Datenschutzkonzepte und Rechtsrahmen zur Sekundärnutzung klinischer Daten in der Cloud. Dr. Astros Chatziastros Dr.

Transkript

1 Datenschutzkonzepte und Rechtsrahmen zur Sekundärnutzung klinischer Daten in der Cloud Dr. Astros Chatziastros Dr. Johannes Drepper

2 take home message Sekundärnutzung kann grundsätzlich rechtskonform ausgestaltet werden Anonymisierung/Pseudonymisierung zentraler Bestandteil des generischen c4h-konzepts c4h-modelle 1 3 decken einen weiteren Bereich an Sekundärnutzungsszenarien ab Vertragliche Geheimhaltungsverpflichtung zwischen Klinik und Cloud-Betreiber Musterverträge zur weiteren technisch-organisatorischen Absicherung (insb. Modell 3)

3 Architektur cloud4health zur Erschließung freitextlicher klinischer Routinedaten mit Cloud-Infrastrukturen KLINIK STUDIENPORTAL Datenaufbereitung Deidentifikation strukturierte Daten Arztbriefe Berichte etc. Annotationen Data Mining CLOUD Text Mining Data Warehouse

4 Modell 3 Modell 2 Modell 1 Modellszenarien 3 cloud4health-modelle ohne Einwilligung (retrospektiv) Anonymisierung im Klinikum keine Reidentifizierung Pseudonymisierung im Klinikum Reidentifizierung und follow-up in Klinik Einwilligung (prospektiv) Pseudonymisierung klinikums-übergreifend Reidentifizierung und follow-up übergreifend Leistungsfähigkeit / Komplexität

5 Beispielhafte Anwendungsfälle Modell 1: Einrichtungsinterne Anonymisierung ohne Einwilligung Machbarkeitsanalysen: Wieviele Patienten mit Merkmalskombination X/Y waren in den letzten 5 Jahren im Klinikum? Pharmakovigilanz Modell 2: Einrichtungsinterne Pseudonymisierung ohne Einwilligung Rekrutierungsunterstützung: Welche Patienten mit Merkmalskombination X/Z sind aktuell in Behandlung und für eine Studie ansprechbar? Pathologie, Phoch3 Modell 3: Einrichtungsübergreifende Pseudonymisierung mit Einwilligung Register: Unterstützung von Registern durch die Übernahme von Behandlungsdaten in das Register Vermeidung von Doppelerfassung Endoprothesen

6 Konkretes und generisches Datenschutzkonzept Konkrete Datenschutzkonzepte für 3 Use Cases (Pilotanwendungen) Generisches Datenschutzkonzept Nachschlagewerk von 9 Dokumenten Alle datenschutzrechtlich relevanten Prozesse und Maßnahmen kontinuierliche Fortschreibung Abstraktion von konkreten Anwendungsfällen Abstraktion von konkreten Akteuren Blaupause für künftige Ableitungen

7 Architektur cloud4health Modell 1 zur Erschließung freitextlicher klinischer Routinedaten mit Cloud-Infrastrukturen KLINIK STUDIENPORTAL Datenaufbereitung Deidentifikation strukturierte Daten anonymisierte Arztbriefe Berichte etc. Annotationen k-anonym oder vergleichbar Data Mining externe CLOUD Text Mining Data Warehouse

8 Architektur cloud4health Modell 2 zur Erschließung freitextlicher klinischer Routinedaten mit Cloud-Infrastrukturen KLINIK STUDIENPORTAL Datenaufbereitung Deidentifikation strukturierte Daten pseudonyme Arztbriefe Berichte etc. Annotationen k-anonym oder vergleichbar Data Mining interne oder externe CLOUD Text Mining Data Warehouse

9 Architektur cloud4health Modell 3 zur Erschließung freitextlicher klinischer Routinedaten mit Cloud-Infrastrukturen analog zum Klinischen Modul der TMF-Konzepte KLINIK Datenaufbereitung Deidentifikation strukturierte Daten + TKT STUDIENPORTAL Arztbriefe Berichte etc. + TKT Annotationen + TKT IDAT TKT TKT+ PID Data Mining CLOUD Treuhänder Text Mining Data Warehouse

10 Architektur cloud4health Modell 3 Beispiel rechtlicher und organisatorischer Rahmen Klinik B Treuhänder Kooperationsvertrag Treuhandvertrag (nicht weisungsgebunden) Patient Zentrale Organisation Behandlungsvertrag Einwilligungserklärung Klinik A Vertrag Auftragsdatenverarbeitung (weisungsgebunden) Kooperationsvertrag Cloudanbieter Nutzungsordnung Wissenschaftler

11 Rechtsgrundlagen / Rechtsgutachten Modell 1: Einrichtungsinterne Anonymisierung ohne Einwilligung zulässig, wenn mind. faktisch anonymisiert, Rahmenbedingungen beachten Datenschutzgesetze greifen nicht, auch keine Schweigepflichtverletzung Modell 2: Einrichtungsinterne Pseudonymisierung ohne Einwilligung Externes Textmining im Regelfall zulässig und unbedenklich, da anonym für Cloud- Provider ( relativer Personenbezug ), sonst lokale Cloud möglich Interne Sekundärnutzung durch Klinik Auftragsdatenverarbeitung mit Patientendaten Modell 3: Einrichtungsübergreifende Pseudonymisierung mit Einwilligung Zulässigkeit über die Einwilligung abweichende Regelungen in einzelnen Bundesländern (nur interne; nur bestimmte Forschungsvorhaben; oder nur über Einzelfalleinwilligung) Spezialfall Berlin

12 Gesetzliche Erlaubnisse Klassifikation F & QS ohne Einwilligung: intern zulässig / extern zulässig zumindest wenn: pseudonymisiert Vorhabenbezug konkretisiert ggf. Interessensabwägung Einschränkungen extern, z.b.: Weitergabe nur an bestimmte Personengruppe nur Fernzugriff Fachabteilungsgrenze intern und extern starke Einschränkungen 12

13 Gesetzliche Erlaubnisse Übersicht Forschung 13

14 Gesetzliche Erlaubnisse Übersicht Qualitätssicherung 14

15 Auftragsdatenverarbeitung mit Patientendaten Grobklassifikation: Zulässig m. übl. Bedingungen, u.a.: Vereinbarung Datensicherheit Unterwerfung unter die für Kliniken geltenden DS-Bestimmungen Zusätzliche Einschränkungen, z.b.: 203 StGB entspr. Geheimhaltung nur durch andere Klinik erheblich kostengünstiger Genehmigung Aufsichtsbehörde Unzulässig AuftragsDVi.A. zwar erlaubt aber keine Einbeziehung von Patientendaten Keine Offenbarungsbefugnis gem. 203 StGB 15

16 Offene Fragen 1.) Rechtsgrundlage für den Vorgang des Anonymisierens Zweck der Anonymisierung datenschutzrechtlich privilegiert (Variante des Löschens) Problem: Was ist mit Zweckänderung nach Anonymisierung? 2.) Ausreichende Anonymisierung für die Verarbeitung freitextlicher Daten in der Cloud? Kontext der Datenverwendung ist relevant Bewertung der in cloud4health vorgesehenen Schutzmaßnahmen noch offen 3.) Ausreichende Anonymisierung der Daten für ein übergreifendes Studienportal? Dr. Wellbrock s Bordsteinkanten-Kriterium ist anzuwenden Auf notwendiges know-how (für k-anonymisierung,, etc.) ist im Datenschutzkonzept hinzuweisen Ausnahme: Modell 3 bei entsprechender Einwilligung in pseudonyme Nutzung durch Dritte analog zum Forschungsmodul der TMF-Konzepte (Begrenzungen siehe dort) 4.) Konzept des relativen Personenbezugs umstritten Ohne Anerkennung des relativen Personenbezugs in einigen Bundesländern keine externe Verarbeitung in Modell 2 möglich!!! Sonderfall Berlin!

17 Zusammenfassung Sekundärnutzung kann grundsätzlich rechtskonform ausgestaltet werden Anonymisierung/Pseudonymisierung zentraler Bestandteil des generischen Konzepts Modelle 1 3 decken einen weiteren Bereich an Sekundärnutzungsszenarien ab Datenschutzrechtliche Härtung durch weitere technischorganisatorische Maßnahmen

18 besten Dank für Ihre Aufmerksamkeit! Kontakt: