(c) by AdValor.
In het kort:
- Of een CRO controller of processor is, hangt af van de mate van autonomie ten opzichte van de sponsor.
Clinical Research Organizations
Een Clinical Research Organization (“CRO”) is een organisatie die vaak wordt ingeschakeld door farmaceutische bedrijven (“Sponsor”) om medicijnen te laten testen op patiënten. Dit gebeurt vaak via een onderzoek bij zowel gezonde als niet gezonde patiënten. Een CRO zal bij zijn werkzaamheden gevoelige persoonsgegevens – met name gegevens betreffende de gezondheid – verwerken van patiënten. Het is dus belangrijk dat een CRO zich bewust is van de bijzondere regels van de Algemene Verordening Gegevensbescherming (“AVG”) die op zijn praktijk van toepassing zijn.
In de praktijk speelt met name de vraag of een CRO verwerkingsverantwoordelijke (“controller”) of verwerker (“processor”) is. In deze blog zal hier op worden ingegaan.
Controller en processor
Een controller is een natuurlijke persoon of rechtspersoon die, samen of alleen, het doel en de middelen van verwerking van persoonsgegevens vaststelt (artikel 4 lid 7 AVG).
Een processor is een natuurlijke of rechtspersoon die ten behoeve van de controller persoonsgegevens verwerkt (artikel 4 lid 8 AVG).
De centrale vraag bij de CRO is dan met name of de CRO moet worden gezien als processor voor de sponsor die de CRO inschakelt, of dat de CRO ten opzichte van de patiënten, zelf als controller moet worden gezien. In het laatste geval zijn de CRO en de sponsor dan gezamenlijk controller (joint-controller, zie art 26 AVG) of kan de CRO ook alleen controller zijn als er geen samenwerking is met de sponsor met betrekking tot de clinical trials.
Opinion 1/2010 WP29 over de concepten controller en processor
De Working Party 29 (een organisatie die advies uitbrengt over de AVG), heeft zich in 2010 uitgelaten over het controller en processor begrip. Daarbij zegt de WP29 dat het in de kern afhangt van de mate van autonomie die een CRO heeft ten opzichte van zijn sponsor. Volgens de WP29 zijn indicatoren van zelfstandigheid ten opzichte van de sponsor: (pagina 30 Opinion 1/2010)
- het verstrekken van informatie aan patiënten;
- het verkrijgen van toestemming van patiënten;
- het kunnen inzien van het medisch dossier van patiënten voor controle op het onderzoek; en
- de verantwoordelijkheid voor de beveiliging van het medisch dossier.
Verschil in verplichtingen
Of de CRO als joint-controller of processor wordt beschouwd, maakt veel uit voor de verplichtingen die op de CRO komen te rusten. Als controller is de CRO namelijk zelfstandig verantwoordelijk voor het verwerken van persoonsgegevens, terwijl de processor veelal dient te rapporteren aan de controller.
Bijvoorbeeld wanneer er sprake is van een datalek, dient een controller dit rechtstreeks te melden aan de privacy toezichthouder (“DPA”), terwijl de processor een datalek moet melden aan zijn controller.
Als sprake is van joint-controllership dragen de sponsor en de CRO gezamenlijke verantwoordelijkheid voor het verwerken van persoonsgegevens voor de clinical trials. Het is dan uitermate belangrijk dat tussen beide partijen goede afspraken worden gemaakt over de op hen rustende verantwoordelijkheden.
Wat kunt u doen om duidelijkheid te verkrijgen?
De mate van zelfstandigheid ten opzichte van de sponsor bepaalt of de CRO (joint-)controller of processor is. Dit betekent dat de CRO, samen met de sponsor, de mate van zelfstandigheid bewust kan vormgeven. In de praktijk zal dit in de samenwerkingsovereenkomst (en de verplichte processor agreement) goed moeten worden beschreven.
Van belang is ook om tussentijds audits te verrichten, om te kijken of de feitelijke situatie veranderd is ten opzichte wat in contracten is overeengekomen. Uiteindelijk zal de toezichthouder de feitelijke situatie rondom de clinical trials beoordelen, en niet enkel wat op papier staat.
Tot slot
Wanneer een CRO weinig autonomie heeft ten opzichte van zijn sponsor, kan hij worden gezien als processor van de sponsor. In deze situatie zal de CRO dus weinig vrijheid hebben met betrekking tot de vormgeving van de clinical trials, en voert het in wezen alleen uit wat de sponsor heeft verzocht.
- Voorbeeld CRO als processor: Een CRO verzamelt geen toestemming van patiënten, heeft geen inzicht in de medische dossiers en voert dus alleen de instructies uit van de sponsor.
Wanneer een CRO veel autonomie heeft ten opzichte van zijn sponsor, kan hij worden gezien als controller of joint-controller met de sponsor. In deze situatie wordt de CRO veel ruimte gelaten om de clinical trials vorm te geven.
- Voorbeeld CRO als controller: Een sponsor verstrekt de CRO alleen geld voor het verrichten van de clinical trials. Het is aan de CRO zelf om toestemming te verzamelen en de proces vorm te geven.