Gå till innehåll

Våra webbplatser

Ordförklaringar:
Ordförklaringar:

Hantering av person­uppgifter i CTIS

På denna sida finns instruktioner för Region Skånes hantering av personuppgifter i CTIS.

Möt GDPR-krav i CTIS

Den europeiska kliniska prövningsförordningen CTR anger att när personuppgifter behandlas via eller i CTIS ska dataskyddsförordningen GDPR gälla.

Data och dokument som tillhandahålls av användarna i CTIS samt händelser som inträffar under prövningens livscykel kan kräva insamling och behandling av personuppgifter till exempel namn, personnummer, IP-adresser. Dessa personuppgifter ska vara undantagna från publicering i CTIS. För att möta detta krav tillhandahåller CTIS flera funktioner:

Ytor som inte är föremål för publicering

Ladda upp dokument till specifika ytor som inte är föremål för publicering, till exempel ekonomiska arrangemang eller IMPD-dokumentation.

Välj om dokument ska publiceras offentligt eller inte

När dokument ska laddas upp i CTIS går det att välja om det ska publiceras offentligt eller inte. Ett dokument kan laddas upp "För publicering" och blir då synligt på offentlig webbplats. En andra version kan laddas upp som "Ej för publicering" och blir då bara synliga i CTIS säkra moduler för användare med relevanta roller och behörigheter. Detta beskrivs närmare under rubriken att ladda upp versioner ”ej för publicering”.

Skjut upp publicering

Det finns en möjlighet att skjuta upp publicering, under Deferral date, specifikt för att skydda kommersiell konfidentiell information (CCI). Detta tar hänsyn till godkännandet för försäljning av ett läkemedel och fasen av en prövning.

Användarprofil reglererar tillgång

Tillgång till data och dokument i CTIS regleras utifrån användarens profil. En del av den kliniska prövningsinformationen i CTIS säker domän kommer också att göras tillgänglig för allmänheten via den offentliga webbplatsen.

Användare bekräftar i CTIS att GDPR följs

I CTIS visas en banner som informerar om att data och dokument ska följa publiceringsregler. Användaren bekräftar med hjälp av en kryssruta att deras behandling av personuppgifter i CTIS är i full överensstämmelse med GDPR och tillämplig nationell dataskyddslagstiftning.

Krav för användare i CTIS

Den rättsliga grunden för att behandla personuppgifter i CTIS är behandling för en uppgift av allmänt intresse samt efterlevnaden av laglig skyldighet.

Den som delar dokument eller data i CTIS är ansvarig för att kontrollera innehållet och säkerställa att det följer dataskyddslagstiftningen enligt ett delat personuppgiftsansvar; Joint Controllership Arrangement with regard to the Clinical Trials Information System (CTIS). Genom att logga in i CTIS bekräftar användaren att man har förstått sitt ansvar under det delade personuppgiftsansvaret. I CTIS finns mer information under Sponsor workspace och Data protection in CTIS (Module 12).

Om dataskydd och integritet i CTIS (Joint Controllership Arrangement), European Medicines Agencys webbplats Länk till annan webbplats.

Personal Data Protection Statement

CTIS kräver att sponsoranvändare signerar ett Personal data protection statement. I det anges att man har beaktat gällande dataskyddsregler för den personliga data som ska laddas upp i systemet.

  • I avsnittet FORM ska dokument för Statement of compliance with Regulation (EU) 2016/679 (GDPR) laddas upp
  • I Part II laddas dokument som visar på följsamhet med kompletterande nationell lagstiftning upp

Ansvar

Personuppgifter för studiedeltagare får aldrig göras publika.

Första versionen av ett dokument som laddas upp i CTIS kommer som standard att publiceras på den offentliga webbplatsen och bör därför inte innehålla personuppgifter. Sponsoranvändare ansvarar för redigeringsnivån som tillämpas i de dokument som laddas upp i CTIS. Under rubriken Utför dataminimering finns mer information.

Utför dataminimering

Personuppgifter får endast behandlas i CTIS för att uppfylla ändamålen för CTR artikel 81 (2) samt 81 (6). Behandlingen ska följa dataskyddsprinciper och ska vara tillräcklig, relevant och begränsad till vad som är nödvändigt för ändamålet.

Dataminimeringsprincipen

Dataminimeringsprincipen ska beaktas om personuppgifter som rör;

  • Sponsors personal, så som namn och kontaktuppgifter för personer med juridiskt och organisatoriskt ansvar
  • Ansvarig prövare och annan delaktig studiepersonal, så som namn och kontakt­uppgifter i CV:n (till exempel telefonnummer och e-post), ekonomiska intressen, institutionsaffilieringar med mera.
  • Metadata, så som information om dokumentförfattare eller person som kommenterat/svarat i ett dokument med tracked changes till exempel.

Sponsors personal och ansvarig prövare

Här kan det vara befogat med publika personuppgifter i form av namn, anställning, samt CV (för ansvarig prövare).

Dokument med signatur

Alla undertecknade dokument ska tillhandahållas i CTIS-underlagets platshållare Ej för publicering. Både digitala och bläcksignaturer i dokument som publiceras kan kopieras. Underskrift bör tillhandahållas för:

  • Part I: deklarationen för kvalificerad person (QP) för GMP
  • Part II: Suitability of the facilities (Resursintyg)

Metadata

Dokument med spårade ändringar bör tillhandahållas för att tydligt illustrera omfattningen av den revidering som tillämpas i dokumentets innehåll. Dessa dokument kan lämnas in i en ansökan som svar på en begäran om information (RFI) eller som en del av en väsentlig ändring. Dessa dokument bör endast laddas upp under Ej för publicering.

Övriga dokument

Protokoll för publicering bör endas ha minsta information nödvändig om sponsor och ansvarig prövare. Vanligen bör inte heller medlemmars i t.ex Data Safety Monitoring Board (DSMB) etc., anges i den publika versionen.

Årlig Säkerhetsrapport (ASR) bör endast innehålla helt anonym information. Då studieID/kod är pseudonymiserad information bör denna därför uteslutas i ASR.

Resultat sammanställning bör endast innehålla helt anonym information.

EU-databasen ska upprättas för att de berörda medlemsstaternas behöriga myndigheter ska kunna samarbeta när det är nödvändigt för tillämpningen av denna förordning och för att de ska kunna söka efter specifika kliniska prövningar. Den ska också underlätta kommunikationen mellan sponsorerna och de berörda medlemsstaterna och göra det möjligt för sponsorer att hänvisa till tidigare ansökningar om tillstånd för klinisk prövning eller för en väsentlig ändring. Den ska också ge EU-medborgare tillgång till klinisk information om läkemedel. För detta ändamål ska all data i EU-databasen vara i ett sökvänligt format, all anknytande data ska sammanföras med hjälp av EU-prövningsnumret, och hyperlänkar ska tillhandahållas för att länka samman anknytande data och dokument som finns i EU-databasen och andra databaser som upprätthålls av läkemedelsmyndigheten.

EU-databasen ska bara innehålla personuppgifter om detta är nödvändigt för tillämpningen av punkt 81(2).

Ladda upp versioner ej för publicering

Klicka på plustecknet på sidan om den uppladdade versionen (första versionen för publicering), då skapas en dialogruta för en ny version som är Ej för publicering.

Bild av systemet CTIS.
Bild från systemet CTIS.
Bild från systemet CTIS.

Behandling av person­uppgifter i CTIS är nödvändig

Behandlingen av personuppgifter i CTIS är nödvändig av många anledningar:

  • Det ska finnas ett offentligt register över alla kliniska prövningar som utförs i EU.
  • Stödja allmänhetens förtroende för den kliniska prövningsprocessen.
  • Ge patienter, försöksdeltagare, hälso- och sjukvårdspersonal, allmänheten och akademin tillgång till information om kliniska prövningar i EU, deras resultat och de data som används för att stödja marknadsföringstillståndsbeslut.
  • Fungera som kunskapsresurs för att främja innovation och stimulera vidare forskning.
  • Sponsorer ska uppfylla sin rättsliga skyldighet enligt kliniska prövningsförordningen EU 536/2014 (CTR)

Senast publicerad: