Erklæring om personvernforsikring for CRO

Hos Cencora er vi forpliktet til å levere Trial Master File (TMF)-tjenester som oppfyller de høyeste standardene for databeskyttelse, konfidensialitet og overholdelse av gjeldende globale personvernforskrifter. Som deres pålitelige Contract Research Organization (CRO)-partner forsikrer vi dere om at våre TMF-tjenester er utformet, implementert og kontinuerlig gjennomgått for å samsvare med internasjonale og nasjonale databeskyttelseslover, forskrifter og beste praksis i bransjen.

1. Forpliktelse til global overholdelse av personvernlovgivningen
Våre TMF-tjenester er fullt ut i tråd med kravene i følgende store databeskyttelsesregimer:

  • EUs personvernforordning (EU GDPR)
  • Storbritannias personvernforordning (UK GDPR) og Data Protection Act 2018
  • USAs føderale og statlige personvernlover (inkludert HIPAA, CCPA og andre, der det er relevant)
  • Canadas lov om beskyttelse av personopplysninger og elektroniske dokumenter (PIPEDA) og provinsielle personvernvedtekter
  • Sveitsisk føderal lov om databeskyttelse (FADP)
  • Australian Privacy Act 1988 og australske personvernprinsipper (APP)
  • Japans lov om beskyttelse av personopplysninger (APPI) og relaterte kabinettordrer og retningslinjer
  • Asia-Pacific Economic Cooperation (APEC) Rammeverk for personvern og landsspesifikk lovgivning i hele Asia
  • Andre lokale forskrifter som gjelder basert på studiested og jurisdiksjonsrelevans

Der det skjer overføringer av personopplysninger over landegrenser, er vi avhengige av godkjente internasjonale dataoverføringsmekanismer som standard kontraktsklausuler (SCC), beslutninger om tilstrekkelighet og vurdering av konsekvenser for dataoverføring (DTIA), i samsvar med kravene i den opprinnelige jurisdiksjonen.

2. Formålsbegrensning og lovlig behandling
Vi samler inn, behandler og oppbevarer personopplysninger innenfor TMF-er kun for spesifiserte, uttrykte og legitime formål knyttet til gjennomføring, tilsyn og dokumentasjon av kliniske studier. Alle behandlingsaktiviteter er basert på lovlige grunner som kontraktsmessig nødvendighet, juridiske forpliktelser eller de legitime interessene til sponsorer og CRO-er, og der det er nødvendig, innhentes uttrykkelig samtykke.
3. Dataminimering og lagringsbegrensning
Vi sørger for at kun personopplysninger som er nødvendige for regulatoriske, kvalitetsmessige og driftsmessige formål inkluderes i TMF. Data oppbevares ikke lenger enn nødvendig, i samsvar med gjeldende regulatoriske oppbevaringsperioder (f.eks. 25 år etter at studien er fullført, eller som på annen måte kreves), og slettes eller anonymiseres deretter på en sikker og dokumentert måte.

4. Dataintegritet og sikkerhetstiltak
Vi bruker robuste administrative, tekniske og organisatoriske sikkerhetstiltak for å beskytte TMF-data mot uautorisert tilgang, endring, tap eller avsløring. Disse tiltakene inkluderer:

  • Rollebaserte tilgangskontroller og revisjonsspor
  • Kryptering i hvile og under overføring
  • Sikre vertsmiljøer i samsvar med ISO 27001, SOC 2 Type II og/eller GxP-standarder
  • Forebygging av datatap (DLP) og systemer for inntrengingsdeteksjon/-forebygging (IDS/IPS)
  • Regelmessige sårbarhetsvurderinger og penetrasjonstesting

I tillegg er våre TMF-systemer validert under GxP-retningslinjer for å sikre autentisitet, integritet og sporbarhet av elektroniske poster og signaturer.

5. Tredjeparts risikostyring
Når underleverandører, teknologileverandører eller andre tredjeparter er engasjert i levering av TMF-tjenester, sørger vi for at passende kontraktsmessige sikkerhetstiltak er på plass. Dette inkluderer databehandlingsavtaler (DPA), prosedyrer for aktsomhetsvurderinger, vurdering av personvernkonsekvenser og løpende overvåking av deres overholdelse av gjeldende personvernforpliktelser.
Konklusjon
Vi forstår den kritiske betydningen av personvern og databeskyttelse i sammenheng med klinisk forskning. Våre TMF CRO-tjenester er designet ikke bare for å oppfylle regulatorisk dokumentasjon og arkiveringsforpliktelser, men for å opprettholde personvernrettighetene til alle individer hvis data vi administrerer. Våre kunder kan være trygge på at vi opererer med den høyeste grad av integritet, åpenhet og ansvarlighet når det gjelder å beskytte sensitive kliniske og personlige data.