De AVG is sinds 25 mei 2018 van kracht in de EU en is sindsdien een drijvende kracht achter de verbetering van de wereldwijde gegevensbeschermingsnormen. De AVG is in het leven geroepen om de persoonsgegevens van EU-burgers te beschermen. De term “persoonsgegevens” verwijst naar alle informatie met betrekking tot een persoon die kan worden gebruikt om die persoon te identificeren, hetzij op zichzelf, hetzij in combinatie met andere informatie. Duidelijke voorbeelden zijn naam, e-mailadres en paspoortnummer. Er zijn echter ook minder voor de hand liggende voorbeelden, zoals het IP-adres of CCTV-opnamen van personen.
Voor klinische proeven is het van cruciaal belang dat gezondheids- en medische gegevens als persoonsgegevens worden geclassificeerd, waardoor zij moeten voldoen aan de vereisten van de AVG. Bovendien worden gezondheids- en medische gegevens onder de AVG beschouwd als gegevens van een speciale categorie, wat betekent dat er extra beschermingslagen vereist zijn voor de verwerking. Ook als u de bij proeven gebruikte persoonsgegevens pseudonimiseert zodat personen niet onmiddellijk identificeerbaar zijn, is de AVG nog steeds van toepassing als het mogelijk is om deelnemers aan proeven opnieuw te identificeren aan de hand van aanvullende gegevens waarover u beschikt.
Hoewel het een EU-regelgeving is, zijn veel organisaties buiten de EU toch gebonden aan de regels van de AVG. De AVG is namelijk telkens van toepassing wanneer de persoonsgegevens van in de EU gevestigde personen worden verwerkt, ongeacht de plaats waar de organisatie is gevestigd. Dit wordt het “extra territoriale toepassingsgebied” genoemd. Daarom moeten klinische proeven die worden uitgevoerd door niet-Europese organisaties voldoen aan de AVG als één van uw proefdeelnemers zich in de EU bevindt, zelfs als u geen vestiging in de EU hebt en zelfs als u gebruikmaakt van een in Europa gevestigde Contract Research Organisation (CRO).
Artikel 27 Vertegenwoordiging
Als u geen vestiging in de EU hebt, moet u, als onderdeel van de naleving van de AVG, een EU-vertegenwoordiger aanwijzen. Daarnaast is er, vanwege Brexit, sinds 1 januari 2021 een aparte vereiste voor organisaties die de persoonsgegevens van inwoners van het VK verwerken, maar geen vestiging in het VK hebben, om een Vertegenwoordiger in het VK aan te stellen. Deze eisen voor Vertegenwoordiging vormen de focus van deze blogpost, waarin we u willen helpen bepalen of uw organisatie een Vertegenwoordiger nodig heeft en, zo ja, hoe deze u kan helpen.
EU-vertegenwoordiging is vastgelegd in Artikel 27 van de AVG. Organisaties die onder Artikel 27 vallen, moeten een EU-vertegenwoordiger aanwijzen die in de EU als contactpunt fungeert voor de betrokkenen en de toezichthoudende autoriteiten. Uw vertegenwoordiger kan een persoon of een organisatie zijn, maar moet gevestigd zijn in een van de EU-lidstaten waar de deelnemers aan uw proef – de zogeheten betrokkenen – verblijven. EU-vertegenwoordigers hebben een aantal verantwoordelijkheden:
- Samenwerken met toezichthoudende autoriteiten
- De communicatie tussen uw organisatie en de betrokkenen vergemakkelijken
- Om een verwerkingsregister voor uw organisatie bij te houden, in overeenstemming met AVG Artikel 30
Naast deze kernverantwoordelijkheden moeten zij ook met u samenwerken aan een aantal andere taken, waaronder:
- Hun gegevens duidelijk vermelden op uw privacyverklaring
- Uw gegevensstromen begrijpen
- Vragen van betrokkenen en toezichthoudende autoriteiten vertalen en beantwoorden
- Het registreren en rapporteren van gegevensinbreuken met betrekking tot uw EU/UK-gegevensbetrokkenen
- Adviseren over kwesties inzake gegevensbescherming die van invloed zijn op uw organisatie
Als u alleen de persoonsgegevens verwerkt van betrokkenen die in één EU-lidstaat wonen, moet uw EU-vertegenwoordiger in die lidstaat gevestigd zijn. Indien u echter persoonsgegevens verwerkt van personen die in meerdere lidstaten wonen, kunt u ervoor kiezen uw EU-vertegenwoordiger in één van die landen te vestigen. Het is raadzaam het land te kiezen waar de meeste gegevens verzameld en verwerkt worden. Dit is simpelweg omdat de kans het grootst is dat u daar vragen of klachten ontvangt, zodat een EU-vertegenwoordiger die gemakkelijk bereikbaar is en dezelfde taal spreekt als deze betrokkenen, waarschijnlijk ook heel nuttig zal blijken.
VK Vertegenwoordiging
Vanaf 1 januari 2021 behoort het Verenigd Koninkrijk niet langer tot de EU. Aangezien het VK de AVG echter in nationaal recht heeft omgezet, is de “UK GDPR” nu van kracht volgens het Britse recht. De GDPR van het VK bevat een soortgelijke vereiste als artikel 27 van de GDPR, wat betekent dat buiten het VK gevestigde organisaties die de persoonsgegevens van inwoners van het VK verwerken, een vertegenwoordiger voor het VK moeten aanwijzen die dezelfde rol vervult en dezelfde taken uitvoert, zoals hierboven vermeld. Dit komt bovenop de EU-vertegenwoordiger die volgens de AVG vereist is bij de verwerking van de gegevens van EU-inwoners.
Dus als u zowel in het VK als in één van de 27 EU-lidstaten proefdeelnemers hebt, maar u bent in geen van beide landen gevestigd, hebt u daarvoor een vertegenwoordiging in beide soorten landen nodig.
Volgende stappen
Op grond van bovenstaande informatie moeten bedrijven die klinische proeven uitvoeren de volgende stappen nemen voor zowel het VK als de EU afzonderlijk:
Stap 1: Bepaal of de EU GDPR/UK GDPR op uw organisatie van toepassing is
-
- Verwerkt u de persoonsgegevens van personen die in de EU of het VK wonen?
Stap 2: Zo ja, dan is de AVG/UK GDPR van toepassing en dient u zich af te vragen of u over geschikte vestigingen in de EU of het VK beschikt?
-
- Zo ja, (en de vestiging is bereid de verantwoordelijkheid en mogelijke aansprakelijkheid voor de vertegenwoordiging op zich te nemen) dan hoeft u geen aparte vertegenwoordiger aan te wijzen
- Zo nee, dan zult u waarschijnlijk een vertegenwoordiger moeten aanwijzen
Stap 3 (alleen EU): Verwerkt u de persoonsgegevens van personen uit slechts één of uit meerdere EU-lidstaten?
-
- Zo ja, dan moet u een EU-vertegenwoordiger in die staat aanwijzen
- Indien meerdere, ga dan na waar u de meeste persoonsgegevens verzamelt en verwerkt, en benoem een EU-vertegenwoordiger in die staat
Ten slotte is het belangrijk te vermelden dat de verplichting om een EU-vertegenwoordiger te benoemen en de verplichting om een vertegenwoordiger in het VK te benoemen, ongeacht of het VK een positief besluit heeft genomen over de adequaatheid, nu van kracht zijn. Als u er nog geen hebt benoemd, moet u dat dus dringend doen. Gelukkig is de benoeming van een vertegenwoordiger een eenvoudig proces dat u binnen enkele dagen kunt uitvoeren.