Bekanntmachungen der Departemente und der Ämter
Generelle Bewilligung zur Offenbarung des Berufsgeheimnisses zu Forschungszwecken im Bereich der Medizin und des Gesundheitswesens Die Expertenkommission für das Berufsgeheimnis in der medizinischen Forschung, hat an der Plenarsitzung vom 13. April 2000, gestützt auf Artikel 321bis des Schweizerischen Strafgesetzbuches (StGB, SR 311.0); Artikel 1, 3 Absatz 1, 9 Absatz 5, 10, 11 und 13 der Verordnung vom 14. Juni 1993 über die Offenbarung des Berufsgeheimnisses im Bereich der medizinischen Forschung (VOBG, SR 235.154); in Sachen Universitätsspital Zürich (USZ) betreffend Gesuch vom 30. April 1998 für eine generelle Bewilligung zur Offenbarung des Berufsgeheimnisses im Sinne von Artikel 321bis StGB zu Forschungszwecken im Bereich der Medizin und des Gesundheitswesens, verfügt:
1
Bewilligungsnehmer
Dem Universitätsspital Zürich wird unter den nachfolgenden Bedingungen und Auflagen eine generelle Bewilligung gemäss Artikel 321bis StGB in Verbindung mit Artikel 3 Absatz 1 und 2 und Artikel 11 VOBG erteilt.
Der Verantwortliche für die Bewilligungsforschung ist der ärztliche Direktor Prof.
Dr. med. V. E. Meyer.
Durch die Bewilligung wird dem mit betriebsinterner Forschung betrauten Personal des Universitätsspitals Zürich sowie den Doktoranden und Doktorandinnen gestattet, zu Forschungszwecken im Bereich der Medizin und des Gesundheitswesens unter den nachstehenden Bedingungen nicht anonymisierte Daten einzusehen.
Durch die Bewilligung wird die Einsichtnahme in nicht anonymisierte Daten ermöglicht, ohne dass der Datenanleger dadurch sein Berufsgeheimnis verletzt. Dies gilt jedoch nur innerhalb des als Bewilligungsnehmer bezeichneten Universitätsspitals. Sollten Forschungsprojekte auf nicht anonymisierte Daten von andern Spitäler, medizinischen Instituten oder frei praktizierenden Ärztinnen und Ärzte angewiesen sein, oder soll externen Forschern Einblick in nicht anonymisierte Daten des Universitätsspitals gewährt werden, ist der Expertenkommission ein Sonderbewilligungsgesuch einzureichen.
2000-1466
4053
2
Zweck und Umfang der Dateneinsicht
Die Bewilligung umfasst das Recht, in den spitalinternen Datenbanken und Papierdateien die für interne Forschungsprojekte relevanten Daten einzusehen.
3
Bedingungen
Wenn die Einwilligung der Patienten und Patientinnen zur Verwendung ihrer Daten ohne unverhältnismässig grosse Schwierigkeiten und ohne, dass ihnen ein erheblicher Schaden zugefügt wird, eingeholt werden kann, so dürfen die Daten nicht gestützt auf diese Bewilligung zu Forschungszwecken verwendet werden.
Es dürfen nur dann ohne Einwilligung nicht anonymisierte Daten verwendet werden, wenn das Forschungsprojekt nicht mit anonymisierten Daten durchgeführt werden kann.
Die Patientinnen und Patienten sind darüber aufzuklären, dass sie die Datenweitergabe untersagen können. Daten, deren Weitergabe untersagt wurde, dürfen nicht zu Forschungszwecken verwendet werden.
Der verantwortliche ärztliche Direktor hat den Schutz der Daten und die Befolgung allfällig erhobener Verwendungsverbote sicherzustellen.
4
Datensammlungen und Kreis der Zugriffsberechtigten a.
Das Universitätsspital Zürich hat sicherzustellen, dass die personenbezogenen Angaben klar getrennt werden von den bereits anonymisierten Daten.
b.
Zu Forschungszwecken können die Mitarbeiter und Mitarbeiterinnen des Universitätsspitals Zürich sowie die Doktorandinnen und Doktoranden mit Einwilligung der jeweils zuständigen Chefärztin oder des leitenden Arztes auf neues Datenmaterial Zugriff nehmen. Auf bereits bearbeitete Daten darf je nach Bedürfnis erneut zugegriffen werden. Nach Abschluss des Forschungsprojektes ist für einen erneuten Datenzugriff die Einwilligung des Chefarztes oder der Chefärztin einzuholen.
5
Dauer der Datenaufbewahrung
Eine Befristung der Aufbewahrung richtet sich nach kantonalem Recht. Die Vernichtung der Daten des Forschungsprojektes hat gemäss den Vorschriften des kantonalen Datenschutzbeauftragten zu erfolgen.
4054
6
Massnahmen für die Anonymisierung
Die den Dateien des Universitätsspitals entnommenen Daten sind zu Beginn der Forschungstätigkeit zu anonymisieren.
7
Erkennungsmerkmale
Es ist sicherzustellen, dass in den auf den gesammelten Daten basierenden Publikationen eine Identifizierung der registriereten Personen nicht möglich ist.
8
Auflagen a.
Für jedes Forschungsprojekt muss eine ,,non-obstat,, Erklärung einer Ethikkommission eingeholt werden. Im vorliegenden Fall ist die spitalinterne Forschungsethikkommission zuständig. Sie hat neben der Überprüfung der ethischen Voraussetzungen auch die datenschutzmässige Konformität des jeweiligen Forschungsprojektes festzustellen.
Bevor das jeweilige Forschungsprojekt an die Ethikkommission weitergeleitet wird, hat ein klinik- oder institutsinterner Forschungsdelegierter sich über die Vollständigkeit der Angaben auszusprechen. Zu den notwendigen Angaben gehören: die Umschreibung der Forschungsthematik, die Bekanntgabe der verantwortlichen Klinik- oder Institutsdirektorin und des verantwortlichen Leiters der Forschungsgruppe, die Gründe, weshalb eine Einsichtnahme in nicht-anonymisierte Daten notwendig ist, weshalb die Einwilligung der Berechtigten nur mit unverhältnismässig hohem Aufwand einzuholen wäre, dass die jeweiligen Forschungsinteressen die Interessen der Berechtigten an der Geheimhaltung ihrer Gesundheitsdaten überwiegen und, dass die Berechtigten über das Forschungsprojekt und das ihnen zustehende Vetorecht aufgeklärt worden sind.
Nach der Begutachtung des Forschungsantrags durch die Forschungsdelegierte wird der Antrag an die speziell konstituierte Forschungsethikkommission weitergeleitet. Sie wird das Forschungsprojekt auf die Einhaltung der erwähnten Angaben hin überprüfen und bei Gutdünken, die Unbedenklichkeitserklärung ausstellen. Sie hat sich demnach neben der Überprüfung der rein ethischen Erfordernissen auch über diejenige der datenschutzrechtlichen Voraussetzungen auszuweisen. Die solchermassen ausgefüllte Unbedenklichkeitserklärung ist zusätzlich vom ärztlichen Direktor zu visieren.
Wird diese Erklärung verweigert, darf das Forschungsprojekt nicht gestützt auf die Klinikbewilligung durchgeführt werden; das Einholen einer Sonderbewilligung bleibt diesfalls aber vorbehalten.
b.
Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Der Bewilligungsnehmer richtet sich dabei an den vom Eidgenössischen Datenschutzbeauftragten herausgegebenen Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes. Es ist insbesondere folgendes zu beachten:
4055
Die nicht anonymisierten Personendaten, d.h. die EDV-Datensammlungen, die Krankengeschichten und die Patientenkarteien sind unter Verschluss zu halten; der Zugriff auf die EDV-Datenbanken ist mit einem persönlichen Passwort zu sichern; jede zugriffsberechtigte Person muss über ein Passwort verfügen, welches diese geheimzuhalten hat und jeder Zugriff auf die personenbezogenen nicht anonymisierten Datenbanken auf den vernetzten EDV-Rechnern ist automatisch zu registrieren, es sei denn, es könnte auf andere Weise nachträglich festgestellt werden, ob Daten für denjenigen Zweck bearbeitet wurden, für den sie bekanntgegeben wurden.
c.
Die Krankengeschichten und die elektronischen Datensammlungen müssen einen Vermerk über die allfällig erfolgte Weigerung der Datenverwendung zu Forschungszwecken enthalten.
d.
Das Universitätsspital Zürich hat die einzelnen internen Forschungsprojekte zu registrieren und dem Sekretariat der Expertenkommission jährlich zu Handen des Präsidenten zu melden. Diese Meldung hat folgendes zu beinhalten: den Titel des Forschungsvorhabens; die (vermutete) Grösse des Kollektivs, die Einschlusskriterien und den Forschungszweck den verantwortlichen Projektleiter; die Namen der Personen, welche Einblick in nicht anonymisierte Daten nehmen dürfen; für jedes einzelne Forschungsprojekt den Nachweis einer ,,non obstat,,Erklärung der zuständigen Ethikkommission gemäss litera a.
e.
Das Universitätsspital Zürich hat ein Zugriffsregelement zu erstellen und dieses dem Sekretariat zu Handen des Kommissionspräsidenten zuzustellen.
Aus dem Zugriffsreglement muss hervorgehen, in welcher Funktion die Mitarbeiter und Mitarbeiterinnen zu Forschungszwecken Zugriff auf die EDVDatensammlungen mit nicht anonymisierten, personenbezogenen Daten haben. Personen, die Forschung betreiben, aber über keine Zugriffsberechtigung verfügen, ist der Zugriff auf die nicht anonymisierten Daten zu verweigern. Insbesondere dürfen Spitälern, externen Instituten oder externen Forschern nur anonymisierte Daten zur Verfügung gestellt werden.
Diejenigen Mitarbeiterinnen und Mitarbeiter, welche zugriffsberechtigt sind, haben die beiliegende Erklärung betreffend die ihnen gemäss Artikel 321bis StGB auferlegte Schweigepflicht zu unterzeichnen und zu Handen der Expertenkommission in der Klinik aufzubewahren.
4056
9
Bewilligungsdauer und -beständigkeit
Die vorliegende Bewilligung wird für eine Dauer von fünf Jahren seit Eintritt der Rechtskraft erteilt.
In folgenden Fällen muss vor Ablauf der Bewilligungsdauer ein neues, ergänzendes Gesuch gestellt werden:
10
Wechsel des ärztlichen Direktors
Änderung im dreistufigen Konzept zur Erfüllung der Auflagen des Bewilligungsentscheides
Wechsel der Vorsitzenden der Forschungsethikkommission
Änderung der Datenverwaltung
Änderung des Zugriffsreglements
Änderung der Verwaltungs- und Organisationsstruktur des Spitals
Frist für Auflagenerfüllung
Dem Universitätsspital Zürich wird zur Erfüllung der Auflagen gemäss Ziffer 8 Buchstaben b-e eine Frist von 6 Monaten seit Rechtskraft der Bewilligung gesetzt.
11
Strafbarkeit
Wer gemäss Artikel 321bis StGB ein Berufsgeheimnis unbefugterweise offenbart, das er durch seine Tätigkeit für die Forschung im Bereich der Medizin oder des Gesundheitswesens erfahren hat, wird nach Artikel 321 StGB bestraft.
12
Rechtsmittelbelehrung
Gegen diese Verfügung kann nach Massgabe von Artikel 33 Absatz 1 Buchstabe c des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG; SR 235.1) und Artikel 44ff. des Bundesgesetzes über das Verwaltungsverfahren (VwVG; SR 172.021) innert 30 Tagen seit deren Eröffnung bzw. Publikation bei der Eidgenössischen Datenschutzkommission, Postfach, 3000 Bern 7, Verwaltungsbeschwerde erhoben werden. Die Beschwerde ist im Doppel einzureichen und hat die Begehren, deren Begründung mit Angabe der Beweismittel und die Unterschrift der beschwerdeführenden Partei oder ihres Vertreters oder ihrer Vertreterin zu enthalten.
4057
13
Mitteilung und Publikation
Diese Verfügung wird dem Universitätsspital Zürich und dem Eidgenössischen Datenschutzbeauftragten schriftlich mitgeteilt.
Das Verfügungsdispositiv wird im Bundesblatt veröffentlicht. Wer zur Beschwerde legitimiert ist, kann innert der Beschwerdefrist beim Sekretariat der Expertenkommission, Bundesamt für Gesundheit, Abteilung Recht, 3003 Bern, nach telefonischer Voranmeldung (031/322`94`94) Einsicht in die vollständige Verf ügung nehmen.
25. Juli 2000
Expertenkommission für das Berufsgeheimnis in der medizinischen Forschung Der Präsident, Prof. Dr. iur. Franz Werro
4058