Das TMF-Datenschutzkonzept für vernetzte medizinische Forschung und Biobanken Klaus Pommerening Datenschutz-Fachtagung Berlin, 1.

Transkript

1 Das TMF-Datenschutzkonzept für vernetzte medizinische Forschung und Biobanken Klaus Pommerening Datenschutz-Fachtagung Berlin, 1. Oktober 2009 Coautoren: J. Drepper (TMF), T. Ganslandt (U Erlangen), K. Helbing (U Göttingen), T. Müller (U München), U. Sax (U Göttingen), S. Semler (TMF), R. Speer (U Leipzig) gefördert vom

2 Medizinische Forschung Grundlagenforschung Biomaterialien, genetische Daten (+ klinische Annotation) Klinische Studien Prüfung neuer Diagnose- und Therapieverfahren direkt am Patienten Strenge Regulierung durch AMG * (und MPG ** ) Epidemiologische Studien Krankheitsursachen und -trends im Bevölkerungsbezug Langzeiteffekte therapeutischer Maßnahmen Genügende Fallzahlen durch Kooperation und Vernetzung multizentrische Studien, besonders bei seltenen Erkrankungen oder großer Variabilität Langzeitspeicherung und -auswertung oft notwendig Datenfluss aus der Versorgung in die Forschung? * Arzneimittelgesetz ** Medizinproduktegesetz 2

3 Datenschutz-Herausforderungen Übergang von Daten aus der Versorgung in die Forschung bedeutet Zweckänderung. Strikte Schranke im SGB * V (Gesundheitstelematik). Daten übertragbar, aber nicht direkt nutzbar. (Fast immer) nur mit Einwilligung erlaubt. Einwilligungserklärung gilt nur für definierten Zweck, beschränkte Zeit und bekannten Nutzerkreis. Reichweite für medizinische Forschung? Wirksamkeit von Anonymisierung (und Pseudonymisierung) zweifelhaft: hochdimensionale Datensätze, unbekanntes externes (künftiges) Zusatzwissen, volle genetische Informationen in Biomaterial, nicht teilbar. * Sozialgesetzbuch SGB V 291a 3

4 [Primärnutzung] Behandlungskontext Barriere: Ärztliche Schweigepflicht/ SGB V 291a [Sekundärnutzung/Forschungskontext] klinische Forschung Versorgungsforschung Export erlaubt, wenn - anonyme Daten, - Einwilligung*, - Gesetzesvorschrift direkte Erfassung Register/ epidemiologische Forschung [* Einwilligung kann nur für konkreten Zweck, Zeitraum und Zielpersonen gegeben werden sonst nichtig!] 4

5 Versorgung und Forschung Praktische Trennung von Versorgung und Forschung oft unscharf: wissenschaftsgetriebene Therapiestudien, Studienleiter als Konsiliar, Heilversuche und Beobachtungsstudien, Netze seltener Krankheiten nur sinnvoll bei zentraler Sammlung von Behandlungsdaten, Hypothesengewinnung aus Behandlungsdaten. Typisch: Netze für seltene oder chronische Krankheiten nutzen dieselben Daten für Versorgung: Langzeit-Dokumentation des Verlaufs, Forschung: Langzeit-Beobachtungsstudien. 5

6 Bedrohungsszenarien Unbefugter Zugriff auf Informationen: Gegenstand des Sicherheitskonzepts, hohe Anforderungen an IT-Sicherheit. Rückidentifizierungsrisiko: Gegenstand des Datenschutzkonzepts, hohe Anforderungen an datenschutzfördernde Techniken und verbindliche organisatorische Rahmenbedingungen. Wesentliches Ziel des Datenschutzkonzepts: Das Rückidentifizierungsrisiko muss minimiert und kontrolliert werden. 6

7 Die TMF Telematikplattform für medizinische Forschungsnetze Verein zur Förderung vernetzter medizinischer Forschung (e. V. seit 2004, davor BMBF-Projekt) Mitglieder: Kompetenznetze, Netze seltener Erkrankungen, infektionsepidemiologische Netze, NGFN *,... Ziele u. a. [Achtung: nicht Gesundheitstelematik!]: Klärung der rechtlichen und ethischen Rahmenbedingungen, gemeinsame Infrastruktur (Definition, evtl. Aufbau), Schnittstelle zwischen Forschung und Versorgung. Arbeitsgruppen u. a.: Datenschutz, IT-Infrastruktur und Qualitätsmanagement, Biomaterialbanken. * Nationales Genomforschungsnetz 7

8 Rechtliche Rahmenbedingungen Verschiedene Bereiche mit unterschiedlichen Regeln: Behandlungskontext, klinische Studien, Forschungskontext, Biomaterialien. Datenschutzrecht und Arztrecht (Schweigepflicht), bei Biomaterial zusätzlich Eigentumsrecht und Persönlichkeitsrecht (an abgetrennten Körperteilen ). Grundrechtskonflikt informationelle Selbstbestimmung Forschungsfreiheit. Medizinische Forschung ist nützlich und (auch von den Patienten!) erwünscht. Abwägung von Grundrechten nötig, Prinzip der Verhältnismäßigkeit. 8

9 Lösungsansätze Lockerung der Reichweite der Einwilligungserklärung durch zusätzliche Maßnahmen. Informationelle Gewaltenteilung, unterstützt durch Netzarchitektur und Datentreuhänderschaft. Pseudonymisierung (auch mehrstufig). Depseudonymisierung nur unter besonderer Kontrolle. Durch Pseudonymisierung möglich: Zusammenführung von Daten, Rückmeldung von Forschungsergebnissen, Rückzug von Proben, Rekrutierung für künftige Projekte (sofern eingewilligt). Wahrung der Kontrolle durch die Betroffenen. Strikter, verbindlicher organisatorischer Rahmen. Kein public use (frei nutzbare Datensammlungen). 9

10 Anonymisierung Wirksamkeit der Anonymisierung muss immer wieder neu nach dem aktuellen Stand bewertet werden (z. B. bei Weitergabe). Für eine langfristige Nutzung von Daten und Biomaterialien sollte die Einwilligung eine pseudonymisierte Verarbeitung vereinbart werden. Absolute Anonymisierung von Proben ist nicht möglich. Die Rückidentifizierung ist noch sehr aufwendig. Anonymisierbarkeit (de facto) z. Z. noch angenommen. Eine geplanten Anonymisierung von Materialien ist mitzuteilen. Der Patient ist darauf hinzuweisen, dass er bestimmte Rechte nach Anonymisierung nicht mehr wahrnehmen kann: 10

11 Anonymisierung/Pseudonymisierung... betreffen Datenempfänger als natürliche Person, bei multizentrischen Studien mit Konsiliartätigkeit unnötig gegenüber Studienleiter, der den Patienten sowieso kennt, aber nicht gegenüber dessen Forschungspersonal, also Studiendatenbank pseudonym zu führen. Rückidentifizierungsrisiko muss im Einzelfall beurteilt werden Public-Use-Dateien mit medizinischen Daten kaum möglich, da Datensätze hochdimensional und Zusatzwissen beliebiger Nutzer nicht bekannt. 11

12 Das Problem der Altproben Proben, die aus dem Behandlungszusammenhang stammen und von denen noch Reste vorhanden sind. Wertvolles Rohmaterial für die Forschung, aber entsprechende Einwilligung liegt nicht vor; Nutzung in rechtlicher Grauzone. Bis auf weiteres anonymisiert für die Forschung verwenden, Rechtlich problematisch wegen Persönlichkeitsrecht und Eigentumsrecht. Für Neuproben Klausel im Behandlungsvertrag vorsehen, Für eine langfristige Nutzung sollte die Einwilligung in eine pseudonymisierte Aufbewahrung + Eigentumsübertragung vereinbart werden. Beispiel: Ich willige ein, dass meine Proben nach Löschung der identifizierenden Daten (bzw. Pseudonymisierung) zu Forschungszwecken (...) genutzt werden, und übertrage das Eigentum an ihnen dem QQQ-Klinikum. 12

13 Pseudonymisierung Ersatz der identifizierenden Merkmale durch eine (nichtsprechende) Zeichenkette [ 3 (6a) BDSG] mit Kontrolle der Rückverknüpfung indirekter Personenbezug, selbstverwaltete Pseudonyme oder Treuhänderlösung oder gesetzliche Regelung (z. B. Krebsregister). In der medizinischen Forschung in der Regel nur die Treuhänderlösung sinnvoll. Aber: pseudonyme Daten personenbeziehbar (durch TTP * ). Daher Pseudonymisierung rechtlich nicht äquivalent zur Anonymisierung, nur mit Einwilligung erlaubt. (Aber: Weitergegebene pseudonymisierte Daten gelten als anonymisiert, wenn Empfänger keine Möglichkeit zur Depseudonymisierung hat.) * Trusted Third Party, hier: Datentreuhänder-Dienst 13

14 Basismodell der Pseudonymisierung Individuum Nutzdaten durchreichen TTP (PSN- Erzeugung) Datenbank Identität Pseudonym Schlüssel oder Referenzliste (»Codebuch«) [streng geheim] Maier, Johannes 6AZCB661 Maier, Josef KY2P96WA Maier, Jupp L85FD23S Datenleck L85FD23S Angreifer 14

15 Alternative: Schlüssel oder Referenzliste Pseudonym-Erzeugung durch kryptographische Verschlüsselung; garantierte Eindeutigkeit: Pseudonym = verschlüsselter Personenidentifikator (PID). Voraussetzung: Es gibt einen eindeutigen Identifikator D. h., ein Identitätsmanagement ist nötig. Institut für Medizinische Biometrie, Die Zentralstelle speichert nichts außer ihrem geheimen Schlüssel (z. B. auf SmartCard).»Schlanker«TTP-Service. In der medizinischen Forschung haben beide Verfahren ihren Platz. 15

16 Das TMF-Datenschutzkonzept Erste Version für typische Netze: Modell A (versorgungsnahe zentrale Datenbank) Modell B (versorgungsferne zentrale Datenbank) Ergänzt durch Modell BMB = Datenschutzkonzept für Biomaterialbanken Basis: Gutachten führender Medizin- und Datenschutzrechtler. Konsens vom AK Wissenschaft der Datenschutzbeauftragten. In vielen Netzen implementiert mit mehr oder minder großen Problemen. In Arbeit: Revision einheitliches Modell mit modularer, skalierbarer Netzarchitektur. 16

17 TMF-Modell A Behandlungszusammenhang (lokal) MDAT IDAT Zentrale Datenbank MDAT PID Export zur Sekundärnutzung anonymisiert oder mit PSN MDAT = Medizinische Daten IDAT = Identitätsdaten TTP = Trusted Third Party IDAT PID Patientenliste (TTP) PID = (pseudonymer) Patientenidentifikator PSN = Pseudonym 17

18 TMF-Modell A Versorgungsnahe Datenbank Zweck: Forschung im direkten Patientenbezug, pseudonyme Speicherung, personenbezogener Zugriff für behandelnde Ärzte. PID dient als Pseudonym und ist nur in DB und TTP bekannt. Zugriff über (temporäres) Zugriffsticket. MDAT und IDAT kommen nur beim behandelnden Arzt zusammen. Export zur Auswertung/ Forschung nur mit zusätzlichem Anonymisierungs- oder Pseudonymisierungsschritt nach Abschätzung des RI-Risikos, mit vertraglicher Vereinbarung. Export-Pseudonyme werden nicht wiederverwendet. 18

19 TMF-Modell B Datenquelle(n) MDAT IDAT Nutzdaten verschlüsselt durchreichen Pseudonymisierungsdienst (TTP) PID PSN Zentrale Datenbank MDAT PSN IDAT PID Patientenliste (TTP) TTP = Trusted Third Party MDAT = Medizinische Daten IDAT = Identitätsdaten PID = Patientenidentifikator PSN = Pseudonym 19

20 TMF-Modell B Versorgungsferne Datenbank, Zweck: Forschung ohne direkten Patientenbezug, Speicherung und Zugriff pseudonym. TTP Patientenliste sorgt für eindeutige Zuordnung von Daten aus verschiedenen Quellen, auch, wenn diese fehlerhaft. TTP Pseudonymisierungsdienst verschlüsselt PID zu PSN. Schlanke TTP, speichert nur Schlüssel. MDAT werden (asymmetrsich) verschlüsselt durchgereicht Export ebenfalls mit Einmal-Pseudonymen. 20

21 TMF-Modell BMB (entspricht TMF-Modell B : MDAT in patientenferner Forschungsdatenbank - andere Varianten möglich.) 21

22 TMF-Modell BMB Zweck: Sammlung von Proben in Biobank für Forschungszwecke, insb. genetische Forschung. Physische Trennung von Material und Daten. Trennung von Analysedaten und medizinischen Daten ( Annotation ). Trennung von IDAT und MDAT wie Modell B (oder A). Pseudonymisierungsdienst PID PSN wie Modell B. Pseudonyme Probenkennzeichnung LabID in Probenbank. Verweis auf Probe in MDAT verschlüsselt: LabID tr. Dies ist ein Maximalmodell für zentrale Biobanken. Vereinfachte Versionen und Verhältnismäßigkeitskriterien existieren. 22

23 Das revidierte (künftige) Modell Vereinigung der Modelle A, B und BMB mit Erweiterung für klinische Studien. Vier Bereiche ( Module ) mit unterschiedlichen rechtlichen Rahmenbedingungen und separater Verantwortlichkeit: Versorgungsmodul, Studienmodul, Forschungsmodul, Biobankmodul. In jedem Modul eigenes Pseudonymisierungsschema. Pseudonym- (und ggf. IDAT-) Zuordnung im Modul Identitätsmanagement mit den Komponenten Patientenliste, Pseudonymisierungsdienst. 23

24 Behandler Prüfarzt IDAT MDAT V Versorgungs- DB Patienten- Studien-DB PID MDAT Liste V SIC MDAT PID IDAT SIC S Forschungs- DB PSN MDAT F LabID tr LabID LabID tr Pseudonymis.- Dienst PID PSN IDAT SIC MDAT S Studienmodul Forschungsmodul Analysen- DB Biobank LabID ProbDAT Identitätsmanagement Versorgungsmodul 24

25 Die Versorgungs-Datenbank enthält Daten, die für die Versorgung des Patienten relevant sind, steht im unmittelbaren Behandlungskontext, ist aber einrichtungsübergreifend und wird daher pseudonym (PID) geführt. Behandler haben einen personenbezogenen Zugriff auf die Daten ihrer Patienten (lesend und schreibend). Der Zugriff geschieht mit Hilfe der Patientenliste (ID- Management für Patienten) und mit Hilfe eines Verzeichnisdienstes (ID-Management für Benutzer). Nutzung auch für Langzeit-Beobachtungsstudien. 25

26 Die Versorgungs-Datenbank kann Teil einer epa-struktur sein (Cave: rechtliche Probleme!), kann aber auch unabhängig eine vom Netz geführte krankheitsspezifische Teil-ePA umsetzen (Cave: Aufwand!), oder als forschungsorientierte klinische Datenbank im Sinne des alten Modells A betrieben werden. An der technischen Umsetzung ändert diese Unterscheidung wenig. (Unterschied im Zugriff durch den Patienten selbst bzw. in der direkten Nutzung der Daten.) 26

27 Die Patientenliste dient dem Identitätsmanagement von Patienten. hat für die VDB die Funktion wie im alten Modell A. hat für die SDB eine ähnliche Funktion, nur dass hier gemäß den AMG-Prozeduren der SIC (im Gegensatz zum PID) auch dem Prüfarzt bekannt ist. muss ggf. nach AMG als Subsystem validiert sein. hat evtl. weitere pseudonyme Kennungen zu verwalten: z. B. LabID für Proben und genetische Analysen, 27

28 Die Studien-Datenbank dient zur Durchführung einer (oder mehrerer) klinischer Studien nach den Regularien des AMG und der guten klinischen Praxis (GCP). enthält Daten zum Patienten, die für die Studie relevant sind (Überschneidung mit den Daten der Versorgung). steht im unmittelbaren Behandlungskontext, soweit es um Zugriffe durch den Prüfarzt geht;... steht im Forschungskontext, wenn es um Zugriffe durch den Sponsor oder Studienleiter geht. ist einrichtungsübergreifend und wird daher pseudonym (SIC * ) geführt. Prüfärzte haben einen personenbezogenen Zugriff auf die Daten ihrer Patienten (lesend und schreibend). * Subject Identification Code 28

29 Die Forschungs-Datenbank dient zur Langzeitspeicherung pseudonymisierter medizinischer Daten für spätere Forschungsprojekte direkt zur epidemiologischen Forschung, zur Rekrutierung geeigneter Fälle für neue klinische oder epidemiologische Forschung, zur klinischen Annotation für Biobanken. bietet den nochmals pseudonymisierten Export geeigneter Daten (evtl. je nach Beurteilung des RI-Risikos einen Direktzugriff für Forscher). 29

30 Der Pseudonymisierungsdienst dient der Pseudonymisierung beim (endgültigen) Übergang von Versorgung in die Forschung (oder Übergang von der zeitlich befristeten SDB in die Langzeitforschung). benützt einen geheimen Schlüssel und kann bei der Depseudonymisierung nicht umgangen werden. 30

31 Redundanz und Verhältnismäßigkeit Redundanz ist wichtiges Grundprinzip bei Sicherheitskonzepten (Mehrfachabsicherung): Was passiert, wenn eine Sicherheitskomponente ausfällt? Was passiert, wenn ein Teilnehmer nicht regelkonform agiert? Verhältnismäßigkeit: (bedeutet selten: Anpassung eines kontinuierlichen Parameters, sondern meistens...) Verzicht auf einige Redundanzen oder Ersetzung durch einfachere Vorkehrungen Beispiel: Verlass auf ärztliche Schweigepflicht im Behandlungszusammenhang statt Einsatz einer unabhängigen TTP, wenn vor Ort pseudonymisiert wird. 31

32 Kriterien für Verhältnismäßigkeit Größe und Komplexität der Datenbank oder des Netzes, Dauer der Aufbewahrung, Brisanz der Daten- oder Biomaterialbank, z. B. stigmatisierende Krankheit, Stringenz der Organisation, z. B. Policies, SOPs, etabliertes Monitoring, Z. B. notarielle Führung der Patientenliste bei sehr großem Patientenbestand, wenn Daten oder Proben attraktiv für Rückidentifizierungsversuche. Sonst reicht evtl. organisatorische Unabhängigkeit. Unter Umständen reicht auch dezentrale Patientenliste ( an der Quelle ) bei getrennter Datenbank-Administration. Aber: Mangelnde IT-Ressourcen sind kein Verhältnismäßigkeitskriterium. 32

33 Beispiele Netze seltener Erkrankungen: nur Versorgungsmodul, oft mit Biomaterialbank. Beispiele: Skelettdysplasien, Epidermolysis Bullosa. Große Netze mit allen Modulen: KN * Angeborene Herzfehler, KN Pädiatrische Onkologie und Hämatologie, KN Parkinson. Aufbau eines klinischen Data Warehouse, z. Z. aktuelles Thema an vielen Kliniken eine Forschungsdatenbank, kliniks- aber nicht abteilungsintern. Einwilligung? Nutzung? * Kompetenznetz 33

34 Praktische Vereinfachungen Nutzung von TMF-Produkten (kostenlos) TTP-Software-Komponenten, Online-Assistent für Aufklärung und Einwilligung, Musterdokumente, z. B. Verträge, SOPs,... Vereinfachungen durch zentrale Dienstleistungen? Z. B. TTPs an unabhängigen Klinik-Rechenzentren abgesiedelt. Für Infrastruktur (z. B. PKI) auf Gesundheitstelematik warten. 34

35 Die Interessen der Betroffenen Betroffene i. d. R. an medizinischer Forschung interessiert, selbst wenn Nutzen erst für künftige Generationen. Mitsprache von Patientenorganisatonen. Direkte Kontrolle über Datenverarbeitung nicht realistisch, Peter G. Neumann*: Privacy in health-care is largely extrinsic. aber Erhalt der Verfügungsgewalt, insbesondere des Widerrufssrechts, Verbindlichkeit von Abmachungen (PGN: well-defined enforceable policies ), neutrale Datentreuhänderschaft. Entscheidend: Aufklärung und Einwilligung, auch Aufklärung über Restrisiken, Transparenz und Nachvollziehbarkeit, klare Verantwortlichkeiten und Ansprechpartner, Aufbau von Vertrauen, * Identity and trust in context, NIST

36 Einwilligungserklärung Die verbindliche a-priori-festlegung von Zweck, Zeitraum, Nutzerkreis gehört prinzipiell zu einer wirksamen Einwilligungserklärung, widerspricht aber dem Nutzen einer Langzeit-Datensammlung oder Biobank. Daher Abschwächung: Zweck und Nutzungsdauer der Daten und Proben so konkret wie möglich. Der Forschungszweck darf offen formuliert werden. Durch Widerrufsrecht angemessene Kontrolle für Patienten über Proben und Daten. Adäquate Aufklärung und abgestufte Vorlage zur Einwilligung soweit im Kontext sinnvoll machbar erlauben dem Patienten individuelle Festlegung der Reichweite als Ausdruck des Rechts auf informationelle Selbstbestimmung. Kompensation durch zusätzliche Maßnahmen (= TMF-DS-Konzept) 36

37 Checklisten und Online-Assistent... zur Aufklärung und Einwilligungserklärung: TMF-Publikation als Buch Ergänzung für Biomaterialbanken. Online-Assistent mit Benutzerführung zur Abarbeitung der Checkliste, Musterformulierungen, ausführlichen Erläuterungen. Produkte & Services, Informed Consent Online-Assistent Wer eine Einwilligungserklärung für ein medizinisches Forschungsprojekt aufsetzen muss, sollte dieses Angebot nutzen! 37

38 Schlussfolgerungen Das TMF-Datenschutzkonzept ermöglicht langfristige Datenakkumulation für medizinische Forschung und Versorgung, Aufbau von Biobanken. Dabei Rechtssicherheit für Betreiber und Wahrung der Persönlichkeitsrechte der Betroffenen. Restrisiken müssen benannt und (durch vertragliche Regelungen) kontrolliert werden. Konkrete Netze nutzen das generische Konzept (bisher) durch Auswahl A/ B/ BMB und Adaption, (künftig) durch Auswahl geeigneter Module und Skalierung von Maßnahmen nach Verhältnismäßigkeitskriterien. Achtung: Revidiertes Konzept noch nicht vom AK Wissenschaft beurteilt. 38

39 39

40 TMF-Schriftenreihe Band 1: Reng u. a.: Generische Lösungen zum Datenschutz (März 2006) Band 2: Simon u. a.: Biomaterialbanken Rechtliche Rahmenbedingungen (September 2006) Band 3: Harnischmacher u. a.: Checkliste und Leitfaden zur Patienteneinwilligung (Dezember 2006) Band 4: Stausberg u. a.: Datenqualität in der medizinischen Forschung (April 2007) Band 5: Pommerening u. a.: Biomaterialbanken Datenschutz und ethische Aspekte (Anfang 2010) Band 6: Kiehntopf u. a.: Qualitätsmanagement für Biomaterialbanken (2008) Band 7: Goebel/Scheller: Verwertungsrechte in der vernetzten medizinischen Forschung (2008) 40