Gegevenstransacties: De gevolgen van de DOJ Final Rule voor academische medische centra met klinische onderzoeksprogramma's

Het ministerie van Justitie (DOJ) publiceerde op 8 januari 2025 zijn definitieve regel ter uitvoering van Executive Order 14117, met een corrigerende wijziging die op 18 april 2025 werd uitgevaardigd. Executive Order 14117, uitgevaardigd op 28 februari 2024, getiteld "Preventing Access to Americans' Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern" (Voorkomen van toegang tot gevoelige persoonlijke gegevens van Amerikanen en gegevens met betrekking tot de Amerikaanse overheid door landen die aanleiding geven tot bezorgdheid), gaf de minister van Justitie de opdracht om voorschriften op te stellen die Amerikaanse personen verbieden of beperken om deel te nemen aan transacties met betrekking tot eigendommen waarin een ander land of onderdanen van dat land een belang hebben. Transacties worden verboden of beperkt als ze betrekking hebben op gegevens die verband houden met de Amerikaanse overheid of gevoelige persoonsgegevens (zoals gedefinieerd in de definitieve uitvoeringsregels), vallen onder categorieën die door de minister van Justitie worden beschouwd als een risico voor de nationale veiligheid (waarbij dit veiligheidsrisico voortvloeit uit mogelijke toegang tot gegevens door geïdentificeerde zorgwekkende landen of daarmee verbonden personen), en voldoen aan aanvullende criteria die in het uitvoeringsbesluit worden uiteengezet.

De definitieve regel beschrijft categorieën transacties die verboden of beperkt zijn; wijst specifieke landen en soorten personen of entiteiten aan waarmee transacties met betrekking tot overheidsgerelateerde of bulkgevoelige persoonlijke gegevens van de VS beperkt zijn; creëert een systeem voor het verlenen, wijzigen of intrekken van vergunningen voor anderszins beperkte activiteiten en voor het uitbrengen van advies; en stelt eisen voor het bijhouden van transactieregistraties en rapportagevereisten ter ondersteuning van de onderzoeken, handhavings- en regelgevende maatregelen van het DOJ met betrekking tot het uitvoeringsbesluit. 

Academische medische centra (AMC's) en soortgelijke entiteiten die zich bezighouden met klinisch onderzoek en internationale samenwerkingsverbanden moeten zich bewust zijn van de toepasselijkheid van de wettelijke vereisten die door de definitieve regel worden opgelegd en deze bepalen. Onderzoekspartnerschappen waarbij biometrische identificatiegegevens, persoonlijke gezondheidsinformatie of genomische gegevens betrokken zijn, kunnen worden beschouwd als beperkte of verboden transacties als de partnerschappen entiteiten uit aangewezen landen van zorg omvatten.

Samenvatting

De definitieve regel is bedoeld om te voorkomen dat bepaalde buitenlandse tegenstanders van de VS — waaronder China, Rusland, Iran, Noord-Korea, Cuba en Venezuela — toegang krijgen tot gevoelige Amerikaanse persoonsgegevens en overheidsgerelateerde informatie. 

Belangrijkste definities. De definitieve regel machtigt het Amerikaanse ministerie van Justitie om beperkingen op datatransacties met aangewezen "landen van zorg" en "betrokken personen" te reguleren en te handhaven. 

• Onder "land van zorg" wordt verstaan: 

elke buitenlandse regering die, zoals vastgesteld door de minister van Justitie in overeenstemming met de minister van Buitenlandse Zaken en de minister van Handel, (1) zich langdurig of in ernstige gevallen heeft beziggehouden met gedragingen die aanzienlijk schadelijk zijn voor de nationale veiligheid van de Verenigde Staten of de veiligheid en zekerheid van Amerikaanse personen, en (2) een aanzienlijk risico vormt om overheidsgerelateerde gegevens of grote hoeveelheden gevoelige persoonlijke gegevens van Amerikaanse burgers te misbruiken ten koste van de nationale veiligheid van de Verenigde Staten of de veiligheid en zekerheid van Amerikaanse personen. 

• Onder "betrokken persoon" wordt verstaan: (1) buitenlandse entiteiten die (a) voor vijftig procent of meer, direct of indirect, eigendom zijn van landen van zorg of andere betrokken personen; of (b) zijn opgericht naar het recht van, of hun hoofdvestiging hebben in, een land van zorg; (2) buitenlandse entiteiten die voor vijftig procent of meer, direct of indirect, eigendom zijn van betrokken personen, hetzij individuen, hetzij entiteiten; (3) buitenlandse personen die geen ingezetenen van de VS zijn en werkzaam zijn als werknemers of contractanten van een zorgwekkend land; (4) buitenlandse personen die voornamelijk in zorgwekkende landen verblijven; en (5) andere entiteiten of personen zoals redelijkerwijs bepaald door de procureur-generaal op basis van bepaalde criteria. 

Categorieën van gedekte gegevens. De definitieve regel richt zich op acht categorieën van "gedekte gegevens", waaronder biometrische identificatiegegevens, genomische gegevens, gezondheids- en financiële gegevens, nauwkeurige geolocatiegegevens en persoonlijke identificatiegegevens die aan andere gevoelige gegevens kunnen worden gekoppeld. Het omvat ook bepaalde overheidsgerelateerde informatie, zoals gegevens die verband houden met personeel van de Amerikaanse overheid of de geolocatie van gevoelige faciliteiten. Opvallend is dat de regelgeving van toepassing is ongeacht het volume van de gegevensverwerking wanneer het om overheidsgerelateerde informatie gaat. 

Belangrijkste soorten beperkte transacties. Het Amerikaanse ministerie van Justitie onderscheidt drie primaire soorten beperkte transacties: arbeidsovereenkomsten, investeringsovereenkomsten en leveranciersovereenkomsten. Amerikaanse bedrijven moeten ervoor zorgen dat buitenlandse werknemers, investeerders en dienstverleners – met name die welke banden hebben met landen die onder de aandacht staan – geen toegang krijgen tot beschermde gegevens, tenzij aan strikte beveiligingsprotocollen wordt voldaan. Dit heeft gevolgen voor een breed scala aan commerciële activiteiten, van werving en bedrijfsovereenkomsten tot clouddiensten en softwareabonnementen, en heeft waarschijnlijk ook gevolgen voor AMC's die zich bezighouden met klinisch onderzoek wanneer gegevens met bepaalde werknemers worden gedeeld. Onderzoekssponsors, investeerders en dienstverleners. De verboden en beperkingen van de definitieve regel zijn echter alleen van toepassing op transacties met gegevens uit een land van zorg of met een betrokken persoon waarbij een land van zorg of een betrokken persoon toegang krijgt tot overheidsgerelateerde gegevens of grote hoeveelheden gevoelige persoonlijke gegevens uit de VS. De definitieve regel regelt geen transacties waarbij een land van zorg of een betrokken persoon geen toegang krijgt tot overheidsgerelateerde gegevens of grote hoeveelheden gevoelige persoonlijke gegevens uit de VS.

Verboden transacties. Met name zijn bepaalde transacties krachtens de definitieve regel absoluut verboden, zoals transacties waarbij gedekte gegevens worden verkocht of in licentie gegeven aan buitenlandse entiteiten in het kader van gegevensmakelaarsovereenkomsten, of transacties waarbij biometrische gegevens of biologische monsters betrokken zijn. 

Sancties bij niet-naleving. Overtredingen van de definitieve regel leiden tot aanzienlijke boetes en sancties. Civielrechtelijke boetes kunnen oplopen tot 368.136 dollar of tweemaal het transactiebedrag, indien dit hoger is. Opzettelijke overtredingen kunnen leiden tot strafrechtelijke sancties van maximaal 1 miljoen dollar en maximaal 20 jaar gevangenisstraf.

De conclusie voor klinisch onderzoek. Om aan de definitieve regel te voldoen, moeten AMC's rigoureuze en grondige due diligence uitvoeren met betrekking tot voorgestelde en bestaande onderzoeksactiviteiten, samenwerkingen en operaties, inclusief hun partners, klanten, werknemers/contractanten en gegevensontvangers, om te bepalen of een voorgestelde of bestaande transactie binnen het toepassingsgebied van de definitieve regel valt.  De reikwijdte en sancties voor overtredingen van en niet-naleving van de definitieve regel zijn een duidelijke indicatie dat een proces om naleving van de definitieve regel vast te stellen en te waarborgen van cruciaal belang zal zijn voor AMC's en bedrijven in alle sectoren die activiteiten en transacties uitvoeren waarbij persoonlijke of overheidsgerelateerde gegevens betrokken zijn.

Implicaties voor academische medische centra met klinische onderzoeksprogramma's

De definitieve regel voegt een nieuwe laag van complexiteit toe aan de naleving van regelgeving voor AMC's en soortgelijke entiteiten die zich bezighouden met klinisch onderzoek en internationale samenwerkingsverbanden. 

• Onderzoeksstudies en -activiteiten, waaronder onderzoekssamenwerkingen en partnerschappen waarbij biometrische identificatiemiddelen, persoonlijke gezondheidsinformatie of genomische gegevens betrokken zijn, kunnen worden beschouwd als beperkte of verboden transacties als de partnerschappen entiteiten uit aangewezen landen van zorg en/of betrokken personen omvatten. 
• Bestaande en voorgestelde multinationale studies en initiatieven voor het delen van gegevens moeten worden beoordeeld om te bepalen of de definitieve regel van toepassing is op de studie of activiteit, en zo ja, om naleving te waarborgen. 
• Bovendien moeten AMC's er ook voor zorgen dat leveranciers, waaronder cloud- en AI-dienstverleners, geen banden hebben met landen die onder de aandacht staan en dat alle gegevensverwerkingsactiviteiten voldoen aan strenge nieuwe beveiligings- en nalevingsnormen. Zoals hierboven vermeld, zal naleving van de definitieve regel een grondige herziening van de leverancierscontracten van de AMC vereisen. 
• Verder vereist de definitieve regel dat AMC's hun beleid inzake gegevensuitwisseling en protocollen voor meerdere locaties opnieuw beoordelen, en zal deze waarschijnlijk de opname van op nationale veiligheid gerichte nalevingsclausules in bepaalde overeenkomsten inzake gegevensuitwisseling (zoals overeenkomsten inzake gegevensgebruik) en de verbetering van institutionele kaders voor gegevensbeheer vereisen. Deze kaders moeten zo worden ontworpen dat juridische en regelgevende risico's worden vermeden en beperkt, en dat de instelling in aanmerking blijft komen voor federale financiering.

Volgende stappen

Deze definitieve regel schrijft belangrijke categorische regels voor die voorkomen dat Amerikaanse personen overheidsgerelateerde gegevens of gevoelige persoonsgegevens van Amerikaanse burgers, onder meer via commerciële gegevensbemiddelingstransacties, verstrekken aan landen van zorg of betrokken personen. Naleving van de definitieve regel vereist specifiek dat AMC's en instellingen beveiligingsmaatregelen implementeren bij het aangaan van investeringstransacties, arbeidsovereenkomsten en leverancierscontracten waarbij overheidsgerelateerde gegevens of grootschalige verzamelingen van gevoelige persoonlijke gegevens betrokken zijn, zoals medische dossiers, biometrische identificatiegegevens of financiële informatie. 

De vereisten van de definitieve regel zijn bedoeld om te voorkomen dat buitenlandse tegenstanders indirect toegang krijgen tot deze gegevens via commerciële relaties. Door deze specifieke transactietypen te identificeren, tracht de definitieve regel vermeende lacunes in de nationale veiligheid aan te pakken en biedt zij duidelijke, afdwingbare normen die bepalen wanneer en hoe transacties met buitenlandse actoren op het gebied van gegevens worden beperkt.

Het niet naleven van deze nieuwe vereisten kan leiden tot boetes en sancties, toezicht door regelgevende instanties, verlies van federale financiering en handhavingsmaatregelen. Dit maakt naleving van de definitieve regel, wanneer en voor zover deze van toepassing is op een transactie of activiteit, een cruciale prioriteit voor AMC's en instellingen die grote hoeveelheden gevoelige persoonsgegevens verwerken.

Foley is er om u te helpen bij de korte- en langetermijngevolgen van veranderingen in de regelgeving. Wij beschikken over de middelen om u te helpen bij deze en andere belangrijke juridische overwegingen met betrekking tot bedrijfsvoering en branchespecifieke kwesties. Neem contact op met de auteurs, uw Foley-partner of onze Praktijkgroep Gezondheidszorg en Sector Gezondheidszorg & Biowetenschappen met vragen.