Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Krav efter persondataloven til kliniske forsøg med lægemidler, kliniske afprøvninger af medicinsk udstyr og pligtmæssig sikkerhedsovervågning af lægemidler og medicinsk udstyr

Generelle krav
 
1. Oplysningerne må kun anvendes til brug for den dataansvarliges kliniske forsøg med lægemidler/ kliniske afprøvning af medicinsk udstyr/pligtmæssige sikkerhedsovervågning af lægemidler og medicinsk udstyr. 

2. Indsamling, registrering og anden behandling af personoplysninger skal ske med hjemmel i lægemiddellovgivningen eller persondatalovens kapitel 4. 

3. Behandling af personoplysninger må kun foretages af den dataansvarlige eller på foranledning af den dataansvarlige og på dennes ansvar.
 
4. Alle, der deltager i behandlingen af personoplysninger, skal være bekendt med disse krav. 

5. Databehandleres behandling af oplysninger skal også leve op til disse krav.

6. Lokaler, der benyttes til opbevaring og anden behandling af oplysninger, skal være indrettet således, at uvedkommende ikke kan få adgang.

7. Den dataansvarlige skal træffe fornødne sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes. Dette gælder også for databehandlere. Den dataansvarlige skal desuden sikre, at der ikke behandles urigtige eller vildledende oplysninger. Urigtige eller vildledende oplysninger eller oplysninger, som er behandlet i strid med loven eller disse krav, skal berigtiges eller slettes. 

8. Oplysninger må ikke opbevares på en måde, der giver mulighed for at identificere de personer, der behandles oplysninger om, længere end det, der er nødvendigt af hensyn til gennemførelsen af det enkelte kliniske forsøg/den enkelte afprøvning/den pligtmæssige sikkerhedsovervågning. 

9. Offentliggørelse af resultater fra kliniske forsøg med lægemidler/kliniske afprøvninger af medicinsk udstyr skal ske på en sådan måde, at det ikke er muligt at identificere enkeltpersoner. 

10. Anden lovgivning med krav til behandling af oplysninger i forbindelse med kliniske forsøg med lægemidler/kliniske afprøvninger af medicinsk udstyr/pligtmæssig sikkerhedsovervågning forudsættes overholdt. 

Elektroniske oplysninger
 
11. Identifikationsoplysninger skal krypteres eller erstattes af et kodenummer el.lign. Alternativt kan alle oplysninger lagres krypteret. Krypteringsnøgle, kodenøgle m.v. skal opbevares forsvarligt og adskilt fra personoplysningerne. Dette gælder også for personoplysninger, som opbevares på bærbare enheder, f.eks. bærbare pc’er, tablets mv.

12. Adgangen til oplysninger må kun finde sted ved benyttelse af et fortroligt password. Password skal udskiftes mindst én gang om året, og når det i øvrigt er nødvendigt af hensyn til sikker behandling af oplysningerne.
 
13. Ved overførsel af personhenførbare oplysninger via internettet eller andet eksternt netværk skal der træffes de fornødne sikkerhedsforanstaltninger mod, at oplysningerne kommer til uvedkommendes kendskab. Herunder skal der anvendes kryptering, hvis følsomme personoplysninger overføres via internettet (eller andre åbne net), og sikring af sikkerhed for autenticitet (afsenders og modtagers identitet) og integritet (de transmitterede oplysningers ægthed) skal ske i fornødent omfang ved anvendelse af passende sikkerhedsforanstaltninger. Ved anvendelse af interne net skal det sikres, at uvedkommende ikke kan få adgang til oplysningerne. 
 
14. Udtagelige lagringsmedier, sikkerhedskopier af data mv. skal opbevares forsvarligt aflåst og således, at uvedkommende ikke kan få adgang til oplysningerne.

Manuelle (”papir”) oplysninger

15. Manuelt materiale, herunder udskrifter, fejl- og kontrollister, mv. med oplysninger, der direkte eller indirekte kan henføres til bestemte personer, skal opbevares forsvarligt aflåst og på en sådan måde, at uvedkommende ikke kan gøre sig bekendt med indholdet.

Biobank og biologisk materiale 

16. Prøver med biologisk materiale og biologisk materiale i biobanker skal opbevares forsvarligt aflåst, således at uvedkommende ikke har adgang til det, og på en sådan måde, at det sikres, at materialet ikke fortabes, forringes eller hændeligt eller ulovligt tilintetgøres.

17. Biologisk materiale, der er mærket med personnummer eller navn, skal opbevares under iagttagelse af særlige sikkerhedshensyn.

18. Den dataansvarlige skal fastsætte interne retningslinjer i projektet for opbevaring af biologisk materiale. Retningslinjerne skal ajourføres mindst én gang om året.

Oplysningspligt over for forsøgspersonen/den registrerede

19. Ved indsamling af oplysninger hos forsøgspersonen/den registrerede (ved interview, spørgeskema, klinisk eller paraklinisk undersøgelse, behandling, observation m.v.) skal der uddeles/fremsendes nærmere information om forsøget/afprøvningen/sikkerhedsovervågningen til forsøgspersonen i overensstemmelse med persondatalovens § 28, stk. 1. Forsøgspersonen skal heri oplyses om den dataansvarliges navn, formålet med forsøget/afprøvningen/sikkerhedsovervågningen, at det er frivilligt at deltage i forsøget/afprøvningen, om identiteten på eventuelle modtagere af oplysningerne og formålet med at videregive oplysninger, samt eventuelle andre oplysninger, som er nødvendige for, at forsøgspersonen kan varetage sine interesser. 

Indsigtsret

20. Den registrerede har ret til indsigt i de oplysninger, der behandles om den pågældende, i henhold til reglerne herom i persondatalovens kapitel 9.

Videregivelse/udlevering

21. Videregivelse/udlevering af personhenførbare oplysninger til andre kan ske i det omfang, der er hjemmel hertil i persondataloven eller anden lovgivning. 

Behandling ved databehandler

22. Ved behandling hos databehandler skal der indgås en skriftlig aftale herom mellem den dataansvarlige og databehandleren. Det skal fremgå af aftalen, at databehandleren alene handler efter instruks fra den dataansvarlige, og at oplysningerne ikke må anvendes til databehandlerens egne formål. Den dataansvarlige skal desuden kræve tilstrækkelige oplysninger fra databehandleren til, at den dataansvarlige til enhver tid kan sikre sig, at Datatilsynets krav kan overholdes, og at de bliver overholdt. 

23. Hvis databehandleren er etableret i en anden medlemsstat, skal det desuden fremgå af aftalen, at de yderligere bestemmelser om sikkerhedsforanstaltninger for databehandlere, som eventuelt er fastsat i den pågældende medlemsstat, også er gældende for databehandleren.

Ved projektets afslutning

24. Oplysninger (herunder også biologisk materiale) skal slettes, anonymiseres eller tilintetgøres senest ved forsøgets/afprøvningens/den pligtmæssige sikkerhedsovervågnings afslutning, medmindre en fortsat opbevaring kræves efter anden gældende lovgivning. Det må efterfølgende ikke være muligt at identificere enkeltpersoner i forsøget/afprøvningen/sikkerhedsovervågningen.

25. Alternativt kan oplysningerne overføres til arkiv efter arkivlovens regler.

26. Sletning af oplysninger fra elektroniske medier skal ske på en sådan måde, at oplysningerne ikke kan genetableres (se nærmere om sletning/destruktion af datamedier her).

Overførsel af oplysninger til tredjelande 
 
27. Overførsel af oplysninger til tredjelande, herunder overførsel til behandling hos databehandler, kræver forudgående tilladelse fra Datatilsynet.

28. Overførsel kan dog ske uden tilladelse fra Datatilsynet ved anvendelse af Kommissionens standardkontrakter (se nærmere om Kommissionens standardkontrakter her). Overførsel kan desuden ske uden tilladelse fra Datatilsynet, hvis den registrerede konkret har givet udtrykkeligt samtykke hertil.

29. Overførsel af oplysninger skal ske med bud eller anbefalet post. Ved elektronisk overførsel skal der træffes de fornødne sikkerhedsforanstaltninger mod, at oplysningerne kommer til uvedkommendes kendskab. Herunder skal der anvendes kryptering, hvis følsomme personoplysninger overføres via internettet (eller andre åbne net), og sikring af sikkerhed for autenticitet (afsenders og modtagers identitet) og integritet (de transmitterede oplysningers ægthed) skal ske i fornødent omfang ved anvendelse af passende sikkerhedsforanstaltninger.