Identifikation und Persönlichkeitsschutz Anonymisierung und Pseudonymisierung

Transkript

1 Identifikation und Persönlichkeitsschutz Anonymisierung und Pseudonymisierung Klaus Pommerening, Mainz SKI-Workshop, 2. März 2005 TMF = Telematikplattform für die medizinischen Forschungsnetze

2 Inhalt 1. Gesundheitsakte und Pseudonymisierung 2. 5 Szenarien der Sekundärnutzung 3. Ergebnisse 4. Diskussion Pommerening, 2. März

3 Nutzung der Gesundheitsakte Primärnutzung: Behandlungskontext. Sekundärnutzung: Versorgungsforschung, Qualitätssicherung, Gesundheitsökonomie, krankheitsspezifische klinische oder epidemiologische Studien, Aufbau von zentralen Datenpools und Biomaterialbanken. Typische Aspekte der Sekundärnutzung: Außerhalb des Behandlungskontexts und der Schweigepflicht (des behandelnden Arztes); die Identität des Patienten ist ohne Belang. Pommerening, 2. März

4 [Primärnutzung] [Sekundärnutzung] Behandlungskontext Barrier: Professional Discretion Barriere: ärztliche Schweigepflicht Versorgungsforschung/ Qualitätssicherung Export erlaubt, wenn 1. Anonymisierung oder 2. Einwilligung oder 3. gesetzliche Regelung oder evtl. mit Pseudonymisierung Klinische/ epidemiologische Forschung Direkte Datenerfassung/ Probengewinnung Pommerening, 2. März

5 Sekundärnutzung von Proben Exemplarisches Szenario: Proben fallen im Behandlungszusammenhang an (z. B. Pathologie), sollen einer Sekundärnutzung zugeführt werden (z. B. Pharma-Studie). Cave: Proben enthalten volle genetische Information und sind daher besonders sensibel. Stellungnahme des Nationalen Ethikrats Anonymisierung problematisch wegen Rückrufrecht. Pommerening, 2. März

6 Für die Sekundärnutzung von Gesundheitsdaten: Identität der Patienten schützen. Keine unnötigen gesetzlichen Abschwächungen! Anonymisierung, wann immer möglich. Nachteile der Anonymisierung: Keine Zusammenführung von Daten aus verschiedenen Quellen... oder von verschiedenen Zeitpunkten. Kein Weg zurück zum Patienten für Rückmeldungen... oder zur Rekrutierung für neue Studien... oder zum Rückruf von Proben. Pommerening, 2. März

7 Die Rolle der Einwilligungserklärung Königsweg zur Sekundärnutzung im Forschungskontext. Aber: Zweckbindung und Zeitbeschränkung. Patientenaufklärung muss Zweck der Datensammlung oder Zweck und Adressaten einer Weitergabe explizit (und abschließend) benennen, muss Datenverarbeitung und -verwendung transparent machen. Auch mit Einwilligung dürfen Identitätsdaten nicht unnötig verarbeitet oder gespeichert werden. Als Instrument der Gesundheitsforschung eher schwerfällig, daher gesetzliche Regelungen vorzuziehen mit geringstmöglichem Eingriff in die Persönlichkeitsrechte! Pommerening, 2. März

8 Pseudonyme Goldener Mittelweg zwischen Anonymität und Exposition der Identitäten. Je nach Kontext zu nutzen: Einweg-Pseudonyme, die nicht aufgelöst werden können, reversible Pseudonyme die eine Rückidentifizierung ermöglichen. Pseudonymisierung ist rechtlich nicht äquivalent zur Anonymisierung, sondern erfordert Zusatzüberlegungen und -maßnahmen; z. B. nur mit Einwilligung oder gesetzlicher Regelung erlaubt! Pommerening, 2. März

9 Grundtypen von Pseudonymen Inhaber-erzeugte Pseudonyme (Chaum ca. 1980) Erzeugung durch blinde digitale Signatur, Kontrolle beim Besitzer, für Sekundärnutzung von Gesundheitsdaten nicht geeignet. TTP-erzeugte Pseudonyme Trusted Third Party =»Vertrauensstelle«oder»Datentreuhänder«(z. B. ein Notar). Beispiel: Krebsregister (Michaelis/Pomm. 1993). Pommerening, 2. März

10 Pseudonymisierung: Das Basismodell Individuum Nutzdaten durchreichen TTP (PSN- Erzeugung) Datenbank Identität Pseudonym Datenleck Referenzliste (»Codebuch«) [streng geheim] Maier, Johannes 6AZCB661 Maier, Josef KY2P96WA Maier, Jupp L85FD23S L85FD23S Angreifer Pommerening, 2. März

11 Besser: Schlüssel statt Referenzliste Pseudonym-Erzeugung durch kryptographische Verschlüsselung; garantierte Eindeutigkeit: Pseudonym = verschlüsselter Personenidentifikator (PID). Die Zentralstelle speichert nichts außer ihrem geheimen Schlüssel.»Schlanker«TTP-Service. Auch irreversible Pseudonyme möglich (durch Einweg-Verschlüsselung). Pommerening, 2. März

12 Pseudonym-Erzeugung: das verbesserte Basismodell Individuum Nutzdaten verschlüsselt durchreichen Identität TTP (PSN- Erzeugung) Pseudonym Datenbank Schlüssel [streng geheim] Datenleck L85FD23S Angreifer Pommerening, 2. März

13 Inhalt 1. Gesundheitsakte und Pseudonymisierung 2. 5 Szenarien der Sekundärnutzung 3. Ergebnisse 4. Diskussion Pommerening, 2. März

14 (1) Einzelne Datenquelle, Einmal-Sekundärnutzung Typischer Anwendungsfall für Anonymisierung. Beispiel: Einfache statistische Auswertung exportierter Datensätze. Pommerening, 2. März

15 (2) Mehrere Datenquellen mit Überschneidungen, Einmal-Sekundärnutzung Daten aus verschiedenen Quellen müssen zusammengeführt werden. Beispiele: multizentrische Studie, Follow-up-Daten. Typischer Anwendungsfall für Einweg- Pseudonyme. Pommerening, 2. März

16 Sekundärnutzung Datenquelle(n) MDAT IDAT PID Pseudonymisierung für Einmal- Pseudonymisierungsdienst Nutzdaten verschlüsselt (TTP) durchreichen PID PSN Sekundärnutzung MDAT PSN MDAT = Medizinische Daten IDAT = Identitätsdaten PID = Eindeutiger Patientenidentifikator PSN = Pseudonym Pommerening, 2. März

17 Besonderheiten von Szenario (2) Medizinische Daten (MDAT) mit öffentlichem Schlüssel des Sekundärnutzers verschlüsselt Die TTP kann die MDAT nicht lesen. Nur der Sekundärnutzer kann sie entschlüsseln. Das Pseudonym (PSN) ist der verschlüsselte PID mit einem geheimen Schlüssel, den nur die TTP hat, durch eine Einweg-Funktion. Die TTP speichert nichts (außer dem Schlüssel). Szenario (2) in Routinebetrieb seit 2002 in einem Projekt der Versorgungsforschung der TMF. Pommerening, 2. März

18 (3) Einmalige Sekundär-Nutzung mit Rückidentifikation Verwendet wird das (verbesserte) Basismodell, PSN-Dienst verschlüsselt umkehrbar. Gebraucht wird ein nicht-öffentlicher (projektspezifischer) PID, von einem getrennten TTP-Service erzeugt; der PID-Dienst speichert die Zuordnung zwischen IDAT und PID (»Patientenliste«). Die Rückidentifikation läuft über PSN-Dienst und PID-Dienst. PID-Dienst kennt die Datenquellen. Pommerening, 2. März

19 Pseudonymisierung mit möglicher Rückidentifikation Datenquelle(n) MDAT IDAT Pseudonymisierungsdienst Nutzdaten verschlüsselt (TTP) durchreichen PID PSN Sekundärnutzung MDAT PSN IDAT PID PID-Dienst (TTP) MDAT = Medizinische Daten IDAT = Identitätsdaten PID = Patientenidentifikator PSN = Pseudonym Pommerening, 2. März

20 (4) Pseudonymer Forschungs- Datenpool Gleiche Prozedur wie in (3), aber der Sekundärnutzer baut ein (krankheitsspezifisches) Register auf. Die Langzeit-Datensammlung erfordert besondere organisatorische und technische Sicherheitsvorkehrungen. Qualitätssicherung der Daten (mit Rückfragen) muss vor Pseudonymisierung erfolgen.»modell B«des generischen Konzepts der TMF. Pommerening, 2. März

21 (5) Zentrale klinische Datenbank, mehrfache Sekundärnutzung Datenpool = zentrale»klinische«datenbank. Zentral für Forschungsverbund. Zugriff für behandelnden Arzt (dezentral). Keine Identitätsdaten, nur PIDs. Zugriffsregelung über temporäre Token (tempid). Kein Online-Zugriff für Sekundärnutzer. Für Sekundärnutzung wird jeweils ein Auszug der Datenbank exportiert (anonymisiert oder ad hoc pseudonymisiert). Pommerening, 2. März

22 Die zentrale klinische Datenbank Lokale Datenbank MDAT IDAT (TTP) Zentrale Datenbank MDAT PID Export verschl. Export Pseudonymisierungsdienst (TTP) PID PSN MDAT = Medizinische Daten IDAT = Identitätsdaten IDAT PID PID-Dienst (TTP) PID = Patientenidentifikator PSN = Pseudonym MDAT PSN Sekundärnutzung Pommerening, 2. März

23 Besonderheiten von Szenario (5) Vorteile: Gut geeignet für multizentrische Studien. Bessere Unterstützung für Langzeitbeobachtung von Patienten mit chronischer Erkrankung. Nützlich für den datenproduzierenden Arzt. Gut an Patientenakten-Architektur mit zentraler DB anpassbar. Nachteile: Komplizierte Kommunikationsprozeduren. Viele TTP-Dienste und geheime Schlüssel benötigt.»modell A«des generischen Konzepts der TMF. Pommerening, 2. März

24 Inhalt 1. Gesundheitsakte und Pseudonymisierung 2. 5 Szenarien der Sekundärnutzung 3. Ergebnisse 4. Diskussion Pommerening, 2. März

25 Ergebnisse I TMF-Modelle A und B [(5) und (4)] von den Datenschutzbeauftragten positiv bewertet (Arbeitskreis Wissenschaft und AK Gesundheit der Datenschutzbeauftragten des Bundes und der Länder) Szenario (2) im Routinebetrieb seit 2002 in einem TMF-Projekt der Versorgungsforschung. Szenario (5) in einem Forschungsnetz implementiert. Weitere in Vorbereitung. Pommerening, 2. März

26 Ergebnisse II Szenario (4) von mehreren Netzen adaptiert; Implementierungen in Arbeit. Die TMF bietet Software-Tools für die TTP- Dienste. Zugehörige Policies, Musterverträge, Mustereinwilligungserklärungen von der TMF erhältlich (frei für Mitglieder). Pommerening, 2. März

27 Ergebnisse III Generisches Datenschutzkonzept (mit Modellen A und B) erhältlich über TMF. Buchveröffentlichung im Druck Reng/Debold/Adelhard/Pommerening:»Generisches Datenschutzkonzept für Forschungsnetze in der Medizin«. Pommerening, 2. März

28 Inhalt 1. Gesundheitsakte und Pseudonymisierung 2. 5 Szenarien der Sekundärnutzung 3. Ergebnisse 4. Diskussion Pommerening, 2. März

29 Diskussion I Die TMF-Modellarchitektur (Varianten A und B) bietet Möglichkeiten zum Aufbau zentraler Datenpools für medizinische Forschung und Versorgungsforschung, die mit der deutschen und europäischen Datenschutzgesetzgebung verträglich sind, die Patientenrechte respektieren, vielfältige Situationen abdecken. Die Pseudonymisierungsszenarien wirken komplex, aber funktionieren transparent, sobald sie etabliert sind. Pommerening, 2. März

30 Diskussion II Der Transfer zu anderen Anwendungen im Gesundheitswesen ist möglich und zu empfehlen. Die TTP-Dienste für die Sekundärnutzung von Gesundheitsdaten sollten in die Architektur des Gesundheitswesens eingebaut werden (geeignet angepasste Versionen der TMF-Modelle). TMF-Modell B für eine dezentrale Architektur des Gesundheitswesens eher geeignet. TMF-Modell A eher für eine zentrale Architektur. Für Biomaterialbanken werden z. Z. analoge Modelle entwickelt. Pommerening, 2. März