פרטיות בחוזי מחקר קליני בארץ GDRP

דרישות הפרטיות GDRP (General Data Protection Regulation) שהתפרסמו במאי 2018, מגינות על מידע אישי. מדובר ב'אוסף של הוראות מחייבות שהוסדרו על ידי הפרלמנט האירופי, מועצת האיחוד האירופי והנציבות האירופית על מנת להגן על נושאי המידע בטריטוריית האיחוד האירופי בכל הנוגע לעיבוד נתונים אישיים שלהם. 'ויקיפדיה.

על מי חלות הוראות ה-GDRP באופן כללי?

  1. ארגון שפועל תחת האיחוד האירופי המעבד כל מידע אישי שנאסף, גם אם לאו דווקא נאסף באירופה

  2. ‏ניתוח התנהגות של מי שנמצא באיחוד האירופי

עם יציאת דרישות הגנת הפרטיות, החלו חברות מחקר ויזמי מחקר הפועלים בארץ ובאירופה, לבקש מבתי החולים, מארגוני הבריאות מקופות החולים בהם מתבצע המחקר, להחיל סעיפים והוראות בחוזי המחקר בין המרכזים הרפואיים בארץ ליזם המחקר, בכדי שיוכלו לעמוד בדרישות ה GDRP.

הנימוק היה, שמבחינת דרישות ה-GDRP, חברת מחקר שפועלת באיחוד האירופאי או עם האיחוד האירופאי מוגדרת כ- Controller. אך ארגוני הבריאות בארץ (בתי חולים וקופות חולים) אינם מוגדרים כנותני שירות (Processors). ולכן הוראות (והסנקציות החמורות אם מפירים אותן) ה-GDRP אינן חלות עליהן.

עקרוונות GDRP

  • עיבוד חוקרי והוגן

  • למטרה מוגבלת- הסכמה מדעת מפורשת

  • מינימליות, סודיות, שקיפות

  • דיוק ועדכנות

  • זכות עיון ותיקון

  • אבטחת מידע

  • אחריותיות

  • הזכות להישכח

  • קצין הגנת מידע

איך מתייחסים חלק מארגוני הבריאות בארץ?

מרכזי הבריאות בארץ, וארגוני הבריאות בארץ, הוקמו על פי דין ישראלי, והם פועלים בישראל בלבד. לכל מרכזי הבריאות בארץ קיים מידע של לקוחות ישראליים לצורך שירותים הנצרכים בישראל בלבד. ולכן לא מדובר במידע שנאסף עבור האיחוד האירופאי, אלא מידע שמלכתחילה היה ברשותנו. לכל מרכז בריאות יש מאגר מידע המנוהל בהתאם לדרישות הגנת הפרטיות בארץ מבלי שנדרש להיות כפוף לדרישות ה-GDRP. כך גם ההתייחסות למידע במחקר.

מה עושים בפועל במידע הנאסף במחקר קליני המתקיים בישראל

  1. עיבוד מידע רק בהתאם להוראות מתועדות אשר ניתנו עי יזם המחקר. כל מי שמחזיק מאגר מידע רגיש מחויב בהמון דרישות ותקנות מינימליות

  2. ‏עמידה בסודיות קיימת. בכפוף לחוק הגנת הפרטיות הישראלית. מתן הרשאות יש ממונה אבטחת מידע שאחראי על קביעת אופן השימוש.

  3. ‏התחייבות לנקוט באמצעי אבטחה מתאימים. כל ארגוני הבריאות בארץ, מחזיקים מאגרי מידע על המטופלים בדרגת אבטחת גבוהה.

  4. זכות להישכח קיימת בהתייחס לנושאים שיווקיים לא בתחום המחקר.

  5. דיווח על פריצה אבטחת מידע

  6. ‏הכללת סעיפים של שיתוף פעולה ככל שיכולים על מנת שהיזם ימלא את החובות המוטלות עליו לא עלי כארגון בריאות.

חשוב להקפיד שבחוזה ההתקשרות עם חברת המחקר, בין מרכז הבריאות בארץ ליזם המחקר לא יהיה בביטויים דומים להגדרת החוק של GDRP. 

לא נקרא ליזם= Controller ולמרכז הבריאות = Processor,  כדי להיות ברור שלא כפופים להוראות ה- GDRP ולסנקציות שלו.

כיצד המחקרים הקליניים בארץ, עומדים בדרישות ה-GDRP:

ארגוני הבריאות בארץ, כולל הרגולטור, נוהגים ממילא בנושא אבטחת מידע אישי והגנה על פרטיות בהתאמה לנדרש באיחוד האירופאי. למדינת ישראל, הנחשבת adequate באיחוד האירופי גם בנושא שמירת הפרטיות, יש תקנות רבות הנוגעות לשמירה על פרטיות, חלקן הגדול חופפות לדרישות הגנת הפרטיות של האיחוד האירופאי. כשפורטים את עקרונות GDRP רואים שהם נמצאים בתקנות בישראל בדרך כזו או אחרת.

ולכן, ניתן לנסח בהתקשרות החוזית בין יזם המחקר לחוקר ולמרכז הבריאות בארץ, סעיפי התחייבויות חוזיות שממילא ארגון הבריאות עומד בהם ועומדות בהתאמה למה שה GDRP מבקש. אבל ללא יכולת הכפפה של המוסדר הרפואי ל-GDRP, ללא הכפפה של המוסד לפיקוח של רשויות האכיפה האירופאיות וללא הכפפה לסנקציות הכרוכות בכך.

האם בכלל צריך הסכמה לשימוש במידע אישי במחקר?

הדעות חלוקות ויש עמדות שונות. בהתייחס למחקר קליני. קיימת התייחסות פרטנית בדרישות ה-GDRP לנושא הסכמה לשימוש בנתונים עתידיים בתת התייחסות (wp259rev.01), ההנחיה אומרת כי שימוש במידע אישי לצרכי אינטרס ציבורי אינו דורש הסכמה, וזה למעשה מהווה פטור מצורך בהסכמה לעשות שימוש בנתונים עתידיים. שיקולים דומים יחולו גם לעיבוד נתונים במחקר בהתאם לתקנת ה- CTR או בניסויים קליניים CTD. אולם עדיין הדעות חלוקות בנושא.

לסיכום

יזם מחקר העובד מול האיחוד האירופאי או מטעם אחד ממדינות האיחוד האירופאי ומבצע מחקר קליני בארץ, יכול להמשיך לקיים את מחקריו הקליניים, תוך דגשים לחוקי הגנת הפרטיות המתקיימים ממילא בחוקים והתקנות הישראליים, ומבלי להכפיף להוראות ה-GDRP.

פוסטים אחרונים

שכחנו משהו בפוסט, כתבו לנו?