Wat betekent de AVG voor biobanken en het verwerken van gezondheidsgegevens (en lichaamsmateriaal) voor wetenschappelijk onderzoek?

Wat is de AVG?

De Algemene Verordening Gegevensbescherming (AVG; in het Engels GDPR: General Data Protection Regulation), is een Europese privacywet waarin staat hoe persoonsgegevens verwerkt mogen en moeten worden (1). Voor Nederland kwam de AVG op 25 mei 2018 in de plaats van de Wet Bescherming Persoonsgegevens (WBP). De AVG geldt voor organisaties die persoonsgegevens verwerken, en ook voor organisaties die bijzondere persoonsgegevens (waaronder gezondheidsgegevens) verwerken, zoals ziekenhuizen, onderzoeksinstituten, overheidsinstellingen en biobanken.

 

Wat betekent dit voor organisaties die gezondheidsgegevens verzamelen en voor wetenschappelijk onderzoek inzetten?

Grote organisaties besteden al veel aandacht aan de bescherming van persoonsgegevens en hebben bijvoorbeeld een Functionaris voor de Gegevensbescherming (FG), één van de mogelijke verplichtingen in de AVG.  Veel van de bepalingen uit de AVG en de WGBO (Wet op de Geneeskundige Behandelingsovereenkomst, BW 7 Artikelen 446-468 (2)) zijn uitgewerkt in de FEDERA gedragscodes ‘Goed Gedrag’ (3) en ‘Goed Gebruik’ (4), en de verschillende NEN-normen. Toch zijn er twee belangrijke veranderingen door de invoering van de AVG:

  1. Organisaties moeten een register aanleggen van alle verwerkingen van persoonsgegevens. Betrokkenen waren en blijven in de gelegenheid deze verwerkingen in te zien, te wijzigen of zich (onder voorwaarden) daaruit te verwijderen. In artikel 30 van de AVG of op de website van de Autoriteit Persoonsgegevens (5) kunt u vinden welke gegevens in dit register vastgelegd moeten worden.
  2. Als een organisatie persoonsgegevens wil verwerken, en deze verwerking een hoog privacyrisico heeft, zal zij vooraf een  gegevensbeschermingseffectbeoordeling (GEB) moeten uitvoeren. Met een GEB (in het engels DPIA, Data Protection Impact Assessment) brengt elke organisatie de impact op de privacy van betrokkenen in kaart. BBMRI-NL heeft voor dit doel een tool ontwikkeld, die de gebruiker aan de hand van concrete vragen meeneemt langs alle artikelen van de AVG. Deze tool is te vinden op de website van BBMRI-NL (6).

 

Is toestemming nodig voor het gebruik van gezondheidsgegevens voor wetenschappelijk onderzoek?

Gegevens over de gezondheid van individuen en genetische gegevens worden beschouwd als bijzondere categorieën van persoonsgegevens. Voor het verwerken van deze gezondheidsgegevens voor wetenschappelijk onderzoek is, net als onder de WBP en WGBO, in principe altijd expliciete toestemming van de betrokkene nodig (Artikel 9.2.a). Op die regel zijn echter, ook in de AVG (en de uitvoeringswet AVG (7)) uitzonderingen. Eén van die uitzonderingen gaat over het gebruik van persoonsgegevens voor wetenschappelijk onderzoek. De AVG laat hierin ruimte om via nationale wetgeving  een uitzondering te maken. In Nederland staat zo’n  uitzondering bijvoorbeeld in de WGBO, BW 7 Artikel 458. Wel moeten voldoende maatregelen moeten zijn genomen om betrokkenen te informeren en hun privacy te beschermen (Artikel 9.2.j AVG), zoals pseudonimiseren en het gescheiden opslaan  van onderzoeksgegevens en identificerende gegevens (Artikel 89.1 AVG).

 

Wat betekent dit voor biobanken?

Deze uitzonderingsbepalingen gelden niet alleen voor het gebruik van gezondheidsgegevens, maar ook voor het gebruik van gegevens afkomstig van lichaamsmaterialen voor wetenschappelijk onderzoek. Denk daarbij aan weefsel, bloed, urine etc. die in het kader van diagnostiek en behandeling zijn afgenomen. Voor onderzoekers vormt het restmateriaal een rijke bron aan gegevens die ook onder de AVG nog steeds gebruikt kan worden.

Deze tekst wordt onderschreven door het RIVM en TNO.

 

Bronnen

  1. AVG
  2. WGBO
  3. Code Goed Gedrag
  4. Code Goed Gebruik
  5. Website van de Autoriteit Persoonsgegevens (laatst geraadpleegd op 04-03-2019)
  6. GDPR-tool BBMRI
  7. uAVG

Voor het laatst gewijzigd op 03-07-2018

 

Meer lezen

Wat is een gegevensbeschermingseffectbeoordeling (GEB)?

Waar vind ik meer informatie over de betekenis van de GDPR / AVG / Uitvoeringswet AVG voor observationeel medisch-wetenschappelijk onderzoek?

 

 

Staat uw vraag er niet bij, neem dan contact met ons op.

 

Contact

Heeft u nog geen ELSI-Servicedesk TOPdesk account?
Vraag deze dan aan door een mail te sturen naar elsiservicedesk@health-ri.nl.

 

Wij gebruiken Topdesk, inclusief subonderdelen zoals Worcade, als onze service management software. Door het stellen van een vraag via de telefoon of e-mail, dan wel door het indienen van het vragenformulier, gaat u ermee akkoord dat de door u verstrekte gegevens worden opgeslagen in Topdesk. Deze verwerking van uw gegevens gebeurt in overeenstemming met het Privacybeleid en de Voorwaarden van Topdesk.


De informatie op deze website is met de grootst mogelijke zorg en aandacht samengesteld door experts uit verschillende disciplines. Bij het samenstellen van de informatie is gebruik gemaakt van verschillende bronnen. Er is rekening gehouden met de op het moment van plaatsen geldende wet- en regelgeving en ethische kaders, en de interpretatie daarvan door de personen en/of organisaties die bijdragen aan de ELSI Servicedesk. Ondanks deze zorg en aandacht voor de verstrekte informatie kan deze onvolledig of niet geheel juist zijn. Voorts is het antwoord generiek en is meestal een vertaling nodig naar de specifieke situatie van een bepaald onderzoek. Het ELSI kernteam en de organisaties die bijdragen aan de ELSI Servicedesk kunnen geen aansprakelijkheid aanvaarden voor de op deze site geboden informatie en het gebruik daarvan.

Meer AVG

Waar vind ik meer informatie over de betekenis van de GDPR / AVG / Uitvoeringswet AVG voor observationeel medisch-wetenschappelijk onderzoek?

Op 25 mei 2016 is de Europese privacywetgeving Algemene Verordening Gegevensbescherming (AVG) ingegaan. Deze AVG wordt in het Engels GDPR (General Data Protection Regulation) genoemd. Het doel van deze AVG is om de bescherming van persoonsgegevens op eenzelfde manier te regelen in alle landen van de Europese Unie (EU).

Klik hier voor het volledige antwoord

Mogen patiëntgegevens hergebruikt worden voor wetenschappelijk onderzoek onder de AVG? (COREON Statement)

De AVG bepaalt dat persoonsgegevens hergebruikt mogen worden mits dit niet onverenigbaar is met het oorspronkelijke doel van de verzameling. Dit wordt het beginsel van doelbinding (artikel 5.1.b) genoemd. COREON heeft een statement uitgebracht waarin uitgelegd wordt wat de betekenis van het doelbindingsbeginsel voor wetenschappelijk onderzoek en kwaliteitsbewaking is. Ook wordt aangegeven aan welke criteria voldaan moet worden, wil men gegevens verwerken voor het doel van wetenschappelijk onderzoek en statistiek. Lees het statement hier in het Nederlands of in het Engels.

Klik hier voor het volledige antwoord

Heeft de AVG het WGBO-regime veranderd voor onderzoek op klinisch verkregen lichaamsmateriaal en gegevens?

Tot de komst van de AVG en UAVG (Uitvoeringswet AVG) konden onderzoekers gegevens en lichaamsmateriaal, die verzameld waren in het kader van de zorg, voor wetenschappelijk onderzoek (‘nader gebruik’) gebruik maken van de geen-bezwaarprocedure indien aan de daarvoor gestelde voorwaarden was voldaan. Dit gebeurde op basis van Burgerlijk Wetboek (BW) Boek 7, artikel 458 (Wet op de Geneeskundige Behandelovereenkomst, WGBO).

Klik hier voor het volledige antwoord

Aan welke criteria moet onderzoek voldoen om zich wetenschappelijk onderzoek in de zin van AVG/UAVG te mogen noemen? (COREON Statement)

Wetenschappelijk onderzoek heeft in de AVG een speciale status, maar wordt daar niet gedefinieerd. COREON heeft een statement* opgesteld waarin wordt uiteengezet aan welke criteria voldaan moet worden om van wetenschappelijk onderzoek te mogen spreken. Zie het statement in het Nederlands of in het Engels.

Klik hier voor het volledige antwoord

Wat betekent de AVG voor het internationaal delen van onderzoeksgegevens?

BBMRI-ERIC heeft op haar website een document gedeeld met hun antwoorden op veelgestelde vragen over de AVG voor wetenschappelijk onderzoek in Europa.

Klik hier voor het volledige antwoord

De nieuwe AVG: wat betekent dit voor onderzoekers? COREON organiseerde een sessie hierover op het jaarlijkse WEON congres.

Bekijk de presentaties op YouTube of als PDF.

Klik hier voor het volledige antwoord

Wat betekent de AVG voor pathologie-laboratoria?

Stichting PALGA heeft alle pathologie-laboratoria in Nederland een brief gestuurd met daarin hun standpunt over de betekenis van de Algemene Verordening Gegevensbescherming (AVG) voor Nederlandse pathologie-laboratoria.

Klik hier voor het volledige antwoord

In hoeverre worden de data van whole genome sequencing als (direct) identificerend beschouwd? En moet in een informed consent formulier benoemd worden dat genetische gegevens verwerkt worden?

Deze FAQ is gebaseerd op een vraag die ingediend is bij de ELSI Servicedesk. Het antwoord op de vraag is volledig afhankelijk van de context van de vraag. U dient zelf in te schatten of het antwoord ook op uw situatie van toepassing is. 

Klik hier voor het volledige antwoord

Is opnieuw toestemming vragen aan onderzoeksdeelnemers nodig nu de AVG is ingevoerd?

De AVG stelt strengere eisen aan toestemming dan de vorige privacywet. Vanwege deze eisen is er onrust ontstaan rond de geldigheid van eerder gegeven toestemming onder de oude privacywetgeving voor nog lopende wetenschappelijke studies. Volgens de AVG is toestemming één van de grondslagen voor de verwerking van gewone en bijzondere* persoonsgegevens. Rechtsgeldige toestemming moet, uitzonderingen daargelaten, volgens de Autoriteit Persoonsgegevens voldoen aan de volgende eisen:

.....

Klik hier voor het volledige antwoord

Verandert de AVG het regime van artikel 42a in de CBS-wet om cohortstudies te koppelen aan de CBS-doodsoorzakenregistratie?

Deze FAQ is gebaseerd op een vraag die ingediend is bij de ELSI Servicedesk. Het antwoord op de vraag is afhankelijk van de specifieke context. U dient zelf in te schatten of het antwoord ook op uw situatie van toepassing is. 

Klik hier voor het volledige antwoord