Onderzoek doen in lijn met GDPR

Datum: 24/08/2017

De toenemende aandacht voor de verwerking van data ten behoeve van biomedische onderzoek zal velen niet zijn ontgaan. Meest in het oog springend is ongetwijfeld de invoering van GDPR, die in mei 2018 in alle Europese landen toegepast zal gaan worden. De Nederlandse benaming hiervoor, Algemene Verordening Gegevensbescherming (AVG), zal gehandhaafd worden door de Autoriteit Persoonsgegevens.

Deze invoering zet alle dataverwerkers in algemene ziekenhuizen, UMC’s en andere zorgprofessionals en onderzoekers op scherp. En zeer terecht. Dat het om complexe materie gaat laat de Britse Elizabeth Denham zien in een serie blogs over mythes rond GDPR, zoals die van 19 augustus ‘Consent is not the ‘silver bulit’ for GDPR compliance’. Haar portee: iedereen moet al zijn beslissingen over de verwerking van persoonsgebonden data goed documenteren om aan te kunnen tonen welke wettelijke basis is gebruikt.

Dit roept bij mij direct de vraag op: hoe kan een medische onderzoeker aan een UMC in zijn/haar dagelijks werk er zeker van zijn dat er op een verantwoordelijke wijze gewerkt wordt aan privacygevoelige data?

Een succesvol beleid

Uiteraard begint dit met een helder beleid opgesteld door de Security en Privacy Officers binnen de instelling waaronder richtlijnen, procedures en systemen voor datamanagement behoren. Uiteindelijk moet het hun weg vinden tot de centrale werkplek van de biomedische onderzoekers – hun laptop of pc – zonder dat dit een enorme extra workload oplevert.

Datamanagement is in deze context meer dan alleen dataopslag en compliance aan de GDPR. Het dient een breed gedragen en consistente oplossing te zijn in een complexe omgeving. Het is duidelijk dat er nieuwe digitale diensten nodig zijn om productiviteit te verbeteren en te meten, het delen van gevoelige gegevens voor onderzoek te ondersteunen en een groot aantal onderzoekers geavanceerde instrumenten te leveren. Alleen dan wordt een succesvol beleid geïmplementeerd.

Door digitaal platform ondersteuning van volledige onderzoekscyclus

RSRCH heeft zo’n nieuwe digitale dienst ontwikkeld, een digitaal platform voor onderzoek: het RSRCH Platform. Deze oplossing voor de Digital Research Environment (DRE), zoals die door Radboudumc als concept is ontwikkeld, maakt wetenschappelijke analyse van (klinische) gegevens en de verantwoording daarover mogelijk. Elke onderzoeker beschikt over zijn eigen afgeschermde workspace, voorzien van tools voor datamanagement, analyse en auditfuncties. Essentieel daarbij is dat het de volledige onderzoekscyclus van een studie ondersteunt: ontwerp, uploaden van gegevens, analyse en archivering. Onderzoekers kunnen de functionaliteiten aanpassen aan hun datamanagementplannen die in lijn zijn met de richtlijnen van hun instelling. Gekoppeld aan de workspaces kunnen onderzoekers ook beschikken over een zogenaamde Healthcare Landing Zone voor de veilige transfer van data uit ziekenhuisinformatiesystemen, inclusief de benodigde anonimisering- en pseudonimisatietechnieken.

Voldoen aan GDPR-vereisten

In RSRCH’s visie is het kunnen afleggen van goede verantwoording een concreet resultaat van het onderzoek. Het afleggen van verantwoording betekent dat zowel de data als het gevolgde onderzoeksproces verifieerbaar en reproduceerbaar is.

RSRCH maakt dit mogelijk doordat alle activiteiten worden gemonitord en gegevens automatisch worden gelogd, zodat er audit trails gemaakt kunnen worden per studie of per groep onderzoekers. Dit maakt proactieve bewaking van privacygevoelige gegevens eenvoudig en stelt een UMC in staat om onderscheidend te zijn en effectiever internationaal onderzoek te doen. Met de audit trails kunnen onderzoekers aantonen dat ze voldoen aan de GDPR-vereisten. Ook is het hierdoor zeer gemakkelijk om te kunnen aantonen dat een vermeend datalek niet bij de onderzoeker vandaan is gekomen. Dit is niet alleen voor de onderzoeker wenselijk, maar ook voor subsidieverstrekkers en uw organisatie. Het RSRCH Platform is zo ontworpen dat de onderzoekers zelf niet zijn belast met extra taken voor het vastleggen van gegevens ten behoeve van audit rapportages.

Iedere burger krijgt met de invoering van de GDPR een sterkere positie voor de verwerking van zijn of haar data. Evenzeer heeft iedere biomedische onderzoeker het recht op een digitale onderzoeksomgeving dat hem of haar verantwoord met privacygevoelige data laat werken. Als aan dat recht geen gehoor wordt gegeven is dat problematisch voor de onderzoeker, zeer kostbaar voor de instelling en niet in lijn met de GDPR.

Bent u al voorbereid voor mei 2018?