Utvecklingen av medicinteknik och GDPR
eHälsa och forskning är områden som vi på Knowit Cybersecurity & Law är lite extra intresserade av eftersom framsteg på området ger stor samhällsnytta (vem vill inte bidra till att bota våra allvarligaste sjukdomar?!) och dessutom ger upphov till många intressanta frågor både när det gäller juridik och säkerhet. I den här bloggen utforskar vi en av de juridiska frågorna lite närmare, nämligen den om fördelningen av personuppgiftsansvaret i samband med kliniska studier.
När medicintekniska produkter utvecklas och används finns det långtgående krav att bedriva klinisk forskning för att följa upp hur produkterna fungerar och spåra eventuella bieffekter. Det innebär att stora mängder hälsouppgifter om de personer som använder en medicinteknisk produkt behöver samlas in och behandlas. Det innebär i sin tur att den lagstiftning som gäller för klinisk forskning korsar dataskyddsförordningen, GDPR. Men hur går regelverken ihop? Och vilka utmaningar finns det med att få dessa regelverk att arbeta tillsammans?
Klinisk forskning
Medicinsk teknologi (”Medtech”) är en bransch som snabbt växer i samband med den tekniska utvecklingen och där möjligheten är stor att med hjälp av data analysera och utveckla medicinska produkter. Vid framtagande av en medicinteknisk produkt krävs det att verksamheten (Medtech-bolaget) utför klinisk forskning för att utveckla produkten så att den upprätthåller en god standard. Detta innebär att stora mängder känsliga personuppgifter kan komma att behandlas av flera olika parter. Vem är det som ansvarar för att personuppgifterna till exempel hanteras på ett säkert sätt, endast används på det sätt det var tänkt och för att patienterna får korrekt information om personuppgiftsbehandlingen? Dessa är ett par av de frågor som vi på Knowit reder ut redan från början för att säkerställa att de ansvariga implementerar de nödvändiga åtgärderna.
Ansvar för personuppgifterna
Så hur kan det då gå till? En patient besöker en vårdgivare och erbjuds en möjlighet av vårdgivaren till en alternativ behandling. Patienten får då vara med i en klinisk forskningsstudie. Om det är ett Medtech-bolag som har utvecklat den produkt som patienten ska testa, brukar det oftast (men inte alltid) vara Medtech-bolaget som sponsrar och betalar för produkterna medan vårdgivaren står för själva vården. Patienten behandlas i helt vanlig ordning av vårdgivaren, samtidigt som vårdgivaren även samlar in uppgifter om patienten och dess användning av Medtech-produkten till studien. Ofta finns det även en Clinical Research Organization (”CRO”) med i processen, som hanterar den insamlade datan. CRO:er är självständiga bolag som erbjuder outsourcade tjänster. CRO:erna har kontakter och kunskap som exempelvis Medtech-bolagen inte alltid har och kan exempelvis hjälpa till med att hitta patienter eller vårdgivare för forskningen.
Vem av dessa aktörer är då personuppgiftsansvarig enligt GDPR? Det beror på.
Enligt GDPR är en personuppgiftsansvarig, alltså den part som ansvarar för behandlingen, den som bestämmer ändamålen och medlen med behandlingen, dvs. hur och varför personuppgifterna ska behandlas. Vad händer om det finns två eller fler som tillsammans bestämmer ändamålen? Då kan det handla om ett gemensamt personuppgiftsansvar där verksamheterna tillsammans ansvarar för behandlingen.
Ibland väljer personuppgiftsansvariga att låta andra behandla personuppgifter för dess räkning, så kallade personuppgiftsbiträden. Ett personuppgiftsbiträde ansvarar också för att behandla personuppgifter lagenligt, men främst för att behandla personuppgifterna i enlighet med instruktioner från den personuppgiftsansvarige, vilket främst regleras genom ett obligatoriskt avtal som måste upprättas (personuppgiftsbiträdesavtal) mellan personuppgiftsansvariga och personuppgiftsbiträdet. Personuppgiftsbiträdet bestämmer inte ändamålet själv utan måste behandla personuppgifterna för det ändamålet som personuppgiftsansvariga bestämt.
Vår erfarenhet är att det inflytande de olika aktörerna ovan har över hur personuppgifterna behandlas varierar från fall till fall. Om vi fokuserar på Medtech-bolagets kan inflytandet påverkas av bl a följande faktorer.
Inflytandet Medtech-bolagen har på insamlingen och behandlingen av personuppgifterna beror på olika faktorer som exempelvis hur stor Medtech-bolaget är och möjligheterna för att påverka protokollet, eller om det är en gemensam studie med sjukhuset. Exempelvis om ett Medtech-bolag tillsammans med ett sjukhus utför en studie för ett gemensamt ändamål. I exemplet är båda parterna med i upprättandet av protokollet för studien som innehåller metodologin, typen av uppgifter som ska samlas osv. I detta fall kan man argumentera för att parterna kan vara gemensamt personuppgiftsansvariga. Om exempelvis Medtech-bolaget dock ensidigt skulle skriva protokollet och bestämma ändamålen skulle rollerna kunna ändras, och ett biträdesförhållande skulle kunna förekomma.
Skiljer sig alla kunder från varandra? Alla våra kunder skiljer sig från varandra, vissa kunder är större och jobbar kanske på en mindre, mer nationell/europeisk nivå, medan andra kunder är större och arbetar mer globalt. Skillnaden mellan att arbeta nationellt och globalt blir oftast att den globala innehåller fler aktörer som processar personuppgifterna. Exempelvis kan globala bolag välja att anlita fler externa parter för sin behandling såsom CRO:er, eller att kanske har kunskapen internt utan behov för externa tjänster. CRO:erna skiljer sig också från varandra, då vissa är mer självständiga och behandlar större mängder data, eller mindre självständiga och kanske endast upprättar kontakten med sjukhusen.
Avslutningsvis
Ansvaret för personuppgifterna kan skilja sig åt ordentligt inom klinisk forskning eftersom det finns flertal aktörer som är inblandade, med olika ändamål där en stor mängd personuppgifter samlas in. Det är ett riskfyllt område, både ur hälso-och personuppgiftsrättsligt perspektiv varför det är särskilt viktigt att göra en gedigen utredning kring ansvaret och inte utgå från vad som gäller för “grannen”. För oss som jobbar med det personuppgiftsrättsliga perspektivet är detta särskilt viktigt för att säkerställa att de nödvändiga åtgärderna implementeras av de ansvariga parterna. Detta kan gälla allt från vem som ska hantera en personuppgiftsincident till att se till att personuppgifterna lagras i en säker miljö genom exempelvis leverantörsgranskningar.
Utvecklandet av Medtech-produkter innebär att vården till patienter kan förbättras avsevärt och utgör en viktig del av det framtida samhället. Vi som arbetar inom cybersäkerhet och juridik på Knowit ser detta område som en viktig del av samhällsnyttan och ser fram emot att få fortsätta arbeta med dessa frågor i framtiden.
Om ni behöver hjälp kan ni kontakta oss. Vi på Knowit Cybersecurity & Law jobbar med ett antal kunder med att se till att personuppgiftsbehandlingen sker på ett säkert sätt.