentienummer:
A. Betrokken organisaties en de rollen die ze opnemen (data controller vs data processor)
Elke rol heeft een betekenis en gevolgen.
1. Wie is de verwerkingsverantwoordelijke (‘data controller’)?
Organisatie of onderneming die data verzamelt over data subjects die verblijven binnen de Europese Unie, ook wel de verwerkingsverantwoordelijke genoemd.
□ VUB
□ UZ Brussel
□ Andere
Bij andere, specifieer:
- Naam:
- Adres:
- Wettelijke vertegenwoordiging, binnen de EU of buiten de EU:
- Onderzoekers:
- Contactgegevens en de gegevens van de DPO op (voor zover aanwezig):
De verwerkingsverantwoordelijke bepaalt het doel van en de middelen (dit is niet financieel) voor de verwerking van de persoonsgegevens.
Voor klinisch onderzoek geldt het volgende principe: degene die het protocol opmaakt, bepaalt ook het doel en de middelen om over te gaan tot het verwerken van data, persoonsgegevens, en zal beschouwd worden als de verantwoordelijke voor de verwerking
Enkele voorbeelden:
- Bij een klinische studie gevraagd door een farmaceutisch bedrijf is veelal dat bedrijf de sponsor van de studie en dus de verwerkingsverantwoordelijke (“Data Controller”) voor de verwerking van de
persoonsgegevens.
- Bij een wetenschappelijk onderzoek waarbij het UZ Brussel of de VUB zelf de opdrachtgever is, is het UZB of VUB de verantwoordelijke voor de verwerking.
- Wanneer we een studie samen met een ander centrum doen en samen het protocol opstellen, dan zijn zowel UZB/VUB als dat andere centrum mogelijks gezamenlijk te beschouwen als
verwerkingsverantwoordelijken (“joint controllers”). In dit geval zijn er meerdere “verantwoordelijken” die gezamenlijk dezelfde verwerkingsactiviteit hebben opgezet en aldus “gezamenlijk verantwoordelijk” zijn.
Deze “joint controllers” dienen hun taakverdeling en verantwoordelijkheden onderling in een contract te regelen.
2. Wie is de verwerker (‘data processor’)
Organisatie die data verwerkt in opdracht van een data controller, ook wel de verwerker genoemd.
□ VUB
□ UZ Brussel
□ Andere
Bij andere, specifieer:
- Naam:
- Adres:
- Wettelijke vertegenwoordiging, binnen de EU of buiten de EU:
- Onderzoekers:
- Contactgegevens en de gegevens van de DPO op (voor zover aanwezig):
De verwerker doet de verwerking in opdracht van de controller. Deze verwerkingen worden dan uitgevoerd volgens de richtlijnen van de “verwerkingsverantwoordelijke”. Hiertoe moeten steeds een schriftelijke contractuele afspraken worden gemaakt. Standaard zal een DPA of “verwerkingsovereenkomst” worden afgesloten. Deze afspraken kunnen ook deel uitmaken van de hoofdovereenkomst die het klinisch onderzoek regelt.
Doel van het onderzoek:
B. Betrokken persoonsgegevens:
1. Over welke personen (data subjects) worden gegevens verzameld?
□ Personeelsleden
□ Patiënten
□ Binnen het UZ Brussel
□ Kinderen jonger dan 16 jaar
□ Patiënten met een genetische aandoening
□ Buiten UZB
□ Kinderen jonger dan 16 jaar
□ Patiënten met een genetische aandoening
□ Studenten
□ Andere (specifieer):
2. Aantal personen (eventueel schatting, grootteorde) 3. Oorsprong van de gegevens
Bij een wetenschappelijk onderzoek kan een onderscheid gemaakt worden tussen 2 types van verzamelen/verwerken van persoonsgegevens. Enerzijds kan er sprake zijn van primair gebruik van gegevens en anderzijds kan er sprake zijn van secundair gebruik of latere verwerking van gegevens.
Het primair gebruik van gegevens gebeurt rechtstreeks bij de betrokkene. De verwerker of de verwerkingsverantwoordelijke gebruikt voor zijn onderzoek data die rechtstreeks van de deelnemende betrokkenen bekomen zijn. Een primaire verwerking wordt ook wel een prospectieve studie genoemd.
Het secundaire gebruik of de latere verwerking van gegevens houdt daarentegen in dat de verwerker of
verwerkingsverantwoordelijke gebruik maken van persoonsgegevens waarover deze reeds beschikten, maar die voor andere doeleinden werden verkregen, of waarover derden reeds beschikten, zij het voor andere doeleinden. Dit betreft enerzijds
onderzoek dat gebruik maakt van gegevens van betrokkenen die ooit voor diagnostische- of zorgtoepassingen verzameld zijn geweest en anderzijds onderzoek dat gebruik maakt van gegevens van betrokkenen die in een ander onderzoek zijn verzameld. Het begrip “latere verwerking” heeft louter betrekking op het begrip secundair verzamelen. Een secundaire verwerking wordt een (niet-interventionele) retrospectieve studie genoemd.
Een retrospectieve studie gebeurt namelijk op basis van gegevens uit het verleden die zich in bestaande patiëntendossiers, medische dossiers of administratieve dossiers bevinden. Bij dit soort onderzoek zijn er geen extra handelingen bij of door de betrokkene voor de studie vereist en er is geen rechtstreeks contact met de betrokkene.
Het onderscheid tussen de twee soorten verkrijgingen van persoonsgegevens is van belang voor de voorwaarden, de uitzonderingen (bij de secundaire verzameling zijn er meer uitzonderingen) en de modaliteiten (de verstrekkende informatie en het tijdstip verschillen).
Geef aan wat de oorsprong is van de gegevens die worden gebruikt:
□ Persoonsgegevens nieuw verzameld voor dit onderzoek (prospectief onderzoek – primair gebruik)
□ Bestaande persoonsgegevens die reeds verzameld werden voor een ander doel, zoals meestal patiëntenzorg.(retrospectief onderzoek – secundair gebruik)
□ Patiëntendossier (eigen departement UZ Brussel)
□ Patiëntendossier (ander departement UZ Brussel)
Het medische dossier mag slechts ingekeken worden door (of onder direct toezicht en verantwoordelijkheid van) een arts/apotheker/… met een “therapeutische relatie” met de patiënt, dus een arts/apotheker/… die verbonden is aan het departement waar de patiënt behandeld werd. Deze kan dan de onderzoeksgegevens uit het dossier extraheren en de onderzoeks-dataset aan de onderzoekers doorgeven.
□ Medische gegevens (andere organisatie) (Welke?)
□ Reeds bestaande onderzoeks-dataset (Welk onderzoek? Verenigbaarheid?)
Als je een onderzoeks-dataset van een andere studie wil hergebruiken, dient nagegaan te worden of dit wel kan. Bv. Zijn de doelstellingen van beide studies voldoende gelijk/verenigbaar? Is de bewaartermijn van deze dataset niet overschreden?
□ Andere (beschrijf)
□ Ontvangt UZ Brussel data van extern? Vanwaar?
4. Wettelijke grondslag – enkel in te vullen als UZB of VUB opdrachtgever zijn
Om op een rechtmatige wijze gegevens te verwerken moet er een rechtsgrond zijn. Deze rechtsgrond wordt vastgelegd voordat het verwerken van gegevens begint.
Bij primair gebruik: bij de opmaak van het protocol.
Bij secundair gebruik zal men de oorspronkelijke ‘data controller’ moeten consulteren om te begrijpen met welk doel de gegevensverzameling tot stand is gekomen.
Duid aan wat van toepassing is:
□ Academisch onderzoek wordt gevoerd in het algemeen belang om bij te dragen tot maatschappelijk waardevolle kennis en inzichten
□ De persoon, data subject, heeft toestemming (informed consent) gegeven voor een welbepaald doel (zie verder)
□ Andere:
5. Bevat de onderzoeksdataset generieke identificeerbare persoonsgegevens?
□ Naam / adres
□ Rijksregisternummer of INSZ (identificatienummer sociale zekerheid)
□ Emailadres
□ Telefoonnummer
□ Dossiernummer/EAD
□ Geboortedatum
6. Bevat de onderzoeksdataset gevoelige persoonsgegevens
□ Gegevens over gezondheid
□ Genetische gegevens
□ Raciale of ethnische gegevens
□ Gegevens over het seksuele leven
□ Psychische/psychiatrische gegevens
□ Biometrische gegevens
□ Politieke of levensbeschouwelijke opvattingen/overtuigingen
7. Export van data
Wordt de data getransfereerd naar personen/ instellingen buiten UZ Brussel?
□ Nee
□ JA
□ Binnen de EU?
□ Buiten de EU? Welk land?
8. Betrokken onderzoekspersoneel:
Geef voor volgende rollen steeds naam, functie en organisatie op:
□ Hoofdonderzoeker:
□ Andere onderzoekers:
□ Contactpersoon:
□ Data-manager:
□ Consultants of medewerkers van verwerkers (zie wie is/zijn verwerkers):
□ Bij (her)gebruik gegevens uit medische dossiers: Wie extraheert de onderzoeksgegevens uit de dossiers :
Toegang tot en bewerking van gegevens moet steeds beperkt blijven tot het absoluut noodzakelijke (“need to know”) om de doelstellingen te bereiken. Denk dus steeds goed na wie je toegang zal geven tot de gegevens, waarom en hoe lang. Benoem deze personen en geef ook hun functie en de betrokken organisatie op.
C.Informatiesystemen en hun beveiliging
Welke IT-systemen worden gebruikt en hoe is de beveiliging georganiseerd (MFA, logging, username/password, fysische beveiliging, pseudonimisering, andere)
1. Bij gegevensverzameling
Worden de gegevens gepseudonimiseerd? Hoe? Door wie?
Persoonsgegevens die gepseudonimiseerd zijn vallen onder het toepassingsgebied van de GDPR.
Met verwijzing naar Good Clinical Practice kan met een specifiek patiënten-studie-nummer gewerkt worden of een gecodeerd dossiernummer. De arts met therapeutische relatie kan dan zelf een conversielijst bijhouden om indien nodig het oorspronkelijke dossiernummer of de identiteit van de deelnemer aan de studie terug te vinden.
Op deze manier wordt vermeden om met direct identificeerbare gegevens te moeten werken. De onderzoeks- dataset valt onder de categorie “gepseudonymiseerde” gegevens.
Bij gespeudonymiseerde gegevens of mogelijks re-identificeerbare gegevens zijn er dus geen directe identificatiegegevens in de onderzoeks-dataset opgenomen, maar zijn er wel gegevens opgenomen per individuele persoon. Met bijkomende informatie kan de persoon dus misschien terug geïdentificeerd worden. Als de dataset bv. geboortedatum en postcode bevatten is het niet zo moeilijk om vele personen terug te
identificeren. Quasi alle onderzoeks-datasets vallen hieronder. Vaak worden deze gegevens al aangeduid als geanonimiseerde of anonieme gegevens. Volgens de definitie in GDPR zijn deze gegevens niet anoniem en is GDPR nog steeds van toepassing voor deze gegevens.
Worden de gegevens op een geautomatiseerde manier verzameld?
□ Ja
Beschrijf hoe:
□ Neen
Enkele voorbeelden:
- patiënten-selectie en generatie van een werklijst uit het patiëntendossier (PRIMUZ/KWS) kan vaak via ICT van het UZ Brussel(*), om dan manueel de juiste gegevens over te nemen in onderzoeks-data-set.
- volledig automatische generatie van de onderzoeks-dataset uit het patiëntendossier via de ICT dienst van het UZ Brussel (*).
- bevraging van de betrokkenen via elektronische vragenlijst gebruikende van IT-tool X.
(*) Hiervoor kan je contact opnemen met de beheerder van het klinisch datawarehouse (Yves Thorrez)
2. Bij doorgifte van de gegevens
Hoe worden de persoonsgegevens doorgegeven?
□ beveiligde cloudoplossing van UZ Brussel of VUB
□ het bestand wordt versleuteld en bestand en sleutel worden op een verschillende manier doorgegeven
□ andere:
Doorgifte van persoonsgegevens via onbeveiligde memory-stick of via email of via persoonlijke cloud-services is niet toegelaten.
Via ICT kan er ook een beveiligde cloud-omgeving aangevraagd worden om de gegevens in de onderzoeksgroep te delen, eventueel zelfs met personen extern van het UZ Brussel.
3. Bij analyse van de gegevens
Welke tools worden gebruikt?
Op welke omgeving?
4. Bij opslag van de gegevens
Waar wordt de onderzoeks-dataset opgeslagen?
Er moet voor gezorgd worden dat enkel de betrokken onderzoekers toegang hebben tot de gegevens. Bv.
REDCap is een goede oplossing en heeft uitgebreide mogelijkheden (zelfs MFA en logging indien er toch met geïdentificeerde gegevens gewerkt moet worden). Een excel-bestand op een netwerkschijf van het UZ Brussel en beveiligd met een paswoord kan eventueel nog volstaan voor een beperkte dataset. Opslag van de gegevens op een persoonlijke PC of cloud-omgeving is niet toegelaten.
Wat is de bewaartermijn van de onderzoeksgegevens?
De gegevens mogen bewaard worden voor zolang dit voor de doelstelling van het onderzoek noodzakelijk is.
Bepaal de termijn dus lang genoeg om het onderzoek af te werken en eventuele controles en andere
verplichtingen mogelijk te maken. Typisch is dit dus enkele jaren na het geplande einde van de studie. Na deze termijn moeten de gegevens dan ook effectief gewist worden. Op deze manier wordt vermeden dat gegevens te lang blijven “slingeren” en mogelijks verkeerd hergebruikt worden.
D. Documenten
Is er een contract met die andere instelling? (data sharing agreement, data processing agreement, andere?)
□ ja
□ neen
Zo ja, voeg dit document toe aan uw indiening.
Wordt een “geïnformeerde toestemming” gevraagd aan de data subjects voor de gegevensverwerking?
□ ja
□ neen
Zo ja, voeg dit document toe aan uw indiening.
Werd een Data Protection Impact Assessment (DPIA) opgemaakt?
□ ja
□ neen
Zo ja, voeg dit document toe aan uw indiening.
Een DPIA moet door de controller opgemaakt worden bij gebruik van ingrijpend nieuwe
processen/technologieën om de persoonsgegevens te verwerken. Via een risico-analyse wordt inzicht verkregen in de privacyrisico’s van de gegevensstroom.
Hiervoor kan je contact opnemen met de DPO
