Personalisierte Medizin und IT Aspekte des Datenschutzes

Transkript

1 Personalisierte Medizin und IT Aspekte des Datenschutzes Klaus Pommerening IMBEI, Universitätsmedizin Mainz GMDS-Jahrestagung Mannheim 7. September 2010 Personalisierte (individualisierte) Medizin Aktuelle Entwicklungen zunehmender Bedeutung in zwei Bereichen: 1. maßgeschneiderte Therapie auf der Basis der Pharmakogenetik, 2. assistierende Technologie (AAL). Datenschutzproblematik in beiden Bereichen: Erzeugung umfangreicher individueller Datensätze genetische Daten, Gesundheitsdaten, sozioökonomische Daten, Daten zum Lebensstil und Verhaltensdaten. 2 1

2 Reidentifizierungsrisiko Individualisierte Medizin erzeugt hochdimensionale individuelle Datensätze. Externes Wissen nimmt zu und ist immer leichter beschaffbar: genetische Fingerabdrücke (ausländische Anbieter < 1000 $), soziale Netze und andere Internet-Aktivitäten (Bewegungsprofile, freiwillige Angaben über Tagesablauf, Medikamente, Suchanfragen, intelligente Stromzähler, ). Schon die Uhrzeit einer einzelnen Arztvisite kann zur Identifizierung ausreichen. 3 Schutz genetischer Daten Gendiagnostik-Gesetz (2009) verbietet unbefugte Durchführung und Nutzung genetischer Analysen. TMF-Datenschutzkonzept für Biobanken (2006) schützt genetische Daten im Forschungskontext. Deutscher Ethikrat zu Humanbiobanken (Juni 2010) 5-Säulen-Konzept mit Forderungen an Gesetzgeber: Biobankengeheimnis, Nutzungsbindung, laufende Evaluation durch Ethikkommission, Qualitätssicherung der Datenschutzmaßnahmen (z. B. Audit), Transparenz (z. B. Biobankregister). Insgesamt recht hohes Problembewusstsein in Politik und Wissenschaft. 4 2

3 Schutz von AAL-Daten Problembewusstsein bisher wenig ausgeprägt, Einführung der Technik schleichend in vielen Einzelprojekten, von Nutzenerwägungen und Machbarkeit dominiert. Hauptproblemkreise: Sicherheit der mobilen IT, informationelle Selbstbestimmung bei der Datenerfassung, automatisierte Entscheidungen (z. B. Alarme), leicht zugängliches Zusatzwissen mit unkontrollierbarem Umfang, Freiwilligkeit und Tragweite einer Einwilligung? 5 Rahmenbedingungen von AAL-Projekten Medizinische AAL-Projekte finden im Behandlungssowie im Forschungskontext statt. Insoweit Parallelen zu anderer medizinischer Versorgung und Forschung. Tragweite der vorhandenen DS-Konzepte ist zu prüfen. Zugriffe auch durch Bezugspersonen, Sozialstation, Notrufleitzentrale, Sozialdienstleister,... Bei automatisierter Auswertung/ Reaktion: erheblicher Eingriff in die informationelle Selbstbestimmung und erhebliches Risiko durch Systemfehler. 6 3

4 Datenschutz-Anforderungen für Daten der individualisierten Medizin Keine Freigabe von Datensammlungen (Public Use) wegen des unkontrollierbaren RI-Risikos (trotz Anonymisierung ). Scientific Use nur unter kontrollierten Bedingungen ( ordentlich aufgesetzte Projekte) analog TMF-Datenschutzkonzept mit verbindlichem organisatorischem Rahmen. Empfehlung: getrennte Speicherung von genetischen Analysedaten, AAL-Daten und sonstigen Patientendaten. 7 Anforderungen an IT-Sicherheit im AAL-Bereich Grundforderung: Alle Objekte (Sensoren, Mobilgeräte, Server, Datennutzer) im Netz brauchen starke wechselseitige Authentisierung sowie Vertraulichkeit und Integrität der Kommunikation. Das geht mit angemessenem Schutzniveau nur auf Basis einer etablierten PKI (oder TTP-Architektur). Passwortschutz und verschlüsselte Datenübertragung wichtig, aber allein unzureichend. Absicherung der erlaubten Datenzugriffe durch starke Authentisierung und Token. Angehörige als IT-Laien, Fernwartungszugänge. 8 4

5 Schutz von Daten aus AAL-Umgebungen Workshop der TMF* im Juli 2010 Teilnehmer aus Praxis, Technik, MI, Datenschutz, Recht Arbeitsgruppen Architektur, Prozesse, Organisation Fazit der AG Datenschutzgerechte Architektur (vereinfacht): Das TMF-Datenschutzkonzept deckt Datenspeicherung und -verwertung i. W. ab. Die Datenerfassung ( Heimbereich ) erfordert zusätzliche Maßnahmen. (* Technologie- und Methodenplattform für die vernetzte medizinische Forschung e. V.) 9 Die drei Bereiche der AAL-Architektur Heimbereich ( zu Hause ) Geräte, Sensoren, Sensornetz a b Dienstleistungsund Behandlungsbereich (patientennah) Behandlung, Patientenakte Notfalldienste a b Sekundärnutzungsbereich (patientenfern) Auswertung klinische Forschung c d Geräte-Service Customer Service c epidemiologische Forschung Übergang: Gateway mit Kontrolle durch Betroffenen Übergang: Identitätsmanagement; Datentreuhänder 10 5

6 Tragweite des TMF-Datenschutzkonzepts Deckt den Bereich 2 ab, soweit Behandlungskontext gegeben. Deckt den Bereich 3 (Sekundärnutzung) voll ab Zusatzüberlegungen zur Pseudonymisierung von Daten, die direkt aus dem Heimbereich kommen. Deckt den Übergang von Bereich 2 in Bereich 3 ab. Deckt den Bereich 1 (Heimbereich) nicht ab. Deckt Datenschutzanforderungen für Akteure (Rettungsdienst, Pflegedienst, ) nur oberflächlich ab. Leitlinien zur Aufklärung und Einwilligung für alle Bereiche nutzbar. 11 Datenschutz im Heimbereich: Das Gateway Datenübertragung aus dem Heimbereich in andere Bereiche mit Identitätsmanagement (durch Betroffenen kontrollierbar/ steuerbar) evtl. Policy-Implementation (Erforderlichkeit, Zulässigkeit, Alarm- Auslösung, ) Filter/ Entscheidungsmodul Zugriffe von außen in den Heimbereich Gerätewartung Protokollierung aller Datenübertragungen und Zugriffe Kontrolle durch Betroffenen/ Vertrauensperson Interventionsmöglichkeit, z. B. temporäres Abschalten Die Übertragung kann auch ein Transport per Datenträger sein. Wichtig: Prinzipien der Erforderlichkeit, Transparenz, Intervention, Nichtverkettbarkeit,

7 Literatur Health Academy Bd. 14 (2010): Personalisierte Medizin (Hrsg. W. Niederlag, H. U. Lemke, O. Golubnitschaja, O. Rienhoff) Health Academy Bd. 15 (2010): Personalisierte Medizin und Informationstechnologie (Hrsg. W. Niederlag, H. U. Lemke, O. Rienhoff) TMF-Workshop: Ergebnisse als Band der TMF-Schriftenreihe (2010?) 13 Zusammenfassung in Thesen 1. Das Reidentifikationsrisiko hochdimensionaler Datensätze aus der individualisierten Medizin erfordert besondere Datenschutzmaßnahmen. 2. Der Schutz genetischer Daten wird bereits weitgehend berücksichtigt, der Schutz von AAL-Daten noch nicht. 3. Die IT-Sicherheit im AAL-Bereich ist noch nicht ausreichend etabliert. 4. Das TMF-Datenschutzkonzept deckt auch weite Bereiche der individualisierten Medizin ab. Zusätzlich benötigt werden im AAL-Heimbereich Kontrollmöglichkeiten durch die Betroffenen. 14 7