Διαμόρφωση ενός ασφαλούς περιβάλλοντος κλινικών ερευνών απαιτεί ο νέος Ευρωπαϊκός Κανονισμός GDPR

Τον ρόλο της προστασίας των προσωπικών δεδομένων στον χώρο της υγείας και των κλινικών μελετών ανέδειξε ο Σύλλογος Επιχειρήσεων Διεξαγωγής Κλινικών Μελετών Ελλάδος (HACRO), στο πλαίσιο της εκπαιδευτικής ενημέρωσης που διοργάνωσε για τα μέλη του.

Στην εκδήλωση παρευρέθηκαν ως ομιλητές ο κ. Ιωάννης Ματσάκης, CEO της Telemedicine Technologies S.A και Treasurer & Co-chairman του Ευρωπαϊκού Συλλόγου EUCROF, ο κ. Γεώργιος Λουκέρης, Δικηγόρος LLM eur. και τ. ειδικός επιστήμονας νομικός ελεγκτής της Αρχής Προστασίας Προσωπικών Δεδομένων, ο κ. Ιωάννης

Με αφορμή την εφαρμογή του νέου ευρωπαϊκού κανονισμού προστασίας προσωπικών δεδομένων GDPR, ο Σύλλογος αποτύπωσε τον σημαντικό βαθμό ευθύνης που αποδίδεται πλέον στους κατ' ανάθεση οργανισμούς έρευνας (CROs) -ως εκτελούντες την επεξεργασία- αναφορικά με την προστασία των ευαίσθητων προσωπικών δεδομένων των ασθενών.

Μιλώντας εκ μέρους της Διοίκησης του HACRO, η Πρόεδρος κα Ευαγγελία Κοράκη επεσήμανε πως «τα μέλη του Συλλόγου, παρόλο που ήδη λειτουργούν σε ένα πλαίσιο προστασίας των προσωπικών δεδομένων των ασθενών,, έχουν πάντα ως κύριο μέλημα την συνεχή επιμόρφωσή τους με σκοπό την πλήρη εναρμόνισή τους με την Νομοθεσία και τη διαμόρφωση ενός ασφαλούς περιβάλλοντος διεξαγωγής κλινικών ερευνών»

Στη συνέχεια των ομιλιών, ο κ. Ι. Ματσάκης, ο οποίος απασχολείται και ως μέλος της ομάδας εργασίας για τον κώδικα δεοντολογίας του EUCROF, τόνισε ότι ο Ευρωπαϊκός Σύλλογος εργάζεται για τη δημιουργία ενός κώδικα δεοντολογίας που θα έχει υψηλή προστιθέμενη αξία στον εφαρμοστέο νόμο για την προστασία των δεδομένων GDPR, εξειδικεύοντας τις προβλεπόμενες διαδικασίες εφαρμογής της νέας Νομοθεσίας αλλά και συμβάλλοντας στην πιστοποίηση των μελών του. Στόχος του Ευρωπαϊκού Συλλόγου είναι να ενθαρρύνει την ολοένα και μεγαλύτερη διαβούλευση με άλλους ενδιαφερόμενους φορείς όπως η EFPIA, οι ενώσεις ασθενών, τα ερευνητικά κέντρα και οι φορείς πιστοποίησης.
Ένα ιδιαίτερα ενδιαφέρον ζήτημα αναδείχθηκε και από τον κ. Γ. Λουκέρη ο οποίος, αναφερόμενος στη διάκριση μεταξύ εκτελούντος και υπευθύνου επεξεργασίας, τόνισε πως ο βαθμός ελευθερίας δράσης του εργολάβου είναι αυτός που ουσιαστικά καθορίζει τον βαθμό ευθύνης στην επεξεργασία των προσωπικών δεδομένων. Στα πλαίσια αυτά ανέφερε πως, ως προς την προστασία των προσωπικών δεδομένων, τα διάφορα μοντέλα outsourcing δύναται να λειτουργήσουν ως μέσα μετακύλησης της ευθύνης, απαλλάσσοντας μερικώς ή πλήρως τον Κάτοχο Άδειας Κυκλοφορίας (Χορηγό) από την αντίστοιχη ευθύνη ή αποδίδοντας σημαντικό μέρος αυτής στα CROs και καθιστώντας τα με αυτόν τον τρόπο συν-υπεύθυνα επεξεργασίας.

Την επιτακτική ανάγκη λήψης αυξημένων μέτρων ασφαλείας από τις επιχειρήσεις που επεξεργάζονται «δεδομένα υγείας» υπογράμμισε κ. Ι. Γιαννακάκης, αναλύοντας την έννοια του «security of processing». Σύμφωνα με τον ίδιο, σημαντική είναι η εκπαίδευση του ανθρώπινου δυναμικού στις εταιρικές πολιτικές και σε πρακτικές κυβερνοασφάλειας καθώς και η σαφής κατανομή ρόλων, αρμοδιοτήτων και ευθυνών εντός της επιχείρησης. Όπως εξήγησε, παρόλο που η συμμόρφωση μιας επιχείρησης με τον GDPR είναι μια σχετικά απλή διαδικασία -εκτελούμενη σε 12 βήματα τα οποία και ανέλυσε- ο κλάδος της υγείας έχει μια ακόμα μεγάλη πρόκληση να αντιμετωπίσει που αφορά στην αργοπορημένη -σε σύγκριση με άλλους κλάδους- υιοθέτηση εφαρμογών ψηφιοποίησης.

Ολοκληρώνοντας, τον λόγο πήρε η κα Α. Χατζοπούλου η οποία επικεντρώθηκε στον εξέχοντα ρόλο του Υπευθύνου Προστασίας Προσωπικών Δεδομένων (DPO) στην διαδικασία εναρμόνισης των επιχειρήσεων και τήρησης των μέτρων του Κανονισμού. Δεν παρέλειψε μάλιστα να επισημάνει τη μεγάλη πρόκληση που αποτελεί για μια επιχείρηση η ανάδειξη του κατάλληλου προσώπου για τη θέση του DPO καθώς το άτομο αυτό πρέπει από τη μια να κατέχει πλήρη γνώση της επιχείρησης και των δραστηριοτήτων της και από την άλλη να είναι απαλλαγμένο από κάθε ενδεχομένη σύγκρουση συμφερόντων ή επιβολή «κυρώσεων» που θα μπορούσε να διαβάλλει την ακεραιότητα του έργου του.