Eksempel på en sponsor GDPR-parathedsanalyse. Peter Noes Senior Pharma Consultant, Pharma IT

Størrelse: px

Starte visningen fra side:

Download "Eksempel på en sponsor GDPR-parathedsanalyse. Peter Noes Senior Pharma Consultant, Pharma IT"

Hanne Lange
5 år siden
Visninger:

1 Eksempel på en sponsor GDPR-parathedsanalyse Peter Noes Senior Pharma Consultant, Pharma IT 1

2 2

3 GDPR-parathedsanalyse for Clinical Development-afdeling i dansk medicinalfirma Procesoverblik Gap-analyse Data Protection Impact Assessment (DPIA)-rapport 3

4 Sponsor CRO Investigator (site) CRF-system leverandør 4

5 Persondata er nødvendige at indsamle for at leve op til lovkrav om at bevise at lægemiddelet er sikkert og effektivt Ref. GDPR Artikel 6, 1c Følsomme persondata kan indsamles da studiedeltagerne giver eksplicit samtykke Ref. GDPR Artikel 9, 2a Beskyttelse af persondata er allerede en integreret del af klinisk udviklingsproces. GDPR vil medføre justeringer ikke revolutioner. 5

6 Gennemgang af Clinical Developmentafdelingens kvalitetssystem (Standard Operating Procedures) Visuelt overblik over proces/flow Verifikation at hele processen er beskrevet i SOP er 6

INVESTIGATOR (SITE) ecrf SYSTEM VENDOR ecrf system ecrf system Signed Informed Consent Form Populated Case Report Form SPONSOR Trial design Data analysis / data storage Master Informed Consent Form

7 INVESTIGATOR (SITE) ecrf SYSTEM VENDOR ecrf system ecrf system Signed Informed Consent Form Populated Case Report Form SPONSOR Trial design Data analysis / data storage Master Informed Consent Form Clinical Trial Protocol Data presentation HEALTH AUTHORITIES Master Case Report Form Archiving Trial Master File Trial Report Publications IRB/IEC 7

8 Er der databehandlingsaftaler på plads? Sponsor > CRO Sponsor > Investigator Sponsor > Leverandør ecrf-system Aftalerne skal specificere at databehandler (CRO/investigator/leverandør) kun må behandle data i henhold til dataansvarligs (sponsors) instruktioner 8

9 INVESTIGATOR (SITE) ecrf SYSTEM VENDOR CRO Clinical Service Agreement SPONSOR Trial design Signed Informed Consent Form Clinical Trial Agreement Populated Case Report Form ecrf system Data analysis / data storage ecrf system Clinical Service Agreement Master Informed Consent Form Clinical Trial Protocol Data presentation HEALTH AUTHORITIES Master Case Report Form Archiving Trial Master File Trial Report Publications IRB/IEC 9

10 Er databeskyttelse tænkt ind i processerne? Eksempler: Clinical Trial Protocol sætter rammer for hvilke data der indsamles og behandles Data pseudonymiseres sponsor har kun IDnummer på studiedeltager, ikke navn 10

Informed Consent Form (samtykkeerklæring) Udfordring: Samtykkeerklæringen skal

11 Behandles data lovligt, fair, transparent og til det rette formål? Er studiedeltagerne blevet oplyst om deres rettigheder? Informed Consent Form (samtykkeerklæring) Udfordring: Samtykkeerklæringen skal leve op til krav om at være let forståelig men samtidig beskrive GDPR-rettigheder (som ikke er lette at beskrive kortfattet) 11

12 Er der processer på plads til at behandle forespørgsler fra studiedeltagere (krav om indsigt, krav om sletning, krav om portering af data, klager)? Første kontakt vil være investigator Proces skal ikke kun dække Clinical Developmentafdeling, men også andre funktioner (global proces) 12

13 Er der processer der sikrer at data opbevares sikkert? Proces for tildeling af adgang til IT-systemer Proces for validering og vedligeholdelse af ITsystemer Ansvar ligger ikke nødvendigvis i Clinical Development-afdeling, men hos overordnet ITafdeling 13

14 Behandling af følsom data kræver at der foretages en konsekvensanalyse (Data Protection Impact Assessment, DPIA) Overblik over proces og gap-analyse giver den nødvendige indsigt til at lave DPIA Der er ikke et formaliseret format for DPIA Dansk Industri s skabelon kan bruges 14

processer ændres En studiespecifik DPIA kan med fordel udfyldes, hvor generelle

15 Dansk Industri s DPIA-skabelon fungerer som et spørgeskema der evaluerer overholdelsen af GDPR DPIA en bør opdateres når gaps er lukket eller hvis processer ændres En studiespecifik DPIA kan med fordel udfyldes, hvor generelle svar erstattes med f.eks. oversigt over aftaler med navngivne CRO er og tilpasset studiets design 15

16 En gennemgang og kortlægning af den kliniske udviklingsproces skal verificere, at hele processen er defineret og beskrevet En gap-analyse skal identificere mangler i databehandlingsaftaler, behandling og opbevaring af data og informationen der gives til studiedeltagere En Data Protection Impact Assessment (DPIA) skal foretages for at dokumentere at forordningens principper efterleves 16

17 Peter Noes Senior Pharma Consultant, Pharma IT 17

Relaterede dokumenter

Privatlivspolitik for

Privatlivspolitik for Kontaktoplysninger: WEISS ISOLERING A/S CVR-nummer: 25045580 Guldalderen 1 DK-2640 Hedehusene Kontakt: Jens Hagelskjær Mail: jhk@weiss-isolering.dk Tlf: +45 4656 2840 Mobil: +45 2341