Personvern i legemiddelindustrien

Transkript

1 Personvern i legemiddelindustrien

2 Personvern, hva er det? Grunnleggende rett til vern av den private sfære og retten til selv å bestemme over opplysninger om seg selv. Norge er forpliktet etter EMK artikkel 8 og Grunnloven 102: Alle har rett til respekt for privatlivet og familielivet sitt, for hjemmet sitt og kommunikasjonen sin. Det må ikke utføres husransakelser, så nær som i kriminelle tilfeller. Staten skal sikre et vern om den personlige integriteten. EU spersonverndirektiv, personopplysningsloven, helseregisterloven, helseforskningsloven Ny forordning, harmonisering i EU. 2

3 Generelt om personopplysningsloven

4 Personopplysningsloven Formål: å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger Bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn Personlig integritet Privatlivets fred Tilstrekkelig kvalitet på personopplysninger 4

5 5

6 Hva er behandling av personopplysninger? Personopplysning: Opplysninger og vurderinger som kan knyttes til en enkeltperson. Behandling av personopplysninger: Enhver bruk av personopplysninger, f.eks: Innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon Sensitive personopplysninger: Rasemessig eller etnisk bakgrunn, politisk, filosfiskeller religiøs oppfatning, At en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, Helseforhold Seksuelle forhold Medlemskap i fagforeninger 6

7 Når kommer loven til anvendelse? Behandling av personopplysninger som skjer helt eller delvis med elektroniske hjelpemidler Annen behandling når disse inngår eller skal inngå i et personregister Alle former for kameraovervåkning, slik det er definert i loven 36 Ikke behandling av opplysninger for rent personlige eller private formål Ikke når annet følger av egen lov Ikke for behandling utelukkende for kunstneriske, litterære eller journalistiske formål (ytringsfriheten) 7

8 Vilkår for behandling av personopplysninger Kan bare behandles dersom den registrerte har samtykket, eller det er fastsatt i lov at det er adgang til slik behandling, eller behandlingen er nødvendig for å Oppfylle en avtale med den registrerte eller utføre et gjøremål etter den registrertes ønske før en slik avtale inngås. ( 8) Sensitive opplysninger krever i tillegg samtykke eller regulering i lov. ( 9) Grunnkrav i 11 8

9 Grunnkrav behandling av personopplysninger Den behandlingsansvarlige skal sørge for at opplysninger som behandles Bare når det er tillatt etter 8 og 9 Bare nyttes til uttrykkelig angitte formål som er saklig begrunnet i virksomheten Ikke brukes senere til formål som er uforenelig med det opprinnelige formålet, uten at den registrerte samtykker (unntak for forskning osv.) Er tilstrekkelige og relevante for formålet med behandlingen Er korrekte og oppdaterte, ikke lagres lenger enn nødvendig ut fra formålet Personopplysninger som gjelder barn skal ikke behandles på en måte som er uforsvarlig av hensyn til barnets beste. 9

10 10

11 Informasjonssikkerhet Den databehandlingsansvarlige og databehandlerernskal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Informasjonssystemet og sikkerhetstiltak skal dokumenteres Dokumentasjonen skal være tilgjengelig for medarbeidere og for datatilsynet og Personvernnemnda Ved tilgjengeliggjøring for andre, f.eks. en databehandler skal en påse at kravene til informasjonssikkerhet er oppfylt Personopplysningsforskriften kapittel 2. 11

12 Personopplysningsforskriften kapittel 2 Formål: der det er nødvendig for å sikre konfidensialitet, tilgjengelighet og integritet for opplysningene for å unngå tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet. Der slik fare er til stede skal de planlagte og systematiske tiltakene stå i forhold til sannsynligheten for og konsekvensen av sikkerhetsbrudd Tiltak: Sikkerhetsledelse: ledelsesforankring, sikkerhetsmål, sikkerhetsstrategi, dokumentasjon Risikovurdering: fastsette akseptabel risiko. Grunnlag for valg av løsninger 12

13 13

14 Internkontroll Plikt til å etablere og vedlikeholde planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av loven, herunder sikre opplysningenes kvalitet. Tiltakene skal dokumenteres. Dokumentasjonen skal være tilgjengelig for medarbeidere og for datatilsynet Forskriften kapittel 3: Internkontroll tilpasses virksomhetens art, aktiviteter og størrelse i det omfang det er nødvendig for å etterleve lovens krav 14

15 Internkontroll forts. Etablere, implementere og dokumentere rutiner for bl.a. Innhenting og kontroll av samtykke Vurdering av formål med behandling av personopplysninger i samsvar med grunnkrav Vurdering av opplysningers kvalitet i forhold til formålet samt oppfølging av avvik Oppfyllelse av begjæring om innsyn og informasjon Oppfyllelse av krav fra den registrerte om reservasjon, retting og sletting osv. Oppfyllelse av lovens regler om melde- og konsesjonsplikt 15

16 16

17 Konsesjonsplikt 33 Behandling av sensitive personopplysninger Unntak: forskriften 7-14 Sensitive kundeopplysninger Unntatt fra konsesjons og meldeplikt forutsatt at den registrerte har samtykket til registrering og behandling av de sensitive opplysningene, og opplysningene er nødvendige for å gjennomføre en kontraktsforpliktelse. Gjelder bare behandling som er et nødvendig ledd i administrasjon og gjennomføring av kontraktsforpliktelser. 17

18 Plikt til å sikre den registrertes rettigheter Rett til innsyn Informasjonsplikt Krav til samtykke: frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv. Retting av mangelfuller personopplysninger Forbud mot å lagre unødvendige personopplysninger Overføring av opplysninger til utlandet Egne bestemmelser 18

19 19

20 Nye personvernregler fra 2018

21 Bakgrunn Arbeidet startet i 2012 Felles regelverk for personvern i Europa Styrke den europeiske borgers rettigheter Gjøre det lettere å utveksle personopplysninger over landegrenser Styrke tilliten til digitale tjenester Sikre samarbeid mellom personvernmyndigheter 21

22 Hva gjør Datatilsynet? Bistår Justis-og beredskapsdepartementet og Kommunal-og moderniseringsdepartementet Eget internprosjekt Deltar i internasjonalt arbeid og bidrar til utredninger 22

23

24 Alle norske virksomheter får nye plikter Alle må finne ut hva regelverket betyr Nye rutiner er et ledelsesansvar Alle ansatte skal følge nye rutiner 24

25 Alle skal ha en forståelig personvernerklæring Informasjonen skal være lett tilgjengelig Klart språk som er tilpasset leserens nivå Stilles krav til hvilke opplysninger som skal gis 25

26 Alle skal vurdere risiko og personvernkonsekvenser I tillegg til en risikovurdering skal man utrede tiltak med stor personvernrisiko Ved høy risiko, som ikke kan begrenses, skal Datatilsynet involveres i forhåndsdrøftelser Datatilsynet skal svare innen seks uker Vi kan veilede eller forby behandlingen 26

27 Alle skal bygge personvern inn i nye løsninger Nye krav til løsninger, tiltak og systemer Skal utarbeides på mest mulig personvernvennlig måte Den mest personvernvennlige innstilingen som standard 27

28 Mange virksomheter må opprette personvernombud Personvernombudsordningen går fra frivillig til obligatorisk Alle offentlige virksomheter Mange private Krav til kompetanse Krav til å involvere ombudet 28

29 Reglene gjelder også virksomheter utenfor Europa Alle som tilbyr varer eller tjenester til EUeller EØS-borgere De som kartlegger EU-eller EØS-borgeres adferd på nett Virksomheter skal kunne forholde seg til en personvernmyndighet Den registrerte skal kunne klage i eget land Personvernmyndigheter skal samarbeide 29

30 Alle databehandlere får nye plikter Egne rutiner for behandling av personopplysninger Si ifra om instrukser er i strid med loven Underleverandører skal godkjennes Melde avvik til behandlingsansvarlig Kan bli erstatningspliktige 30

31 Alle bør samarbeide i egne nettverk og følge bransjenormer Sektorvis utforming av retningslinjer Sikrer at de viktigste rutinene er på plass Flere fordeler ved å følge disse Datatilsynet skal godkjenne bransjenormer 31

32 Alle får nye krav til avvikshåndtering Strengere regler enn i dag Melde avvik innen 72 timer Stilles krav til innholdet i avviksmeldingen De berørte skal varsles i klart språk 32

33 Alle må kunne oppfylle borgernes nye rettigheter Retten til å bli glemt Rett til at personopplysninger begrenses Systemer må oppfylle krav til dataportabiliet Strengere regler for automatiserte avgjørelser Håndtere henvendelser fra borgere innen 1 måned 33

34 Hva bør alle virksomheter gjøre nå? Sørge for å ha oversikt over hvilke personopplysninger de behandler Sørge for å oppfylle dagens lovkrav Sette seg inn i det nye regelverket Lage rutiner for å følge de nye reglene 34

35 Datatilsynet.no/forordning

36 Overføring av data til utlandet

37 Overføring av personopplysninger til utlandet Virksomheter som vil overføre personopplysninger til utlandet, kan bare overføre til stater som sikrer en forsvarlig behandling av opplysningene. Overføring av personopplysninger til utlandet er regulert av personopplysningsloven kapittel 5 og personopplysningsforskriften kapittel 6. Loven sier at overføring bare kan skje til stater som sikrer en forsvarlig behandling av opplysningene. Landene innenfor EU/EØSområdet er anerkjent som stater som sikrer at personopplysninger behandles forsvarlig, og derfor kan man overføre personopplysninger til disse statene forutsatt at personopplysningslovens øvrige vilkår er oppfylt. Det samme gjelder land som Europakommisjonen har godkjent. (liste) 37

38 USA: dersom mottakervirksomheten har sertifisert seg etter Privacy Shield-avtalen. Annen overføring: Tillatelse fra Datatilsynet (Konsesjon) Du må også kunne gi tilstrekkelige garantier for vern av den registrertes rettigheter: Bruk EUs standardkontrakter. Dersom du bruker EUs standardkontrakt for overføring til databehandler, trenger du ikke å søke Datatilsynet om tillatelse. Forhåndsvarsle til Datatilsynet er tilstrekkelig. I alle tilfeller må personopplysningslovens krav til behandling av personopplysninger være oppfylt. Reglene om overføring til utlandet kommer ikke i stedet for, men i tillegg til de øvrige kravene som personopplysningsloven stiller. 38

39 Hva utgjør en overføring til utlandet? Et typisk eksempel er internasjonale konsern som har sentralisert personaladministrasjonen for alle deler av konsernet til hovedkontoret. Dersom hovedkontoret ligger i utlandet, vil det kunne oppstå behov for overføring av personopplysninger. Et annet eksempel er forskere som samarbeider med universiteter i andre land, og som ønsker å overføre innsamlede personopplysninger for å bearbeide dem videre. Bestemmelsen om overføring til utlandet gjelder bare overføring av personopplysninger til en adresse i et tredjeland. Opplysninger som blir lagt ut på internett, og i prinsippet kan leses av alle, vil som hovedregel ikke rammes av de strenge vilkårene for overføring til tredjeland. Denne typen offentliggjøring av opplysninger vil komme inn under andre bestemmelser. 39

40 Overføring til USA EU-U.S. Privacy Shield PrivacyShield erstatter den tidligere Safe Harbor-avtalen, som ble kjent ugyldig i oktober Overføring av personopplysninger kan skje til amerikanske virksomheter som har valgt å delta i EU-U.S. PrivacyShield. Dette trenger ikke Datatilsynets tillatelse. Virksomheter som deltar i programmet har underlagt seg særlige regler for beskyttelse av personopplysningene. Overføring av personopplysninger til amerikanske selskaper som ikke har sluttet seg til Privacy Shield, må baseres på vilkårene under. Dersom din virksomhet skal overføre personopplysninger til USA, er det nå tre alternative mekanismer for å gjøre dette: Binding corporate rules, EUs standardavtaler eller Privacy Shield. 40

41 Hva betyr Privacy Shield for din virksomhet? Dersom dere skal benytte Privacy Shield, må dere: Kontrollere at mottaker står oppført på listen over Privacy Shield-sertifiserte virksomheter. Listen oppdateres årlig og dere må derfor kontrollere dette hvert år. Vurdere om overføringen er i samsvar med grunnkravene i personopplysingsloven 11 første ledd. Inngå en databehandleravtaledersom opplysningene skal overføres til en databehandler eller vurdere om dere har behandlingsgrunnlag for overføringen dersom opplysningene overføres til en behandlingsansvarlig. Gjennomføre en risikovurdering, i samsvar med kravene i personopplysningsforskriften 2-4. I den forbindelse kan det ha avgjørende betydning om personopplysningene som planlegges overført er sensitive eller ikke. 41

42 Overføring til andre land utenfor EU/EØS-området Overføring til tredjeland som ikke er godkjent av Europakommisjonen kan skje på visse vilkår, se personopplysningsloven 30 første og annet ledd. Dersom overføringen faller innenfor et av vilkårene i første ledd, trenger du ikke Datatilsynets tillatelse. Det er imidlertid en del forhold dere må tenke på: Er overføringen i samsvar med grunnkravene i personopplysingsloven 11 første ledd? Deretter må de behandlingsansvarlige (som regel virksomheten som vil overføre opplysningene) gjennomføre en risikovurdering, i samsvar med kravene i personopplysningsforskriften 2-4. I den forbindelse kan det ha avgjørende betydning om personopplysningene som planlegges overført er sensitive eller ikke Hvis grunnkravene er oppfylt, og resultatet av risikovurderingen ikke er til hinder for det, kan en overføring av personopplysninger baseres på unntakene i 30 første ledd. Vi understreker imidlertid at unntaksbestemmelsene i 30 første ledd ikke anses for å gi tilstrekkelig overføringsgrunnlag annet enn i meget begrensede tilfeller. Dette er i samsvar med anbefalingene som er gitt av Artikkel 29-arbeidsgruppen i EU. 42

43 Vær oppmerksom på at overføringer i medhold av unntaksbestemmelsene skjer på avsenders risiko, og at personopplysninger som overføres i medhold av unntaksbestemmelsene ikke har noen annen rettslig beskyttelse enn det som måtte følge av mottakerlandets rettsregler. Datatilsynet fraråder i praksis overføring av personopplysninger på bakgrunn av den enkeltes samtykke i de aller fleste tilfeller. Dersom behandlingen ikke faller innenfor et av vilkårene etter 30 første ledd, må du som hovedregel søke Datatilsynet om tillatelse etter 30 annet ledd før du kan overføre opplysningene. Krever tilstrekkelige garantier for den registrertes rettigheter. EUs standardkontrakter eller bindende konsernregler andre typer av garantier kan gi grunnlag for at Datatilsynet godkjenner overføringen etter en skjønnsmessig vurdering. 43

44 EUs standardkontrakter En (forholdsvis) enkel måte å overføre personopplysninger til andre land på, er å bruke EUs standardkontrakter. Ved signering av en av kontraktene forplikter dataimportøren seg til å behandle opplysningene i samsvar med de krav som gjelder innenfor EU og EØS-området. 1. Overføring til en annen virksomhet som skal bruke opplysningene til eget formål For overføring til virksomheter i tredjeland som selv opptrer som behandlingsansvarlig er det utformet to alternative standardkontrakter: Standardkontrakt I (dansk og engelsk) Standardkontrakt II (dansk og engelsk) Virksomheten kan selv velge hvilken av disse kontraktene som passer best. Det er tillatt å gjøre endringer i standardkontraktene for å tilpasse disse til virksomhetenes behov, men Datatilsynet anbefaler at de benyttes i uendret form. Hvis den behandlingsansvarlige utformer egne vilkår, vil Datatilsynet måtte vurdere disse konkret. 2. Overføring til databehandler Det er i 2010 utformet nye standardvilkår for overføring av personopplysninger til databehandlere i tredjeland. Disse erstatter de tidligere vilkårene fra Datatilsynet anbefaler at det nye settet med vilkår benyttes ved overføring til databehandler. Kontraktsvilkår for overføring til databehandler, dansk og engelsk EØS-komiteens beslutning 44

45 Søknad om tillatelse eller varsel I tilfeller som nevnt i punkt (1) over, (egne formål) må den behandlingsansvarlige søke om Datatilsynets forhåndstillatelse før overføringen kan finne sted, jf. personopplysningsloven 30 andre ledd. I tilfeller som nevnt i punkt (2) over (databehandler), er det ikke nødvendig å søke om Datatilsynets tillatelse før overføring, på grunn av unntaksbestemmelsen i personopplysningsforskriften 6-3. gjelder bare dersom dataimportøren er å regne som den behandlingsansvarliges databehandler (jf. personopplysningsloven 2 nr. 5), grunnlaget for dataoverføringen er EUs standardkontrakt som nevnt over, ikke gjort endringer i kontraktsklausulene. Varslingsplikt. Denne plikten oppfylles ved å sende en kopi av utfylt og signert standardkontrakt til Datatilsynet. Overføringen kan finne sted når varselet er sendt. 45

46 Dette må følge søknaden Informasjon om hvilken standardkontrakt som er brukt. Informasjon om hvorvidt det er gjort endringer i standardklausulene, og i så fall hvilke (uthev endringene i avtaleutkastet). Dataeksportøren(e)s navn og organisasjonsnummer. Dataimportøren(e)s navn, fullstendige virksomhetsadresse og rolle (databehandler eller behandlingsansvarlig). Informasjon om det er aktuelt å overføre sensitive personopplysninger, og i så fall hvilke kategorier, jf. personopplysningsloven 2 nr. 8. Den øvrige informasjonen som skal oppgis i anneksene til standardkontraktene (fylles inn i selve avtaleutkastet). 46

47 Bindende konsernregler for overføring (Binding Corporate Rules) Ikke nevnt spesifikt verken i personverndirektivet eller i personopplysningsloven. I praksis godtatt som grunnlag for overføring når de gir tilstrekkelige garantier for den registrertes personvern. Særlig praktisk der konsernet opererer i flere EU-/EØS-land, og ønsker å overføre personopplysninger fra ett eller flere av disse til filialer eller datterselskap i ett eller flere tredjeland. Når de bindende reglene er godkjent, vil de utgjøre et gyldig grunnlag for overføringer fra samtlige EU-/EØS-land og til samtlige deler av konsernet som omfattes av reglene. Veiledere for opprettelse av slike bindende konsernregler på Artikkel 29- gruppens hjemmesider. Dokumentene tar blant annet stilling til hvilket land søknad om godkjenning av reglene skal sendes til og hvilke opplysninger søknaden skal inneholde. Saksbehandlingstid må påregnes. Skal man overføre til mange forskjellige land på jevnlig basis, vil det likevel være den mest praktiske løsningen, sammenlignet med for eksempel standardkontrakter. 47

48 Skjønnsmessig vurdering Datatilsynet kan også tillate overføringen på grunnlag av en ren skjønnsmessig vurdering. Personvernulempene blir da vurdert opp mot nivået på personvernbeskyttelsen i mottakerlandet. Dersom nivået er tilfredsstillende, kan opplysningene overføres. Relativt byrdefull løsning for alle parter fordi hver overføring må vurderes separat. I vurderingen av om opplysningene skal overføres, legger Datatilsynet blant annet vekt på: Opplysningens art Jo mer sensitiv karakter opplysningene har, jo høyere krav stilles til reguleringen i mottakerlandet. Behandlingens formål Enkelte behandlingsformål kan være mer belastende for personvernet enn andre. Tidsperspektiv Behandlingens varighet vil kunne vektlegges. Dersom behandlingen skal pågå over lengre tid, vil det stilles strengere krav. Rettslige forhold i mottakerlandet: Hvis mottakerlandet for eksempel har gjennomført Europarådets personvernkonvensjon eller det finnes bransjenormer, sikkerhetstiltak og lignende som kan ivareta personvernet, vil dette tas med i betraktningen. Datatilsynet kan i tillatelsen eventuelt stille vilkår for overføringen. Datatilsynets vurdering vil kunne ta noe tid, og det må derfor søkes om tillatelse i god tid før den faktiske overføringen planlegges gjennomført. 48

49 Alt dette og mere til finner dere på våre nettsider: 49

50 Aktuelle tema om legemiddelovervåkning

51 Legemiddelovervåkning Endringer i personopplysningsforskriften Høring: frist KMD Forslag til ny 7-21 d. Bivirkningsrapportering 7-21 d. Bivirkningsrapportering Behandling av personopplysninger ved bivirkningsrapportering som innehavere av markedsføringstillatelse for legemidler er pålagt etter legemiddelloven 10 med tilhørende forskrifter, er unntatt fra konsesjonsplikten etter personopplysningsloven 33 første ledd og fra meldeplikten etter 31 første ledd. Unntaket fra konsesjonsplikt og meldeplikt gjelder bare dersom personopplysningene behandles med formål å sikre trygge og effektive legemidler, jf. legemiddelloven 10 med tilhørende forskrifter. 51

52 Om endringsforslaget: Bivirkningsrapportering ikke regulert i personopplysningsforskriften per i dag. Det innebærer at behandlingen i dag er underlagt både melde og konsesjonsplikt etter personopplysningsloven. Plikt til å gjennomføre legemiddelovervåking, jf. Lov om legemidler 10 og legemiddelforskriften kapittel 10. Innehaver av markedsføringstillatelse kan med hjemmel i personopplysningsloven 9 første ledd bokstav b og 11, jf. legemiddelloven 10 med tilhørende forskrifter, behandle personopplysninger for å utføre overvåking av bivirkninger ved bruk av legemidler. (hjemmel i lov) Legemiddelloven med tilhørende forskrifter regulerer hvilke opplysninger som skal registreres og hvordan overvåkingen skal gjennomføres. Personidentifiserbare opplysninger kan bare behandles når det er nødvendig for formålet med behandlingen. Personopplysningslovens bestemmelser gjelder utfyllende for behandlingen. Personopplysningsvernet anses tilstrekkelig ivaretatt. Lovreguleringen bidrar til offentlighet om behandlingen av personopplysninger. Datatilsynet har ikke behov for en oversikt over behandlinger som er lovregulert. Markedsføringstillatelsen gis av Statens legemiddelverk, som kan kontaktes for å få en oversikt over de aktuelle virksomhetene. Departementet kan ikke se at det er behov for ytterligere tillatelser fra Datatilsynet. Det synes derfor unødvendig å opprettholde melde-og konsesjonsplikt for behandling av personopplysninger som nyttes i bivirkningsrapportering. 52

53 Nytt register for legemiddelovervåkning Helseregisterloven 11 annet ledd bokstav i): Det kan gis forskrifter om følgende registre: System for bivirkningsrapportering Ny bestemmelse hjemmel for å lagre systematisk oversikt over data fra bivirkningsmeldinger. Se kapittel 20 om bivirkningsrapportering (Prop 72 L ) Hjemmel for å pålegge meldeplikt og registrering uavhengig av de registrertes samtykke. Ikke reservasjonsrett Sikre oppfyllelse av kravene i EØS-avtalen kapittel IX, sist endret ved direktiv 2011/62/EU 53

54 Status Meld. St. 28 ( ) Legemiddelliste System for bivirkningsrapportering m.m. 54

55 Særregulering en kjapp gjennomgang!

56 Legemiddelforskriften kapittel EØS-avtalen vedlegg II, kapittel XIII, nr. 15zq (forordning (EU) nr. 520/2012 om utførelse av legemiddelovervåkningsaktiviteter fastsatt i forordning (EF) nr. 726/2004 og direktiv 2001/83/EF, gjelder som forskrift med de tilpasninger som følger av vedlegg II, protokoll 1 til avtalen og avtalen for øvrig. Tilføyd ved forskrift 17 feb2015 nr. 159 (i kraft 27 feb2015). 56

57 10-1 Spesielle definisjoner I dette kapitlet menes med a) bivirkning: skadelig og utilsiktet virkning av et legemiddel, b) alvorlig bivirkning: en bivirkning som er livstruende, ender med død, krever eller forlenger en sykehusinnleggelse, som medfører vedvarende eller betydelig nedsatt funksjonsevne eller arbeidsuførhet, eller er en medfødt anomali/fødselsdefekt, c) uventet bivirkning: en bivirkning hvis karakter, alvorlighetsgrad eller utfall ikke er i samsvar med preparatomtalen, d) alvorlig uventet bivirkning: en bivirkning som er både alvorlig og uventet, e) sikkerhetsstudie utført etter markedsføringstillatelse: studie av et godkjent legemiddel for å identifisere, karakterisere eller kvantifisere sikkerhetsrisiko, bekrefte legemidlets sikkerhetsprofil eller måle effekten av tiltakene beskrevet i risikohåndteringsplanen. 57

58 10-2 Krav til innehaverens legemiddelovervåkingsapparat Markedsføringstillatelsens innehaver skal a) opprette og forvalte et legemiddelovervåkingssystem med det formål å evaluere mottatt informasjon, b) vurdere og iverksette nødvendige tiltak for risikoreduksjon og forebygging av bivirkninger, og c) revidere systemet regelmessig, arkivere en rapport vedrørende de viktigste funnene i masterfilen for legemiddelovervåkingssystem, og at en plan for lukking av avvik utarbeides og implementeres. Som en del av legemiddelovervåkingssystem skal markedsføringstillatelsens innehaver til enhver tid ha til rådighet en tilstrekkelig kvalifisert person med ansvar for legemiddelovervåking. Vedkommendesnavn og kontaktopplysninger skal sendes til Statens legemiddelverk og EMA. Vedkommende skal a) være bosatt og arbeide innen EØS-området, b) vedlikeholde og på forespørsel oversende legemiddelovervåkingssystemets masterfil til myndighetene, c) håndtere et risikohåndteringssystem for hvert legemiddel, d) overvåke resultatet av tiltak for risikoreduksjon utført i henhold til risikohåndteringsplanen eller i henhold til vilkår fastsatt i markedsføringstillatelsen, e) oppdatere risikohåndteringssystemet og undersøke legemiddelovervåkingsdata i den hensikt å avgjøre om det er oppdaget ny risiko ved legemidlet, om risikoen er endret eller om legemidlets nytte- /risikoforhold er endret, og f) informere EMA og nasjonale legemiddelmyndigheter om nye sikkerhetsproblemer, endringer i legemidlets sikkerhet eller nytte-/risikoforhold. Vilkår og betingelser fastsatt i henhold til 5-11 og 5-11a skal innarbeides i risikohåndteringssystemet. 58

59 10-3.Krav til risikohåndteringssystem for eldre legemidler Kravet i 10-2 andre ledd bokstav c) gjelder ikke for legemidler hvis markedsføringstillatelse ble utstedt første gang før 21. juli Statens legemiddelverk kan likevel pålegge innehaveren et slik krav dersom det antas å kunne foreligge en risiko som påvirker legemidlets nytte-/risikoforhold. I slike tilfeller skal innehaveren pålegges å oversende en detaljert beskrivelse av risikohåndteringssystemet som planlegges iverksatt for det aktuelle legemidlet. Pålegget skal være skriftlig, begrunnet og angi når beskrivelsen skal oversendes. Markedsføringstillatelsens innehaver må innen 30 dager etter mottak av pålegget varsle Statens legemiddelverk dersom de ønsker å påklage vedtaket. Statens legemiddelverk fastsetter i så fall en frist for oversendelse av en skriftlig klage. Opprettholdes pålegget i opprinnelig eller endret form, endres markedsføringstillatelsen slik at kravet fremkommer av denne. 59

60 10-4 Informasjon til allmennheten om forhold vedrørende et legemiddels sikkerhet Innehaver av markedsføringstillatelse som har til hensikt å informere allmennheten om forhold vedrørende et legemiddels sikkerhet, skal umiddelbart informere Statens legemiddelverk, EMA og EU-kommisjonen. Varselet skal gis senest samtidig som informasjonen gis allmennheten. Informasjonen som gis skal være objektiv og ikke være villedende. 60

61 10-5 Registrering av bivirkninger Innehaveren av markedsføringstillatelse for et legemiddel skal, uavhengig av rapporteringsform, registrere alle mistenkte bivirkninger av legemidlet innen EØS-området eller i tredjeland som vedkommende gjøres kjent ved av pasienter, helsepersonell eller som inntreffer i en sikkerhetsstudie utført etter utstedelse av markedsføringstillatelsen. Vedkommende skal sikre at rapportene gjøres tilgjengelig på minst ett enkelt sted innen EØS-området. 61

62 10-6 Rapportering av bivirkninger Innehaveren skal innen 15 dager etter at vedkommende fikk kjennskap til hendelsen, elektronisk rapportere alle mistenkte, alvorlige bivirkninger registrert i EØS eller tredjeland til EudraVigilancebasen. Øvrige mistenkte bivirkninger skal rapporteres på samme måte innen 90 dager. Inntil EudraVigilancebasenkan motta meldingene, skal rapportering skje på følgende måte: a) Mistenkte, alvorlige bivirkninger inntruffet i EØS rapporteres til myndighetene i landet hvor bivirkningen har inntruffet, b) mistenkte, alvorlige bivirkninger inntruffet i tredjeland rapporteres til EMA, c) øvrige bivirkninger rapporteres slik Statens legemiddelverk bestemmer. Innehavere av markedsføringstillatelse for et legemiddel skal overvåke medisinsk litteratur vedrørende legemidlet og rapportere mistenkte bivirkninger som fremkommer i denne. Plikten til å rapportere bivirkninger gjelder ikke for virkestoff oppført i publikasjonsliste som overvåkes av EMA i henhold til artikkel 27 i forordning (EF) nr. 726/

63 10-7 Prosedyrer for evaluering av bivirkninger Markedsføringstillatelsens innehaver skal opprette prosedyrer for å innhente presise og verifiserbare data med sikte på den vitenskapelige vurderingen av bivirkningsmeldinger. De skal også innhente tilleggsinformasjon til bivirkningsmeldingene og sende dette til EudraVigilancebasen. Markedsføringstillatelsens innehaver skal samarbeide med EMA og legemiddelmyndighetene i EØS med sikte på avdekke duplikater av bivirkningsmeldinger. 63

64 10-8 Periodiske sikkerhetsrapporter Markedsføringstillatelsens innehaver skal oversende periodiske sikkerhetsrapporter til EMA. Innehavere av markedsføringstillatelse for legemiddel godkjent i henhold til 3-9, 3-12, 3-15, 3-16 og 3-21 skal oversende periodiske sikkerhetsrapporter bare a) dersom dette følger som et vilkår i markedsføringstillatelsen, eller b) etter pålegg fra Statens legemiddelverk. Pålegg etter forrige ledd bokstav b) kan gis som følge av forhold vedrørende legemiddelovervåkingsdata eller mangel på periodiske sikkerhetsrapporter vedrørende et virkestoff etter at markedsføringstillatelsen er utstedt. Periodiske sikkerhetsrapporter skal inneholde a) en sammenfatning av data som er relevante for vurderingen av legemidlets nytte-/risikoforhold, inklusive resultater av alle studier, med en evaluering av dataenes betydning for produktets markedsføringstillatelse, b) en vitenskapelig evaluering av nytte-/risikoforholdet for legemidlet, og c) opplysninger om omfang av omsetning og forskrivning, inkludert et estimat av antall eksponerte pasienter. Evalueringen som nevnt i fjerde ledd bokstav b) skal være basert på alle tilgjengelige data, inkludert data fra kliniske utprøvinger på ikke godkjente bruksområder og grupper. Periodiske sikkerhetsrapporter oversendes elektronisk til EMA. Inntil EMA kan motta rapporten, sendes disse til Statens legemiddelverk og til myndighetene i øvrige land hvor legemidlet er godkjent. 64

65 10-9.Tidspunkt for oversendelse av periodiske sikkerhetsrapporter Frekvens for innsendelse av periodiske sikkerhetsrapporter fremgår av markedsføringstillatelsen. Beregningen av tidspunkt for innsendelse beregnes ut i fra datoen for vedtaket om markedsføringstillatelse. Innehaveren av markedsføringstillatelse for legemiddel som ble utstedt før 21. juli 2012, og hvor tidspunkt for innsendelse av periodiske sikkerhetsrapporter ikke er fastsatt på annen måte, skal rapportene oversendes de nasjonale myndighetene i EØS-området a) umiddelbart på forespørsel, b) minimum hver sjette måned etter utstedelse av markedsføringstillatelse frem til legemidlet markedsføres, og c) minimum hver sjette måned de første to årene etter at legemidlet er markedsført, deretter årlig de påfølgende to årene, og deretter hvert tredje år. Innehaveren skal sende søknad om endring av markedsføringstillatelsen med hensyn til tidspunkt for innsendelse av periodiske sikkerhetsrapporter når dette er besluttet i henhold til prosedyren fastsatt i artikkel 107c (4) til (7) i direktiv 2010/83/EF, som endret ved direktiv 2010/84/EU. Endringen trer i kraft seks måneder etter datoen for innsendelse av søknaden om endring. 65

66 Oppsummert: Det er mye å passe på for den som er innehaver av markedsføringstillatelse for legemidler Vi anbefaler å etablere ordning med personvernombud Vi anbefaler alle å gjøre det man kan for å sikre etterlevelse av dagens lovkrav, da dette vil gjøre det enklere å forholde seg til nytt regelverk Per i dag gjelder personopplysningsloven og personopplysningsforskriften med alle sine krav til den behandlingsansvarlige Internkontroll viktig del av dette Også mange detaljerte krav i eget regelverk som krever oppfølging internt 66

67 Takk for oppmerksomheten! Telefon: datatilsynet.no personvernbloggen.no Grete Alhaug: