Data gebruiken en delen voor medisch-wetenschappelijk onderzoek Vormt privacywetgeving een bedreiging? Mr. dr. Corrette Ploem 11-9-2014
Data-onderzoek Andere termen: ‘dossieronderzoek’, ‘statusonderzoek’, ‘nader gebruik van gegevens’, ‘secundaire gegevensverzameling’ Het gaat om verzamelen, analyseren en bewaren van gegevens die afkomstig zijn uit bestaande gegevensbestanden, zoals ▪ medisch dossier/EPD/ziekenhuisinformatiesysteem ▪ ziekteregistraties, patiëntenregistraties • Data-onderzoek is te onderscheiden van `vragenlijstonderzoek’ – onderzoek met gegevens die bij betrokkenen zelf via interview of enquête worden verzameld
Opzet van presentatie 1. Achtergrond van privacywetgeving 2. Juridisch kader voor data-onderzoek 3. Tweetal problemen
1. Achtergrond van privacywetgeving Technologische ontwikkelingen, zoals elektronische gegevensverwerking, ‘datamining’ en ‘data sharing’, nopen tot wetgeving die burger tegen privacyrisico’s beschermt Verplichting van nationale overheden om – via wetgeving – grondrechten, zoals recht op privacy en wetenschapsvrijheid, te beschermen Bindende regelgeving vanuit de Europese Unie ▪ sinds 1995: Richtlijn 95/46/EG – geïmplementeerd in nationale recht ▪ in toekomst: Algemene Privacy Verordening (APV) – rechtstreeks van toepassing in lidstaat • Recht op privacy - Art. 17 Verdrag inzake burgerrechten en politieke rechten (VN 1966) - Art. 10 Verdrag inzake de rechten van de mens en de biogeneeskunde (RvE 1997) - Art. 7 en 8 Handvest van de grondrechten (EU 2000) - Art. 10 (Nederlandse) Grondwet • Vrijheid van wetenschappelijk onderzoek - Art. 15 Internationaal Verdrag inzake economische, sociale en culturele rechten (VN 1966) - Art. 15 Verdrag inzake de rechten van de mens en de biogeneeskunde (RvE 1997) - Art. 13 Handvest van de grondrechten (EU 2000) Everyone has the right on protection of his/her personal data Personal data must be processed fairly for specified purposes and on basis of consent of the person concerned or some other legitimate basis Everyone has the right of access to data which has been collected concerning him or her, and the right to have it rectified Compliance with these rules shall be subject to control by an independent authority (Netherlands: College bescherming persoonsgegevens) Bindende regelgeving vanuit de Europese Unie Sinds 1995: Richtlijn 95/46/EG; privacyrichtlijn; bepalingen zijn geïmplementeerd in nationale recht In toekomst: Algemene Privacy Verordening (APV); bepalingen zijn rechtstreeks toepasselijk in de lidstaten
2. Juridisch kader voor data-onderzoek a Belangrijke aandachtspunten binnen privacywetgeving b Internationaal perspectief c Europees perspectief d Nationaal perspectief
2a. Belangrijke aandachtspunten binnen privacywetgeving Definitie van begrip persoonsgegevens (anonieme gegevens vallen buiten bereik van privacywetgeving) Individuele rechten van de betrokkene, bijv. om toestemming te geven of bezwaar te maken tegen data-onderzoek Uitzonderingen op individuele rechten van de betrokkene in het belang van wetenschappelijk onderzoek en statistiek
2b. Internationaal perspectief World Medical Association Declaration of Helsinki (laatstelijk gewijzigd te Fortaleza, Brasil 2013) ▪ Principe 32 (data-onderzoek en onderzoek met lichaamsmateriaal) ‘‘For medical research using identifiable human material or data, such as research on material or data contained in biobanks or similar repositories, physicians must seek informed consent for its collection, storage and/or reuse. There may be exceptional situations where consent would be impossible or impracticable to obtain for such research. In such situations the research may be done only after consideration and approval of a research ethics committee.’’
2c. Europees perspectief Raad van Europa Recommend. (97) 5 on the protection of medical data ▪ Art. 1 (reikwijdte) ‘Persoonsgegevens’: informatie die betrekking heeft op identificeerbare persoon. Wanneer identificatie onredelijke hoeveelheid tijd en mankracht kost, zijn gegevens niet-herleidbaar ▪ Art. 12 (wetenschappelijk onderzoek) Onderzoek moet v.z.v. mogelijk met anonieme gegevens worden uitgevoerd Als betreffende onderzoek daardoor onmogelijk wordt, mag het met herleidbare gegevens worden uitgevoerd mits a) toestemming betrokkene of b) autorisatie door onafhankelijk orgaan Aanvullende voorwaarden bij b): onderzoek dient algemeen belang; in redelijkheid onmogelijk om toestemming betrokkene te verkrijgen; betrokkene heeft geen expliciet bezwaar gemaakt
2c. Europees perspectief Europese Unie • EU-Directive on data protection (1995) ▪ Art. 2 a (reikwijdte) ‘‘ ‘personal data' shall mean any information relating to an identified or identifiable natural person ('data subject'); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity’’ ▪ Zie verschillende artikelen (6, 8, 11, 13, 18) die ruimte laten voor wetenschappelijk onderzoek, mits in de nationale wetgeving ‘suitable safeguards’ worden getroffen
2d. Nationaal perspectief Overzicht van relevante wet- en regelgeving Wet bescherming persoonsgegevens ▪ Art. 1 a (reikwijdte) Persoonsgegeven: elk gegeven betreffende geïdentificeerde of identificeerbare persoon ▪ Diverse andere bepalingen, waaronder art. 23 lid 2 Wbp Burgerlijk Wetboek (Wet op geneeskundige behandelingsovereenkomst) ▪ Art 7: 457 (beroepsgeheim) en art. 7: 458 BW (uitzondering t.b.v. wetenschappelijk onderzoek) FMWV-Gedragscode Gezondheidsonderzoek, laatste versie van 2004 ▪ Uitvoerige regels voor data-onderzoek - Van herleidbare gegevens kan ook sprake zijn indien er redelijke kans is op spontane herkenning of op identificatie via bestandsvergelijking .
2d. Nationaal perspectief Status van gecodeerde gegevens Gecodeerde gegevens zijn gegevens die niet onder NAW, geboortedatum, BSN, patiëntnummer, maar onder willekeurig nummer (code) worden bewaard Wanneer het na codering mogelijk is/ blijft om via codesleutel(s) naar patiënt terug te gaan (`tweerichtingscodering’), gaat het om persoonsgegevens Gecodeerde gegevens vallen in principe onder privacywetgeving
2d. Nationaal perspectief Juridisch kader voor onderzoek met anonieme gegevens Anonieme gegevens vallen niet binnen bereik privacywetgeving en terbeschikkingstelling van anonieme gegevens vormt geen inbreuk op medisch beroepsgeheim Betrokkene heeft geen zeggenschap, anonieme gegevens mogen zonder diens toestemming voor w.o. worden gebruikt Er gelden wel algemene zorgvuldigheidseisen op grond van FMWV-code Groepsprivacy?
2d. Nationaal perspectief Juridisch kader voor ‘eigen’ wetenschappelijk onderzoek `Eigen’ wetenschappelijk onderzoek -> gebruik van gegevens die arts of andere hulpverlener zelf voor zorgverlening heeft geregistreerd of heeft ingezien (hij heeft dus al toegang tot gegevens) BW stelt hieraan geen grenzen (want geen doorbreking beroepsgeheim) Hulpverlener hoeft hiervoor geen toestemming aan patiënt te vragen, maar dient bezwaar van betrokkene (als dat aan de orde is) wel te respecteren
2d. Nationaal perspectief Juridisch kader voor onderzoek (door derden) met herleidbare gegevens Onderzoeker die niet rechtstreeks betrokken is (of was) bij de behandeling v/d patiënt is te beschouwen als ‘derde’ Wanneer gegevens aan ‘derde’ worden verstrekt, wordt medisch beroepsgeheim doorbroken Doorbreking beroepsgeheim – voor welk doel dan ook – is in beginsel alleen rechtmatig indien betrokkene daarmee expliciet heeft ingestemd (zie art. 7: 457, lid 1 BW) Echter, van toestemmingsvereiste kan – wanneer het gaat om wetenschappelijk onderzoek – in twee situaties worden afgeweken (zie art. 7: 458 BW)
2d. Nationaal perspectief Juridisch kader voor onderzoek (door derden) met herleidbare gegevens (vervolg) 1e uitzondering: vragen van toestemming is in redelijkheid onmogelijk (patiënt is overleden of vanwege verhuizing onvindbaar) (art. 7: 458, lid 1, sub a BW) 2e uitzondering: vragen van toestemming kan in redelijkheid niet worden verlangd (grote aantallen, gevaar voor non-respons, steekproeftrekking) (zie art. 7: 458, lid 1, sub b BW) Bij beroep op 1e uitzondering mag privacy van betrokkene niet onevenredig worden geschaad, bij beroep 2e uitzondering mogen alleen ‘gecodeerde patiëntgegevens’ aan onderzoekers ter beschikking worden gesteld
2d. Nationaal perspectief Juridisch kader voor onderzoek (door derden) met herleidbare gegevens (vervolg) Bij afwijking toestemmingsvereiste geldt drietal bijkomende voorwaarden (art. 7: 458, lid 2) ▪ Het onderzoek dient een algemeen belang ▪ Het onderzoek kan niet zonder de betreffende gegevens worden uitgevoerd ▪ Betrokken patiënten zijn geïnformeerd en hebben geen bezwaar tegen verstrekking van hun gegevens voor wetenschappelijk onderzoek of statistiek gemaakt • Ten slotte: bij publicatie mogen individuele patiënten nooit herkenbaar zijn (tenzij toestemming)
3. Tweetal problemen a Komst van striktere EU-regelgeving b Tekortschietende regulering van biobanken
3a. Komst van striktere EU-regelgeving Privacyrichtlijn zal worden vervangen door Verordening In oorspronkelijke voorstel Europese Commissie werd data-onderzoek nauwelijks aan banden gelegd Europees Parlement (EP) kwam met groot aantal amendementen, waaronder strikt privacyregime voor medisch-w.o. In oorspronkelijke amendement kon alleen van toestemmingsvereiste worden afgeweken indien onderzoek ‘exceptionally high public interest’ dient en nationale toezichthouder betreffende onderzoek heeft geautoriseerd Uiteindelijke wijziging in ‘compromisvoorstel’ iets soepeler: afwijking is toegestaan indien onderzoek ‘high public interest’ dient; autorisatie door toezichthouder is geschrapt Raad van Ministers en Europees Parlement moeten nu samen met nieuw voorstel komen (dit wordt niet voor medio 2015 verwacht)
3b. Tekortschietende regulering van biobanken In wetgeving alleen geregeld dat onderzoek met anoniem materiaal is toegestaan indien betrokkene is geïnformeerd en daartegen geen bezwaar heeft gemaakt (art. 7: 467 BW) Wetgever heeft onderzoek met herleidbaar lichaamsmateriaal en biobanken niet geregeld Er is wel zelfregulering: FMWV-Code ‘Verantwoord omgaan met lichaamsmateriaal t.b.v. wetenschappelijk onderzoek’ (2011) Zolang wettelijke uitgangspunten inzake zeggenschap, omgaan met nieuwe bevindingen en noodzaak van toetsing e.d. ontbreken, zullen regels binnen Nederlandse ziekenhuizen verschillen en wordt delen/bijeenbrengen van data (en lichaamsmateriaal) bemoeilijkt
5. De Nederlandse wetgeving inzake data-onderzoek vertoont gebreken, maar biedt alles bijeengenomen een redelijke balans tussen privacy en onderzoek. Corette
6. Vanwege het ontbreken van heldere, in wetgeving verankerde uitgangspunten voor de oprichting en het gebruik van biobanken wordt het delen van data- en lichaamsmaterialen bemoeilijkt. Corette