Patientinformation och samtycke till behandling av personuppgifter

Transkript

1 SAMTYCKE Tjänst (markera beställd Tjänst) Patientinformation och samtycke till behandling av personuppgifter Din behandlande läkare har rekommenderat ett molekylärdiagnostiskt gentest för diagnostiska ändamål för analys av blod och/eller vävnadsprov (beroende på vad som krävs för ditt test) för att upptäcka genmutationer specifika för din typ av tumör. Det lämpliga diagnostiska testet valdes av din läkare (FoundationOne, FoundationOne Heme eller FoundationACT) och anges längst upp i detta dokument ( Tjänsten ). Tjänsten tillhandahålls av Roche i samarbete med Foundation Medicine enligt nedan: - Tjänsten erbjuds i ditt land av Roche AB, org nr , Box 1228, Solna ( Roches lokala dotterbolag ) vilket är den avtalsslutande parten för utförandet av Tjänsten. Roches lokala dotterbolag ansvarar för behandlingen av dina personuppgifter inom ramen för tillhandahållandet av Tjänsten som personuppgiftsansvarig tillsammans med Roche Pharma AG, Emil-Barell-Straße 1, Grenzach, Tyskland ( Roche Pharma AG ). Roche Pharma AG hanterar den centrala samordningen och kvaliteten av utförandet av Tjänsten i Europa och ansvarar även för tillhandahållandet av kundtjänst. Hädanefter kallas Roches lokala dotterbolag och Roche Pharma AG tillsammans för Roche. Roche kan kontaktas på någon av kontaktuppgifterna som anges i avsnitt 3. - För att tillhandahålla Tjänsten samarbetar Roche med FMI Germany GmbH, Nonnenwald 2, Penzberg, Tyskland ( FMI Germany ) som tillsammans med Foundation Medicine Inc., 150 Second Street, Cambridge, MA 02141, USA ( FMI Inc. ) genomför de molekylärdiagnostiska genetiska tjänsterna. I de flesta fall ansvarar FMI Germany för behandlingen av dina uppgifter inom ramen för tillhandahållandet av Tjänsten i egenskap av personuppgiftsansvarig och instruerar FMI Inc. i egenskap av registeransvarig att bistå med tillhandahållandet av vissa delar av Tjänsten. Endast i händelse av en beställning av Tjänsten FoundationOne Heme eller FoundationACT 1 kan dina uppgifter även överföras av dina behandlande läkare direkt till FMI Inc. i USA som därefter utför alla molekylära genetiska tjänster som ensam personuppgiftsansvarig (utan eller med endast begränsad inblandning av FMI Germany som registerförare). FMI Germany och FMI Inc. kallas nedan tillsammans FMI. FMI kan kontaktas på någon av kontaktuppgifterna som anges nedan i avsnitt 3. Patientinformationen och samtycket ( Samtycke ) ger information om hur dina personuppgifter behandlas av läkare, Roche och FMI och ligger till grund för inhämtande och dokumentering av ditt samtycke till behandlingen av dina personuppgifter. OBSERVERA: Samtycket ska lämnas tillbaka till behandlande läkare i original. Du får behålla kopian. Avsnitt 1 (obligatoriskt samtycke) Samtycke till personuppgiftsbehandling i syfte att tillhandahålla Tjänsten Ditt samtycke till behandling av dina personuppgifter enligt detta avsnitt 1 är nödvändigt för att utföra den begärda Tjänsten 2 samt för faktureringsändamål. Du lämnar samtycke genom att skriva på med din underskrift i slutet av avsnitt 1. 1 Du kan identifiera vilken tjänst som har beställts överst i detta samtycke. 2 Du kan identifiera vilken tjänst som har beställts överst i detta samtycke.

2 A. Behandling av fakturerings- och kontraktsuppgifter av Roche (Obs! Gäller endast patienter som betalar själva) Om du betalar för Tjänsten själv samlar behandlande läkare in följande fakturerings- och kontraktsuppgifter från dig för att fylla i beställningsformuläret och överför dessa uppgifter till Roche (både Roches lokala dotterbolag och Roche Pharma AG som gemensamt personuppgiftsansvariga): För- och efternamn Födelsedatum (endast för verksamhetsrelaterade ändamål) Postadress Telefonnummer, e-postadress Kontouppgifter Information beträffande undersökningens status (om relevant för faktureringsändamål och samordnande av samarbete mellan parterna involverade i tillhandahållandet av tjänsten) Mottagarna är gemensamt ansvariga för behandlingen av dina uppgifter. Roches lokala dotterbolag behandlar sådana uppgifter i den utsträckning som krävs för att utföra kontraktet och fakturera för Tjänsten. Roche Pharma AG behandlar sådana uppgifter i den utsträckning som krävs för central samordning, kvaliteten av utförandet av Tjänsten och för tillhandahållande av kundtjänst. För tydlighetens skull, om du inte betalar för Tjänsten själv lämnar din behandlande läkare inte ut någon av uppgifterna som nämns under A ovan till Roche. I dessa fall kan endast den behandlande läkaren koppla sin beställning till dig personligen. B. Tilldelande av beställnings-id av Roche (pseudonymiseringsprocess) Roche granskar läkarens beställning och tilldelar ett beställnings-id till ditt fall om kontraktet godtas. Roche överför detta beställnings-id till både den behandlande läkaren och till patologen (som anges nedan i avsnitt 1 D). Beställnings-id:t är ett randomiserat identifieringsnummer som fungerar som en unik central identitetsbeteckning för ditt fall och gör att den behandlande läkaren och patologen kan dela uppgifter med Roche och FMI i pseudonymiserad form (utan att avslöja din identitet). Detta innebär att även om Roche och FMI tar emot uppgifter med särskilda egenskaper om dig, inklusive hälsorelaterad information, kan de i allmänhet inte spåra dessa egenskaper tillbaka till dig, utom i fall då behandlande läkare eller patolog avslöjar din identitet. Observera att vid egenfinansiering (se avsnitt 1 A ovan), erhåller Roche (både Roches lokala dotterbolag och Roche Pharma AG i egenskap av gemensam personuppgiftsansvarig) även din identitet för faktureringsändamål och kommer i allmänhet att vara i stånd att koppla beställnings-id:t till din person (även om tekniska och organisatoriska åtgärder säkerställer att din identitet endast är tillgänglig för Roches support- och faktureringsfunktioner). Under inga omständigheter kommer FMI att få någon information som kan koppla beställnings-id:t till din person. C. Beredning av prover av patolog För att bereda dina blod- och eller vävnadsprov (som behövs för din Tjänst) samarbetar den behandlande läkaren med nedanstående patolog och delar uppgifter som är relevanta för den diagnostiska Tjänsten (t.ex. diagnos och födelsedatum) med denna patolog, vid behov omfattande hela patientfilen: Patolog Sjukhus Patolog (för- och efternamn) Kontorsadress Telefon Fax

3 E-post D. Laboratorieanalys och rapportframställning av FMI Den behandlande läkaren eller patologen kommer att fylla i en rekvisitionsblankett för provtagningsmaterial och överföra nedanstående pseudonymiserade uppgifter tillsammans med dina blod- och/eller vävnadsprov (som krävs för din Tjänst) till FMI-laboratoriet som utför laboratorieanalysen. Beställnings-ID Födelsedatum (dag/månad/år) Kön Diagnos, stadie Vävnadsprovställe Prov-ID (identifikationsbeteckning för blod-/vävnadsprov) Datum för provinsamling Internationell sjukdomsklassifikation (ICD-10-kod) Transplantatstatus Patologirapport (i redigerad form) Kontaktinformation för behandlande läkare och patolog (tillsammans Uppgifter i rekvisitionsblankett ) Förutom när du har lämnat samtycke till valfri personuppgiftsbehandling för forskningsändamål och vetenskapliga ändamål (som anges i avsnitt 2 nedan) bearbetar FMI ovanstående uppgifter endast i syfte att tillhandahålla den begärda diagnostiska Tjänsten, dvs: - för att bekräfta mottagande av rätt prov - för bedömning av patologens granskning (bekräfta sjukdomsontologi och bedöma tumörinnehåll) av anställda eller externa patologer - för att extrahera DNA/RNA och sekvensera de relevanta cancergenerna som förknippas med tumörutveckling och tumörprogression - för att analysera erhållna genomiska data för genmutationer, matcha data om specifika mutationer med riktade terapier och pågående kliniska prövningar samt bereda rapporten om de identifierade genmutationerna och de tillgängliga behandlingsalternativen. Det finns inga garantier att det finns några tillgängliga behandlingsalternativ. Rapporten skickas till den behandlade läkaren och patologen och, om relevant, ytterligare mottagare som namngivits av sjukhus, kliniker eller andra sjukvårdsinrättningar som kommer att vara involverade i din behandling och som behöver tillgång till rapporten som ett underlag till beslutet om din framtida behandling. FMI kommer inte att vidare analysera eller bearbeta ditt DNA. De genomiska data som FMA erhåller under sekvensanalysen kommer inte att innehålla några identifierbara uppgifter som kan kopplas direkt till dig. I de flesta fall överförs Uppgifter i rekvisitionsblankett samt blod- och/eller vävnadsprov (som krävs för din Tjänst) av den behandlade läkaren eller patologen till FMI Germany för laboratorstjänster (extrahering av DNA och sekvensering av relevanta gener). Med undantag för blod-/vävnadsprov vidarebefordrar FMI Germany sådan pseudonymiserad information, eller beviljar åtkomst av informationen till FMI Inc. i USA (för analys av erhållna genomiska data, matchning och rapportframställning). Som personuppgiftsansvarig ansvarar i de flesta fall FMI Germany för behandling av dina uppgifter och instruerar FMI Inc. att utföra de beskrivna delarna av Tjänsten som registeransvarig. Genom lämpliga avtal säkerställer FMI Germany att FMI Inc. endast behandlar dina uppgifter på uppdrag av och enligt instruktioner från FMI Germany och endast i den utsträckning som krävs för att tillhandahålla de beskrivna delarna av Tjänsten. Endast i händelse av en beställning av Tjänsten FoundationOne Heme eller FoundationACT 3 kan dina pseudonymiserade uppgifter även överföras av den behandlande läkaren eller patologen direkt till FMI Inc. i USA som därefter utför alla ovanstående steg som ensam personuppgiftsansvarig (med eller utan endast begränsad inblandning 3 Du kan identifiera vilken tjänst som har beställts överst i detta samtycke.

4 av FMI Germany som registeransvarig). Endast i dessa fall tar FMI Inc. även emot dina blod- och/eller vävnadsprov (som krävs för din Tjänst). Kontakta din behandlande läkare eller FMI med hjälp av kontaktuppgifterna som anges i avsnitt 3 nedan för mer information om FMI Germanys och FMI Incs roller inom ramen för din specifika Tjänst. I samtliga ovanstående fall överförs dina pseudonymiserade uppgifter (Uppgifter i rekvisionsblankett) till USA och därmed till ett land utanför EU/EEA i vilket lagen eventuellt inte erbjuder en dataskyddsnivå som anses adekvat i Europeiska unionen. FMI Inc. är dock certifierad under EU-US Privacy Shield vilket genom ett Europeiska kommissionens beslut om adekvat skyddsnivå (Art. 45 GDPR) anses garantera en adekvat dataskyddsnivå jämför med skyddsnivån i EU. Mer information om FMI Incs Privacy Shield-certifiering finns på eller så kan du kontakta FMI på kontaktuppgifterna i avsnitt 3 nedan. I samtliga ovanstående fall lagrar och behandlar FMI endast pseudonymiserad information som inte är direkt hänförlig till din person som en ytterligare skyddsåtgärd. I den utsträckning FMI av misstag tar emot uppgifter i fullt identifierbar form av behandlande läkare eller patolog (t.ex. ditt namn i en patolograpport) kommer FMI att redigera denna information vid mottagande. FMI kommer dock även förses med dina blod- och/eller vävnadsprov (som krävs för din Tjänst) vilka innehåller ditt DNA och därmed ditt unika genetiska fingeravtryck. FMI kommer inte att sekvensera eller behandla dina uppgifter för att erhålla ditt genetiska fingeravtryck. E. Central samordning av tjänster, kvalitet av tillhandahållande av tjänst och Roches kundtjänst Roche kontrollerar rekvisitionsblankettens riktighet och fullständighet, spårar status för tillhandahållandet av Tjänsten på basis av beställnings-id:t såvitt avser central samordning av Tjänsterna i Europa, säkerställande av kvaliteten av tillhandahållandet av Tjänsten och hantering av kundtjänstförfrågningar och, i den utsträckning som krävs för dessa ändamål, tar emot relevant information från patologen (Uppgifter i rekvisitionsblankett) och FMI (Uppgifter i rekvisitionsblankett, information om Tjänstens status) men under alla omständigheter med undantag för blod- /vävnadsproven, erhållna sekvenseringsdata och DNA. I den utsträckning som krävs för att hantera rapportspecifika frågor från den behandlande läkaren kan Roche dessutom ha tillgång till rapporten som förvaras hos FMI. Genom lämpliga tekniska och organisatoriska åtgärder säkerställer Roche och FMI tillgång till rapporten endast från fall till fall, vid emottagande av en begäran om support och i den utsträckning som krävs för att tillmötesgå supportbegäran, särskilt för att tillhandahålla den behandlande onkologen med information, exempelvis om rapporten inte tillhandahölls till onkologen eller vid rapportspecifika frågor från behandlande läkare. F. Förvaringsvillkor, radering Roche lagrar och förvarar dina uppgifter enligt följande: - Uppgifterna som anges i avsnitt 1 A, 1 E ovan som avser patienter som betalar själva lagras av Roche i tio år och raderas därefter. Förutom då du har lämnat samtycke till behandling av dina uppgifter för forskningsändamål och vetenskapliga ändamål (som beskrivs i avsnitt 2) lagrar FMI dina uppgifter endast under så lång tid som behövs för att tillhandahålla Tjänsten och för att uppfylla gällande lagstiftning avseende lagring enligt följande: - Blod-/vävnadsprov: Efter Tjänstens fullbordande, eller i händelse Tjänsten upphör för att du återkallar ditt samtycke, kommer vävnadsprov (om några tagits under den begärda Tjänsten) inte att användas upp av FMI. Om de är tillgängliga i form av ett tumörblock returneras de av FMI till patologen specificerad ovan under D och lagras av patologen i enlighet med gällande lagstiftning. Andra restmaterial (t.ex. extraherat DNA, ofärgade objektglas) lagras av FMI i enlighet med gällande lagstiftning. Blodprov kasseras av FMI när de inte längre behövs för Tjänsten och som senast när Tjänsten avslutats. - Uppgifter i rekvisitionsblankett och rapport Uppgifterna i rekvisitionsblanketten (se avsnitt 1 E ovan) och rapporten lagras av FMI Germany i högst 10 år efter det att tillhandahållandet av Tjänsten har avslutats. I de fall då både Uppgifter i rekvisitionsblankett och proverna skickas direkt till FMI Inc. lagras både uppgifterna och rapporten av FMI Inc. i högst

5 10 år efter det att tillhandahållandet av Tjänsten har avslutats. - Sekvenserad tumörgenom: Erhållna råa sekvenseringsdata lagras av FMI Germany i högst 10 år efter det att tillhandahållandet av Tjänsten har avslutats. Högkvalitativa sekvenseringsdata lagras i högst 10 år efter det att tillhandahållandet av Tjänsten har avslutats. Dina uppgifter raderas/förstörs fullständigt efter ovanstående tidsperioder men FMI Inc. kan behandla viss information ytterligare i fullt avidentifierad form (dvs. utan sådan information som är direkt eller indirekt hänförlig till din person), så som beskrivs i avsnitt 2 nedan. G. Allmän dataskyddsinformation Informationen i avsnitt 3 ( Allmän dataskyddsinformation utgör en viktig del i detta samtycke och ger ytterligare upplysningar om behandlingen av dina personuppgifter och dina rättigheter. H. Samtycke till behandling av mina personuppgifter i enlighet med avsnitt 1. Jag samtycker härmed till behandling av mina personuppgifter, inklusive mina hälsouppgifter, i enlighet med avsnitt 1 ovan i syfte att tillhandahålla den begärda Tjänsten (som anges överst i detta samtycke). Jag är medveten om att jag inte är tvungen att lämna detta samtycke och att kan återkalla detta samtycke när som helst genom att kontakta min behandlande läkare eller Roche. Återkallandet av mitt samtycke påverkar inte lagenligheten av någon behandling baserat på mitt samtycke innan dess återkallande. Om jag återkallar mitt samtycke anses den begärda Tjänsten avslutad och avbryts i sitt aktuella skede. [Roches dotterbolag] frigörs från åtagandet att utföra Tjänsten. Jag väljer själv om jag vill lämna samtycke. Om jag inte lämnar samtycke kan tjänsten dock inte tillhandahållas. Plats/Datum Patientens namn (med stora bokstäver) Patientens underskrift* * Ska skrivas under av minderårigs vårdnadshavare Avsnitt 2 (Samtycke till valfri del) Samtycket till behandling av dina pseudonymiserade uppgifter för forskningsändamål och vetenskapliga ändamål Om du anger ditt medgivande till behandling av dina personuppgifter genom att skriva under med din signatur i slutet av detta avsnitt 2 kommer dina pseudonymiserade uppgifter att användas för undersökande och vetenskapliga ändamål för att förbättra kunskapen om tumörutveckling och tumörprogression. Dina uppgifter kan dessutom vara avgörande för utvecklandet av nya diagnostiska och terapeutiska tillvägagångssätt för behandling av genetiska sjukdomar. Ditt samtycke till behandling av dina personuppgifter så som beskrivs i detta avsnitt 2 är frivilligt. A. Behandling av dina pseudonymiserade uppgifter för forskningsändamål och vetenskapliga ändamål Med ditt samtycke lagrar FMI Inc. uppgifter mottagna som del av tillhandahållande av Tjänsten (dvs. Uppgifter i rekvisitionsblanketten, sekvenseringsdata) i pseudonymiserad form (under beställnings- ID:t) tillsammans med den framställda rapporten. FMI Inc. tar inte emot och lagrar inte ditt namn eller

6 annan information som är direkt hänförlig till din person. Som personuppgiftsansvarig behandlar FMI Inc. sådan information för forskningsändamål och vetenskapliga ändamål, inkluderande statistisk analys, för att öka förståelsen för orsaker till tumörutveckling och tumörprogression samt för att förbättra tjänsterna FoundationOne, FoundationOne Heme and FoundationACT. Dina pseudonymiserade uppgifter lagras i högst 10 år och raderas fullständigt och förstörs därefter, förutom om du återkallar ditt samtycke innan detta datum (i vilket fall de pseudonymiserade uppgifterna raderas utan onödigt dröjsmål) efter återkallande). FMI Inc. avidentifierar och slår samman dina uppgifter ytterligare och utlämnar sådan information i fullt avidentifierad form (dvs. utan någon information som är direkt eller indirekt hänförlig till din person) till akademiska, industriella eller andra samarbetspartners som använder informationen för att öka förståelsen för tumörutveckling och tumörprogression och för att vidareutveckla nya diagnostiska och terapeutiska tillvägagångssätt för behandling av genetiska sjukdomar, bl.a. för forskningsändamål, vetenskapliga och kommersiella ändamål. B. Allmän dataskyddsinformation Informationen i avsnitt 3 ( Allmän dataskyddsinformation utgör en viktig del i detta samtycke och ger ytterligare upplysningar om behandlingen av dina personuppgifter och dina rättigheter. C. Samtycket till behandling av mina personuppgifter i enlighet med avsnitt 2. Jag samtycker härmed till behandling av mina personuppgifter, inkluderande mina hälsouppgifter, av FMI Inc. för forskningsändamål och för vetenskapliga ändamål som anges i avsnitt 2 ovan. Jag är medveten om att jag inte är tvungen att lämna detta samtycke och att kan återkalla detta samtycke när som helst genom att kontakta min behandlande läkare eller Roche. Återkallandet av mitt samtycke påverkar inte lagenligheten av någon behandling baserat på mitt samtycke innan dess återkallande. I synnerhet förstår jag att även om jag återkallar mitt samtycke fortsätter FMI Inc. att behandla data som avidentifierats av FMI Inc. innan återkallandet. Jag väljer själv om jag vill lämna detta samtycke. Tillhandahållandet av den begärda Tjänsten påverkas inte av att samtycke inte lämnas eller återkallas vid en senare tidpunkt. Plats/Datum Patientens namn (med stora bokstäver) Patientens underskrift* * Ska skrivas under av minderårigs vårdnadshavare Avsnitt 3 - Allmän dataskyddsinformation Följande allmänna dataskyddsinformation gäller alla databehandlingsaktiviteter som beskrivs i avsnitt 1 och 2. A. Kontaktuppgifter, dataskyddsombud Roches lokala dotterbolag: Roche AB, org nr , Box 1228, Solna Roche Pharma AG: Roche Pharma AG, Emil-Barell-Straße 1, Grenzach, Tyskland

7 FMI Germany: FMI Germany GmbH, Nonnenwald 2, Penzberg, Tyskland FMI Inc.: Foundation Medicine Inc., 150 Second Street, Cambridge, MA 02141, USA Dataskyddsombud och personuppgiftsansvarig hos Roche och FMI är dina kontaktpunkter om du har några frågor, förslag eller klagomål beträffande behandlingen av dina personuppgifter. Deras kontaktuppgifter är enligt följande: Dataskyddsombud vid Roches dotterbolag: Caroline Åman, Postadress: Roche AB; Box 1228, Solna, e-post: telefonnummer: Dataskyddsombud vid Roche Pharma AG: Roche Pharma AG, Emil-Barell-Straße 1, Grenzach, Tyskland, +49 (7624) Dataskyddombud vid FMI Germany GmbH: FMI Germany GmbH, Nonnenwald 2, Penzberg, Tyskland; telefon: +49 (8856) Dataskyddsombud vid FMI Inc: Foundation Medicine, Inc., 150 Second Street, Cambridge, Massachusetts 02141, Telefon: +1(617) B. Säkerhet Roche och FMI vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda dina personuppgifter mot oavsiktlig eller olaglig radering, förlust, ändring, otillåten spridning eller åtkomst samt överföring av personuppgifter som överförs, lagras eller behandlas på annat sätt. C. Dina rättigheter I enlighet med gällande dataskyddslag har du rätt - att begära information om de uppgifter som behandlas om dig och att få en kopia på sådana uppgifter (rätt till åtkomst) - att få felaktiga uppgifter rättade eller, med hänsyn till syftet med registret, begära att uppgifter som saknas kompletteras (rätt till rättelse) - att få personuppgifter raderade i den mån en av anledningarna som anges under lagstiftning gäller (rätt att bli bortglömd) - i den mån gällande lagstiftning uppfylls, att begränsa behandling av dina personuppgifter (rätt till begränsning av behandling) - i den mån gällande lagstiftning uppfylls, att få ut de personuppgifter som du har tillhandahållit Roche och/eller FMI i ett strukturerat, allmänt använt och maskinläsbart format och att överföra dessa uppgifter till en annan personuppgiftsansvarig eller, där tekniskt möjligt, få uppgifterna överförda (rätt till dataportabilitet) - inte bli föremål för ett beslut som grundas på någon form att automatiserat beslutsfattande om de lagstadgade bestämmelserna inte uppfylls. Något automatiserat beslutsfattande föreligger inte. Vidare har du rätt att, med anledningar som gäller din enskilda situation och i enlighet med gällande lag, invända mot behandling av dina personuppgifter med anledning av att behandlingen är nödvändig för ändamål som rör Roches och/eller FMI:s berättigade intressen (rätt att göra invändningar). Du har också rätt att återkalla ditt samtycke när som helst utan att det påverkar behandlingens laglighet baserat på samtycke innan återkallandet. För att utöva dina rättigheter, kontakta din behandlande läkare eller någon av de dataskyddsombud som namnges ovan i avsnitt 3. A. Vidare har du rätt att skicka in klagomål till en dataskyddsmyndighet, särskilt den behöriga dataskyddsmyndigheten i det land du har din hemvist eller landet där överträdelsen skulle ha ägt rum. SE/FMI/0918/0010