Datenschutz im Horizontalen Netz

Transkript

1 Datenschutz im Horizontalen Netz 1 Sicherer Schutz der persönlichen Rechte an Daten ist die Voraussetzung für vernetzte medizinische Forschung Datenorganisation im Nationalen Register und im Kompetenznetz Angeborene Herzfehler Identifikation des Patienten, Generierung des Einwilligung des Patienten - Voraussetzung für die Datenerhebung Pseudonymisierungsdienst und Führung der Forschungsdatenbank Rollen- und Rechteverwaltung, Authentifizierung Depseudonymisierung Sicherheit der Daten Betrieblicher Datenschutzbeauftragter und Datenschutzausschuss Detaildokumentation...8 CIOffice Forschungsnetze, Universität Göttingen, Version 1.3,

2 Kurzinformation zum Datenschutz im AHF-Netz 2 1 Sicherer Schutz der persönlichen Rechte an Daten ist die Voraussetzung für vernetzte medizinische Forschung 1.1 Forschungsnetze müssen Persönlichkeitsschutz garantieren Mit der Vernetzung der Forschung und durch die Nutzung immer sensiblerer medizinischer Daten werden neue Anforderungen an den Schutz der Persönlichkeit vor Verletzungen des informationellen Selbstbestimmungsrechts gestellt. Einschränkungen des Selbstbestimmungsrechts bedürfen einer gesetzlichen Begründung, die aber für die Forschung nur in wenigen Ausnahmefällen gegeben ist: Daher ist die freiwillige und informierte Einwilligung des Patienten seine aktive Beteiligung am Forschungsprozess - die Voraussetzung für effiziente und rechtskonforme klinische Forschung. Bei den traditionellen klinischen Forschungsprojekten beruht der Persönlichkeitsschutz auf der Konvention von Helsinki, dem Patientengeheimnis und den Anforderungen der Datenschutzgesetze. Diese Rechtsgrundlagen fordern angemessene Sicherung der Persönlichkeitsrechte. Da vernetzte medizinische Forschung eine neue Qualität der Verarbeitung personenbezogener Daten vieler Bürger bzw. Patienten einschließt, ist auch eine neue, höhere Qualität des Sicherung der Rechte der Persönlichkeit erforderlich. Die vernetzte Forschung verlangt auch nach sicheren Lösungen dafür, dass die Rechte, die Forscher und behandelnde Ärzte an den Daten haben, garantiert werden können. Diese hohen Anforderungen benötigen für die vernetzte Forschung weiter reichende Sicherheitslösungen, als bisher üblich. Die Regeln für diese Vorgehensweisen werden bundeseinheitlich in einem Arbeitsprozess zwischen der Arbeitsgemeinschaft Wissenschaft der Landesdatenschutzbeauftragten und der Telematikplattform für Medizinische Forschungsnetze (TMF) entwickelt und fortgeschrieben. An diesen Vorgaben orientiert sich das AHF-Netz. Im Forschungsteil des Kompetenznetzes AHF (Horizontales Netz) wird die höhere Qualität des Persönlichkeitsschutzes durch eine Vielzahl organisatorischer und technischer Regelungen erreicht. Deren wichtigsten Elemente sind in dieser Zusammenfassung dargestellt. Eine detaillierte Beschreibung der Prozesse ist getrennt verfügbar. Viele der technischen Lösungen sind komplex und umständlich. Sie werden jedoch so verwirklicht, dass für alle Beteiligten, Patienten, Behandelnde und Forschende kein zusätzlicher Aufwand entsteht. 1.2 Bisherige Sicherung und neues Verfahren Die medizinischen Daten (MDAT) für eine Studie werden bisher in der Regel aus mehreren Kliniken gesammelt und in einer Studiendatenbank gespeichert. Die Daten, welche den Patienten identifizieren (IDAT), verbleiben bei den Kliniken. Die Verknüpfung erfolgt über einen Patientenidentifikator (), der sowohl in den Kliniken als auch in der Studiendatenbank gespeichert ist. In der Regel werden in den Kliniken die IDAT getrennt von den MDAT gespeichert. Das Verfahren gilt als Pseudonymisierung der medizinischen Daten, wobei der als Pseudonym bezeichnet wird. Die Daten traditioneller klinischer Forschung werden für definierte Studien gesammelt und haben da-

3 Kurzinformation zum Datenschutz im AHF-Netz 3 her sowohl von der Zweckbestimmung wie zeitlich einen klar begrenzten Horizont der Nutzung, der durch die informierte Einwilligung des Patienten legitimiert ist. In diesem Zusammenhang ist die beschriebene Form der Pseudonymisierung in der Studiendatenbank in Verbindung mit den bestehenden Rechtsvorschriften ein ausreichendes Instrument zur Sicherung der Patientenrechte. Klinik Forschungs-DB Studien-DB + MDAT + IDAT + MDAT Wird der als Pseudonym genutzt, Das Gefährdungspotential wird hat genutzt, jede Klinik hat jede die Klinik Information die zur durch die Schweigepflicht aller Despeudonymisierung Information zur Depseudonymisierung ihrer auf alle Patienten im beteiligten Ärzte beherrscht Hinblick Daten. Abb. 1: Pseudonymisierung in traditionellen klinischen Studien Anders verhält es sich damit im Rahmen der vernetzten Forschung; die Sammlung von Daten folgt einer deutlich weiter gespannten Zielsetzung: Die Zweckbestimmung der Datenerhebung ist weiter gefasst, zum einen dadurch, dass die Daten für mehrere aktuelle Studien in einer Studiendatenbank vereint gespeichert werden, zum anderen dadurch, dass die Daten auch für künftige, heute noch nicht definierte Forschungsaufgaben zur Verfügung stehen sollen. Neben einem nationalen Datenaustausch zwischen Forschungsinstitutionen wird auch ein internationaler Austausch von Daten angestrebt, wodurch die Zwecksetzung noch mehr erweitert wird. Auch die zeitliche Perspektive für die Nutzung der Daten ist sehr viel weiter gespannt und zielt letztlich darauf, dass die Daten längerfristig für die Forschung verfügbar sind. Die vernetzte Forschung erweitert damit die Nutzung medizinischer Daten gegenüber der traditionellen klinischen Forschung in drei Dimensionen in Pseudonymi - ganz erheblichem Ma- sierungsdienst ße: den Dimensionen Forschungs -DB HPC der Menge, der Zeit Klinik PSN + MDAT PSN und der Zweckbe- + IDAT + MDAT stimmung. Wird der kryptografisch in Außerhalb des PSD gibt es kein das PSN umgeformt, ist die Gefährdungspotential Depseudonymisierung nur mit Hilfe eines geheimen Schlüssels an einer Stelle im FN möglich. Abb. 2: Pseudonymisierung für die vernetzte Forschung Aus der ethischen Bewertung der Sensitivität der medizinischen Daten und der Notwendigkeit, dass sich Patienten auch

4 Kurzinformation zum Datenschutz im AHF-Netz 4 unter den künftigen Bedingungen bereit finden, ihre Daten für die Forschung zur Verfügung zu stellen, ist die Forderung abgeleitet, den Schutz des Patienten vor einer nicht legitimierten Re-Identifikation auf eine neue Qualitäts- und Sicherheitsstufe zu heben. Dazu hat die Telematikplattform für Medizinische Forschungsnetze (TMF) bereits zu Beginn des Jahres 2003 ein Verfahren entwickelt, das mit den Bundes- und Landesbeauftragten für den Datenschutz konsentiert werden konnte und seither als verbindlich für die vernetzte Forschung gilt 1. Das zentrale Instrument zur Verbesserung des Persönlichkeitsschutzes ist eine mehrstufige Pseudonymisierung, wobei die erste Stufe diejenige darstellt, die auch traditionell verwendet wird. In der zweiten Stufe wird der mithilfe eines zentralen Pseudonymisierungsdienstes durch ein Pseudonym (PSN) ersetzt, das nur innerhalb der Studiendatenbank verwendet wird und für die Außenwelt ein Geheimnis darstellt. Bei der Weitergabe von Forschungsdaten an Forschungsinstitutionen wird eine dritte Stufe der Pseudonymisierung wirksam, bei der das Pseudonym der Studiendatenbank erneut kryptografisch transformiert wird. Durch die Summe dieser Maßnahmen wird das Potential zur Re-Identifikation, das in Form der IDAT in den Kliniken und in der zentralen Patientenliste verfügbar ist, minimiert, da sichergestellt ist, dass von außen keine Verknüpfung zur Forschungsdatenbank hergestellt werden kann. Ergänzend muss ferner durch das Design der Studien sichergestellt werden, dass keine unerwünschte Re-Identifikation durch die Daten selbst möglich wird. Während im traditionellen Verfahren der Persönlichkeitsschutz allein auf der Schweigepflicht der Ärzte beruht, verwaltet im modernisierten Verfahren eine zentrale Stelle den Schlüssel zu Re-Identifikation, dessen Nutzung exakten und überprüfbaren Regeln unterworfen ist. 2 Datenorganisation im Nationalen Register und im Kompetenznetz Angeborene Herzfehler Forschungsnetze sind komplexe Gebilde mit verschiedenen Studienzentren und Diensten und einer Vielzahl von Mitarbeitern. Deshalb ist die Organisation des Arbeitsprozesse, der IT-Dienste und der Datenverwaltung so zu gestalten, dass auch innerhalb des Netzes der Persönlichkeitsschutz auf hohem Niveau gesichert ist. Zu den Sicherheitsmaßnahmen gehört, dass die den Patienten identifizierenden Daten (IDAT) grundsätzlich getrennt von den medizinischen Daten (MDAT) gespeichert und unter getrennter Verantwortung verwaltet werden. Im Folgenden werden die Grundzüge dieser Datenorganisation dargestellt, aus der hervorgeht, wie innerhalb des Netzes die Bedingungen für den Zugriff auf die verschiedenen Datenkomplexe gestaltet sind: 1. Studien- bzw. Forschungsdaten a) Die für Studien erhobenen MDAT werden in der Verantwortung des CIOffice Forschungsnetze der Universität Göttingen in der sogenannten Studiendatenbank gespeichert. Diese Daten enthalten den, der einen Bezug zu den IDAT ermöglicht. Zugriff zu diesen Daten haben neben den Prüfärzten, welche die Daten in die Datenbank eingeben, und neben der Administration ausschließlich die Personen, die mit der Qualitätssicherung dieser Daten beschäftigt sind und dabei auch die Verbindung mit den Daten-erhebenden Stellen benötigen. 1 Generische Lösungen der TMF zum Datenschutz für die Forschungsnetze der Medizin, Version 1.10 vom 1. Juli 2003

5 Kurzinformation zum Datenschutz im AHF-Netz 5 b) Nach Abschluss der Qualitätssicherung werden diese Daten in der oben beschriebenen Weise pseudonymisiert und in die Forschungsdatenbank übertragen, die ebenfalls vom CIOffice Forschungsnetze der Universität Göttingen verwaltet wird. Die übertragenen Daten werden nach Abschluss der Qualitätssicherung in der Studiendatenbank gelöscht. Damit kann ein Bezug zum Patienten nur durch eine Depseudonymisierung hergestellt werden, wofür ein spezifisches Regelwerk gilt. c) Zugang zu den Forschungsdaten haben die Forscher der Studien und Forscher, die einen Antrag beim Kompetenznetz stellen und bewilligt erhalten. Die Bewilligung muss die Rechte der Patienten, der Forscher und der Behandler reflektieren, berücksichtigen und nachvollziehbar dokumentieren. Für den technischen Zugriff bestehen zwei Optionen: Entweder erhält der Forscher Zugriff auf die Forschungsdatenbank, und zwar in dem seine Studie betreffenden Ausschnitt, oder die Daten werden exportiert und dem Forscher zur eigenen Verfügung und sicheren Verwahrung überstellt. 2. Registerdaten Als Registerdaten werden soziodemografische und medizinische Daten der AHF-Patienten bezeichnet, wie sie bisher vom Nationalen Register AHF (NR) erhoben worden sind. Die Meldung beruht auf der freiwilligen Beteiligung von Herzzentren, niedergelassenen Kinderkardiologen und ggf. Patienten bei ausdrücklicher Zustimmung der Patienten zur Aufnahme ihrer Daten in das NR. So soll ermöglicht werden, die Teilnahme der Patienten an Studien in der für ihre Gesundheitsprobleme optimalen Weise zu steuern und epidemiologische Aussagen abzuleiten. Der Datensatz wurde im Februar 2005 überarbeitet und als minimal data set definiert. 3. Identifikationsdaten Die einen Patienten identifizierenden Daten werden nach der Aufnahme eines Patienten in eine Studie an die Patientenliste eine Datenbank für Identifikationsdaten übertragen und dort gespeichert. Der Patient erhält einen Patientenidentifikator, der in den meldenden Einrichtungen in der Papierdokumentation vermerkt und bei der Erfassung und Übermittlung von Forschungsdaten und Registerdaten verwendet wird. Die Patientenliste wird ebenfalls vom Organisationsmodul des NR verwaltet. Die Daten nach Ziffer 2 und 3 werden auf zwei getrennten, für diesen Zweck dedizierten Rechnern mit unterschiedlichen Zugriffsrechten gespeichert. Ausschließlich das Personal des Organisationsmoduls verfügt in getrennten Rollen - über diese Zugriffsrechte. 3 Identifikation des Patienten, Generierung des Die eindeutige Identifikation des Patienten wird als ein Mittel der Qualitätssicherung verstanden. Zugrunde liegt ein Szenario, in dem Patienten mit einer chronischen Erkrankung über einen längeren Zeitraum von unterschiedlichen Einrichtungen der Regelversorgung und spezialisierten klinischen Zentren behandelt bzw. beobachtet werden. Von Ärzten erhobene Daten und Daten aus Patientenfragebögen bilden die Grundlagen für eine oder mehrere Studien in einem Forschungsnetz.

6 Kurzinformation zum Datenschutz im AHF-Netz 6 IDAT Herzzentrum Studienzentrale IDAT MDAT IDAT = Identifikationsdaten MDAT = Medizinische Daten = Patientenidentifikator 1. Bestandsvergleich Identität Ähnlichkeit ggf. Abklärung 2. Einwegtransformation IDAT IDAT Patientenliste Abb. 3: Identifikation und Anmeldung eines Patienten in der Patientenliste Ein Patient kann von verschiedenen Einrichtungen zu unterschiedlichen Zeitpunkten für eine Studie angemeldet werden. Es ist auch möglich, dass eine Einrichtung den eines Patienten mehr als einmal abfragt. Durch die Arbeitsweise der Patientenliste wird mit hoher Sicherheit erreicht, dass ein einmal angemeldeter Patient bei einer späteren Meldung wieder erkannt wird, und zwar auch dann, wenn die Stammdaten durch Modifikation oder durch unterschiedliche Schreibweise voneinander abweichen. Jeder Patient erhält einen so genannten Patientenidentifikator, eine nicht sprechende Zeichenkette, die vom -Generator den Stammdaten zugeordnet wird. Die Identifikation eines Patienten geschieht über die Stammdaten, welche den Patienten im Klartext identifizieren (IDAT). Dazu wird die o. g. Patientenliste aufgebaut. Über die IDAT ist im Bestand dieser Liste zu prüfen, ob der Patient bereits erfasst und ein vergeben ist. Im negativen Fall ist ein neuer zu erzeugen und mit den IDAT in den Bestand der Patientenliste zu übernehmen. IDAT werden neben der Patientenliste ausschließlich in den Daten-erhebenden Kliniken gespeichert (vermerkt/abgelegt), und zwar getrennt von den medizinischen Daten (MDAT). Sie werden von der Patientenliste grundsätzlich nicht kommuniziert und können nicht abgefragt werden. Im Sinne getrennter Verantwortlichkeit für verschiedene Datenbereiche wird die Patientenliste vom Organisationsmodul des NR verwaltet, das seinerseits keinen Zugang zu medizinischen Forschungsdaten hat. 4 Einwilligung des Patienten - Voraussetzung für die Datenerhebung Medizinische und Sozialdaten von Patenten können nur dann für die medizinische Forschung gewonnen werden, wenn der Patient dazu eine informierte Einwilligung gegeben hat, die in der Regel in schriftlicher Form geleistet werden soll. Für die Information des Patienten als Voraussetzung für seine Einwilligung werden derzeit in jeder Studie unterschiedliche Dokumente verwendet. Es soll ein Standard entwickelt werden, der dann an die spezifischen Bedingungen der einzelnen Studien angepasst werden soll. 5 Pseudonymisierungsdienst und Führung der Forschungsdatenbank Die für verschiedene Studien erhobenen medizinischen Daten werden nach der Qualitätssicherung in die Forschungsdatenbank (FDB) überführt. Dabei wird der kryptografisch in ein Pseudonym (PSN) transformiert. Das PSN wird in der Forschungsda-

7 Kurzinformation zum Datenschutz im AHF-Netz 7 tenbank als Ordnungskriterium genutzt, so dass es möglich ist, die medizinischen Daten der Probanden periodisch fortzuschreiben und zu ergänzen. Der Pseudonymisierungsdienst ist, sofern keine Re-Identifikation geleistet werden muss, eine reine Maschinenfunktion und wird der Betriebseinheit Informationstechnologie der Universität Göttingen zugeordnet. Die Forschungsdatenbank dagegen, mit den in der zweiten Stufe pseudonymisierten medizinischen Daten, wird vom CIOffice Forschungsnetze der Universität Göttingen geführt. Werden Daten für Forschungszwecke zur Verfügung gestellt, geschieht dies nach einem Antragsverfahren, das vom Ausschuss Datenschutz des KN AHF geprüft werden muss. Nach Bewilligung werden diejenigen Daten, die für den Forschungsansatz relevant sind, aus der Datenbank selektiert. Die Daten werden vor der Weitergabe der dritten Stufe der Pseudonymisierung unterworfen, in dem das PSN erneut kryptografisch transformiert wird: symmetrisch, wenn es sich um pseudonymisierte Daten handeln soll, asymmetrisch bzw. in einer Einwegfunktion, wenn die Daten als anonymisiert gelten sollen. 6 Rollen- und Rechteverwaltung, Authentifizierung Die Rollen- und Rechteverwaltung für Ärzte und Dokumentarkräfte, die Daten für die Datenbank erheben, wird vom RDE-System der ias geleistet. Das Gleiche gilt für die Fachkräfte, die mit der Qualitätssicherung der erhobenen Daten befasst sind. Die Authentifizierung dieser Personengruppe erfolgt über Benutzerkennung und Passwort. Der Übergang zu einer höheren Sicherheitsstufe steht erst zur Debatte, wenn die Sicherheitsinfrastruktur dafür im Rahmen der Einführung der elektronischen Gesundheitskarte und des elektronischen Arztausweises flächendeckend zur Verfügung steht. Abweichend von diesem Grundsatz soll für das Personal der zentralen Dienste, also Patientenliste, Qualitätssicherung, Pseudonymisierungsdienst und Führung der Forschungsdatenbank, kurzfristig eine PKI eingeführt und das Personal für Zwecke der sicheren Authentifizierung mit chipkartengebundenen Zertifikaten ausgestattet werden. Auch für die Server der zentralen Dienste sollen X.509v.0.3-Zertifikate eingesetzt werden. Die zugehörigen technischen und personellen Funktionen sollen beim CIOffice Forschungsnetze der Universität Göttingen angesiedelt werden. 7 Depseudonymisierung Die Depseudonymisierung ist zweistufig angelegt: Die erste Stufe wird - technisch gesehen - auf dem inversen Weg der Pseudonymisierung geleistet, durch die Transformation eines PSN Patient in einen Patient. In der zweiten Stufe werden die an die Patientenliste übersandt, um sie dort um die Identifikationsdaten zu ergänzen. Alternativ können sie auch den jeweils zuletzt-behandelnden Kliniken zur Re-Identifikation des Patienten übersandt werden. Beide Stufen können nur von autorisierten Personen nach einem strengen Regelwerk und nach Genehmigung eines Antrags durch den Ausschuss Datenschutz (s. u.) durchgeführt werden. Die erste Stufe wird vom CIOffice Forschungsnetze der Universität Göttingen, die zweite Stufe vom Organisationsmodul des NR realisiert.

8 Kurzinformation zum Datenschutz im AHF-Netz 8 Anlässe für eine Depseudonymisierung stellen Gelegenheiten dar, Patienten und ihre Ärzte über Forschungsergebnisse zu informieren, die für die Lebensführung oder Therapie relevant sind, oder Patienten für neue Studien zu gewinnen. Ein weiterer Anlass kann sein, dass ein Patient Auskunft über die Daten fordert, die über ihn gespeichert sind. Alle diese Fälle werden im Sicherheitskonzept bzw. in der Sicherheitspolicy in Form eines Regelwerks beschrieben. 8 Sicherheit der Daten Die Datenschutzgesetze verlangen, dass personenbeziehbare Daten nicht verfälscht oder versehentlich gelöscht werden können. Um diese Forderung zu erfüllen und um die wertvollen Forschungsdaten sicher speichern und kommunizieren zu können, betreibt das CIOffice Forschungsnetze aufwendige technische Verfahren, die gesondert im Detail dokumentiert sind. 9 Betrieblicher Datenschutzbeauftragter und Datenschutzausschuss Das Kompetenznetz AHF und das Nationale Register stellen virtuelle Betriebe dar, die nach Ansicht des Arbeitskreises Wissenschaft der Landesdatenschutzbeauftragten einen betrieblichen Datenschutzbeauftragten benötigen. Da die wichtigsten technischen Systeme in der Universitätsklinik Göttingen betrieben werden, soll deren Datenschutzbeauftragter, Dr. W. Döler, in der angesprochenen Funktion tätig werden. Das Netz verfügt darüber hinaus über einen Datenschutzausschuss, der vom Vorstand berufen wird. Er ist vor allem für die Begutachtung und Freigabe von Depseudonymisierungsanträgen zuständig, kann jedoch bei allen anderen Fragen zugezogen werden. 10 Detaildokumentation Verschiedene technische Papiere beschreiben und dokumentieren die im Netz und Register geltenden Regeln im Detail. Sie sind in Zusammenarbeit mit der Fa. Debold & Lux, Hamburg, einem in diesem Bereich seit Jahren national und international tätigen Unternehmen, entstanden.