This two-part blog serves to summarize Covance Medical Device and Diagnostic Solution’s research on General Data Privacy Regulation (GDPR) compliance for medical device sponsors. It does not serve as legal advice; it is a summary of information gleaned by Covance Medical Device and Diagnostic Solutions through a review of the GDPR itself and publically available resources on current interpretations of GDPR compliance. Covance Medical Device and Diagnostic Solutions recommends that sponsors obtain legal counsel on this topic.
在本博客的第一部分中,我们讨论了GDPR的背景和赞助商考虑的关键要素。在第二部分,我们将讨论特定的GDPR要求,包括具有具体定义的新条款,对临床研究人员和赞助商的影响以及所需的元素包括在符合GDPR的知情同意书(ICF)中。
知情同意处理要求
有与数据隐私有关的特定元素必须包含在数据隐私通知中。对于临床研究,提出了最简单的方法,以确保提供信息的方法是将其包含在该研究的知情同意书(ICF)中。同意必须是明确的,以书面形式给出,无法通过被动手段获得,例如取消选中预先选中的框。IC的过程可以满足所有这些规定。
知情同意元素
书面同意要素包括:
- Identity and the contact information for the data controller (sponsor).
- 数据保护官联系信息(指定的赞助商联系人)。
- 将为该研究收集的“敏感个人数据”的特殊类别,例如:
- 年龄,性别,种族和种族背景。
- Health and medical conditions including past medical history.
- 研究程序和对程序的反应。
- Information related to the participant’s sex life.
- 生物样品(例如,尿液,血液,组织和分析它们的结果)。
- 医学图像(例如,超声波扫描)和从评估它们的结果学习。
- 数据隐私权:
- 请求有关处理参与者数据的信息的权利。
- 如果它们不准确或不完整,并在纠正时限制处理,则请求纠正数据的权利。
- 以常用的格式请求将数据或其他方式转移到参与者的权利。
- The right to withdraw consent at any time, including the right to withdraw from study participation, follow-up or further handling of data.
笔记:可以添加限制,即已经处理的数据由原始同意法律覆盖,但不会收集任何进一步的数据。
- 如果不再需要数据,请求删除参与者数据的权利,或者没有其他法律要求进行使用。
笔记:FDA法规要求在指定的时间段内保留参与者数据;因此,可以说明数据将无限期地保存。
- 数据转移:关于将数据转移的情况的陈述,以保护数据(例如,编码数据)所采取的谁和安全措施。
- 如果数据将在欧盟外部转移:一份声明,即收到数据的国家可能没有他们的数据保护水平被欧洲委员会确认和保护数据隐私权所采取的任何安全措施。
笔记:欧洲委员会尚未证实美国有足够的数据保护水平,并不相信美国水平在此时的GDP下足够。但是,可以采取行动,以便可以根据具体情况实现合规性。
- 保留数据的策略:描述将存储多长时间的声明(例如,无限期地或“永久性或”永久性“)。
- A statement that consent is “freely given,” which must include an active and explicit statement that consent is freely given and can be freely withdrawn easily and without penalty.
- 数据请求的目的:指定数据收集的意图是“用于科学目的。”
Impact on Study Management and Data Collection
- If existing ICFs are not compliant, the sponsor must require re-consent of subjects to continue to collect data going forward.
- 在GDPR之前收集的数据不需要在符合GDPR标准的ICF下收集。
- 如果受试者从研究中退出,则只需在ICF中明确说明这一点,已经收集的数据仍然可以使用并无限期地存储。
- Informed consent checklists, if used, should be updated to include GDPR requirements.
- 作为赞助商和数据控制器,您将保留对数据的上行转移的责任,这意味着数据保护合同应该与访问或可以访问个人或敏感数据的任何供应商到位。这些合同必须明确定义符合GDPR所需的数据完整性和安全性的所有方面。
围绕GDPR合规性的不确定性和焦虑是2003年引入HIPAA要求的不确定性和焦虑,但与HIPAA一样,时间和正在进行的讨论提供了本主题的清楚。
Covance医疗设备和诊断解决方案专家准备支持您,因为您进入GDPR合规性。
References
- Advarra监管团队。GDPR及其对临床研究界的影响(包括非欧盟研究人员)。Advarra。https://www.advarra.com/the-gdpr-andstits-impact-on-临床研究 - 社区 - 包括非欧盟研究人员/Accessed 31 Jul 2018.
- 临床审判竞技场。一般数据保护规则:对临床试验和数据受试者的影响。http://www.clinicaltrialsarena.com/uncategorized/general-data-protection-regulation-the-impact-on-clinical-trials-and-data-subjects-5937623-2/Accessed 31 Jul 2018.
- 一般数据保护条例(GDPR):https://gdpr-info.eu./访问2018年7月31日。
- Gogates G. GDPR如何影响临床试验?应用临床试验。http://www.appliedClinicalTrialSonline.com/How-does-gdpr--clinical-trialAccessed 31 Jul 2018.
- Kirsch L. Howe GDPR在临床试验中影响个人数据。MassDevice。https://www.massdevice.com/how-gdpr-affects-personal-data-use-in-clinical-trials/Accessed 31 Jul 2018.
- LMK临床研究。你的tmf准备好gdpr吗?第二部分:了解您的权利。http://www.lmkclinicalresearch.com/blogs/tmf-ready-for-gdpr-part-two/Accessed 31 Jul 2018.
- Proffitt A.欧洲新的隐私法规对美国试验的意义。临床信息学消息。http://www.clinicalinomformaticsnews.com/2017/10/24/what-europes-new-privacy-regulations-意思是美国的试验。Aspx于2018年7月31日访问。
