Du är här:Hem → Personuppgiftsombud → Samrådsyttranden → Personuppgiftsansvaret vid kliniska prövningar

Personuppgiftsansvaret vid kliniska prövningar

Forskning.

Fråga:
Jag är personuppgiftsombud för ett läkemedelsföretag och har ett "problem" med en forskningsetisk kommitté.

Vi utför då och då kliniska prövningar och tar därvid hjälp av läkare och/eller sjukhus för arbetet med patienterna. För att våra prövningar skall vara objektivt oantastliga, är det viktigt att vi inte känner till vilka individer som ingår i prövningen. Vi har ingen direktkontakt med individerna. Vi utformar patientinformation och ett prövningsformulär för att redovisa resultat och lämnar detta till läkare/sjukhus, som har kontakten med patienterna. Läkare/sjukhus upprättar en översättningslista mellan patienterna personnummer och individuella kodnummer. Läkaren/sjukhuset rapporterar prövningsresultatet till oss per individ enligt följande: Kodnummer, födelsedag ("sexsiffrigt personnummer"), initialer, kön och "medicinska data". Eftersom dessa uppgifter av oss inte kan "hänföras till en fysisk person", anser jag att detta inte är personuppgifter.

Läkaren/sjukhuset däremot registrerar sambandet mellan kodnummer och komplett personnummer.

Är läkaren/sjukhuset därmed personuppgiftsbiträde till oss?
Måste vi i så fall ha ett avtal med denne?

Före undersökningen lämnar vi information till patienterna om prövningen. Vi önskar hålla denna information neutral, det vill säga att inte låta det framgå vilket kommersiellt företag, som ligger bakom undersökningen. Detta anses nämligen kunna påverka prövningens resultat på patienten. Hittills har vi kunnat arbeta på detta sätt. För ytterligare information, utöver den skriftliga, har vi hänvisat till läkaren – med namn och telefonnummer.

Nu arbetar vi på att komma i gång med en klinisk prövning och där hindrar den etiska kommittén oss. Man kräver att vi i patientinformationen inkluderar:

1. Vem som är personuppgiftsansvarig

2. Att patienten en gång per år skall ha rätt att ta del av vad som registreras om ens person. (Om en patient skulle kontakta mig och referera till prövningens ID#, skulle jag kunna nysta vidare till läkaren och få fram informationen. Någon information kopplad och sökbar till patientens personnummer har vi inte f.n., och det skulle vi heller inte vilja ha. Det skulle ju bara ge ytterligare risker till missbruk. Hellre skulle vi då vilja kunna koppla ihop patienten direkt med läkaren.)

3. Att man har möjlighet till rättelse om något är fel.

4. Vart man vänder sig för att få rättelse — telefonnummer och adress.
Min fråga

Måste vi följa förslaget från den etiska kommittén till punkt och pricka? Eller kan vi med Datainspektionens stöd hävda att vår referens till läkaren är tillräcklig?

Svar:
Med anledning av din begäran om samråd får inspektionen meddela följande.

Personuppgifter definieras i 3 § personuppgiftslagen som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Varje information som kan hänföras till en fysisk person är således en personuppgift. Det krävs bara att en fysisk person kan identifieras med hjälp av informationen inte att den personuppgiftsansvarige själv förfogar över samtliga uppgifter som gör identifieringen möjlig. Kodade uppgifter är personuppgifter så länge någon har tillgång till en kodnyckel och på så sätt kan identifiera en enskild person. Läkemedelsbolaget har tillgång till kodnummer, födelsedatum, initialer, kön och medicinska data. En kodnyckel finns hos en läkare. Det innebär att det finns möjlighet att identifiera enskilda personer och de uppgifter som bolaget behandlar är således personuppgifter.

Personuppgiftsansvarig är enligt 3 § personuppgiftslagen den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Det är normalt den juridiska person som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som skall behandlas och vad uppgifterna skall användas till. Om två eller flera gemensamt bestämmer över en viss behandling av personuppgifter är de personuppgiftsansvariga tillsammans. Om läkemedelsbolaget bestämmer ändamålen med behandlingen av personuppgifter vid de kliniska prövningarna så är bolaget också personuppgiftsansvarig för behandlingen. De läkare och/eller sjukhus som läkemedelsbolaget tar hjälp av behandlar, enligt vad som framgår av ditt brev, personuppgifter i samband med de kliniska prövningarna. De kan i sådant fall vara personuppgiftsbiträden. Personuppgiftsbiträde är enligt 3 § personuppgiftslagen den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ett skriftligt avtal måste upprättas mellan den personuppgiftsansvarige och biträdet. I avtalet skall särskilt föreskrivas att personuppgiftsbiträdet bara får behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige samt att biträdet måste vidta de säkerhetsåtgärder som behövs för att skydda uppgifterna.

All behandling av personuppgifter måste uppfylla vissa grundläggande krav som finns i 9 § personuppgiftslagen. Behandlingen måste vidare vara tillåten enligt 10 § personuppgiftslagen för att vara laglig. Huvudregeln enligt 10 § personuppgiftslagen är att all behandling av personuppgifter skall ske med den registrerades samtycke. Personuppgifter kan även få behandlas utan samtycke om behandlingen är nödvändig för någon av de situationer som räknas upp i lagen (10 § a-f personuppgiftslagen). Den punkt som ligger närmast till hands när det gäller forskning är 10 § d personuppgiftslagen som säger att personuppgifter får behandlas om det är nödvändigt för att en arbetsuppgift av allmänt intresse skall kunna utföras.

När det gäller behandling av känsliga personuppgifter finns särskilt restriktiva bestämmelser i personuppgiftslagen. Känsliga personuppgifter är till exempel sådana som rör hälsa. Behandling av personuppgifter vid en klinisk prövning torde innebära en behandling av känsliga personuppgifter. Huvudregeln är att det är förbjudet att behandla känsliga personuppgifter, men det finns undantag. Om den registrerade har lämnat sitt uttryckliga samtycke till det så får känsliga personuppgifter behandlas. Känsliga personuppgifter får också behandlas utan samtycke för forskningsändamål om behandlingen är nödvändig och om samhällsintresset av det forskningsprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Om en forskningsetisk kommitté har godkänt behandlingen av personuppgifter så anses förutsättningarna enligt personuppgiftslagen vara uppfyllda.

En personuppgiftsansvarig har en långtgående skyldighet att informera de registrerade om den behandling av personuppgifter som utförs. Bestämmelserna finns i 23-25 §§ personuppgiftslagen. Informationen skall innehålla följande uppgifter:

• vem som är personuppgiftsansvarig
• ändamålen med behandlingen av personuppgifterna
• all övrig information som behövs för att den registrerade skall kunna ta till vara sina rättigheter i samband med behandlingen, såsom uppgift om mottagarna av personuppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information (så kallat registerutdrag) och få rättelse av felaktiga personuppgifter.
  Detta innebär att läkemedelsbolaget, om de är personuppgiftsansvariga, är skyldig att informera deltagarna i den kliniska prövningen i enlighet med bestämmelserna i personuppgiftslagen. Det går bra att i informationen hänvisa till en kontaktperson som patienten kan kontakta vid frågor men den registrerade har även rätt att få veta vem som är personuppgiftsansvarig. Den personuppgiftsansvarige är enligt 26 § personuppgiftslagen skyldig att till var och en som skriftligen begär det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller inte, så kallat registerutdrag. Om personuppgifter behandlas skall den registrerade få skriftligt besked om bl.a. vilka uppgifter som behandlas. Den personuppgiftsansvarige kan hänvisa den registrerade att begära detta utdrag från exempelvis en läkare, men den registrerade har alltid rätt att begära detta utdrag direkt från den personuppgiftsansvarige. Denna rätt till registerutdrag måste den registrerade informeras om innan behandlingen påbörjas.

De krav som etikkommittén i detta ärende ställt på patientinformationen är således sådan information som den personuppgiftsansvarige, även utan forskningsetikkommitténs påpekanden, enligt personuppgiftslagen är skyldig att lämna till de registrerade.

Om läkemedelsbolaget avser att behandla personuppgifter med uttryckligt samtycke från deltagarna i den kliniska prövningen så måste bolaget lämna information om behandlingen av personuppgifter innan uttryckliga samtycken inhämtas. Det är viktigt att de registrerade samtycker till behandlingen av personuppgifter och inte endast till deltagande i studien. Om behandlingen av personuppgifter skall ske med stöd av ett godkännande av en forskningsetisk kommitté måste eventuella villkor som den forskningsetiska kommittén uppställt följas för att behandlingen skall vara tillåten.

Läkemedelsbolaget bör observera att vissa särskilt integritetskänsliga behandlingar av personuppgifter alltid skall anmälas till Datainspektionen för förhandskontroll. Det gäller behandling av personuppgifter om genetiska anlag som har framkommit efter genetisk undersökning.

(November 2002)

Samrådsyttranden
Ett personuppgiftsombud kan fråga Datainspektionen om råd när han eller hon är osäker på vilka regler som gäller för hur personuppgifter ska behandlas eller hur de ska användas. På de här sidorna har vi samlat en del av dessa samrådsfrågor och -svar som kan vara av allmänt intresse.

Till listan med samrådsyttranden

Frågor & svar

För dig som vill veta mer har Datainspektionen sammanställt en mängd vanliga frågor och svar om personuppgiftslagen och andra områden.