Verfahrensbeschreibung und Datenschutzkonzept des Zentralen Datenmanagements des DZHK

Transkript

1 Verfahrensbeschreibung und Datenschutzkonzept des Zentralen Datenmanagements des DZHK DEUTSCHES ZENTRUM FÜR HERZ KREISLAUF FORSCHUNG E.V. Version 1.2 vom Herausgeber: Universitätsmedizin Greifswald KdöR Institut für Community Medicine Universitätsmedizin Göttingen Institut für Medizinische Informatik vertreten durch den Geschäftsführenden Direktor Prof. Dr. med. Wolfgang Hoffmann, MPH Ellernholzstr Greifswald vertreten durch den Direktor Prof. Dr. med. Otto Rienhoff, Robert Koch Straße Göttingen Tel / , Fax: / E Mail: wolfgang.hoffmann@unigreifswald.de Tel / , Fax: E Mail: otto.rienhoff@med.unigoettingen.de Dieses Dokument ist lizensiert durch die Creative Commons Attribution 3.0 Germany License.

2 Inhalt A PROJEKTSPEZIFISCHER ABSCHNITT... 5 A1 Projektüberblick ZDM Projektstrukturen und Partner DZHK Institut für Community Medicine Institut für Medizinische Informatik der Universitätsmedizin Göttingen Beteiligte Institutionen Aufgaben... 9 A2 Projektspezifika der Treuhandstelle (Greifswald) Arbeitsabläufe und Datenflüsse Voraussetzungen und technischer Ansatz Datenflüsse innerhalb des ZDM Arbeitsabläufe (Workflows) Erweiterter Schutzbedarf Ergänzende technische und organisatorische Maßnahmen Einbindung des ecrf Systems SecuTrial Abtrennung von identifizierenden Daten Umgang mit Informed Consent Dokumenten Personelle Maßnahmen A3 Projektspezifika der Datenhaltung (Göttingen) Arbeitsabläufe und Datenflüsse Datenerhebung Datenerfassung Datenspeicherung und Datenverwaltung... 25

3 1.4 Transferstelle: Datenaufbereitung und Datentransfer Beteiligte Personengruppen Vertragliche Grundlage der Zusammenarbeit von THS und DH B PROJEKTUNABHÄNGIGER ABSCHNITT B1 Treuhandstelle Prozesse der unabhängigen Treuhandstelle Eindeutige Identifizierung Pseudonymisierung Einwilligung, Ermächtigung, Widerruf Arbeit mit Sekundärdaten Mitwirkung im Use& Access Prozess Technische Systeme Master Person Index MPI Pseudonymisierungsdienst Consent Manager Architektur Schutzbedarf Rechtsgrundlagen Speicherung personenbezogener Daten Feststellung des Schutzbedarfs Technische und organisatorische Maßnahmen Institutionelles Datenschutzkonzept des ICM VC Netzwerkschutz Audit Trail Datenübertragung Datensicherheit Ausfallschutz Räumliche Trennung Personelle Maßnahmen B2 Datenhaltung Prozesse der Datenhaltung... 47

4 6 Technische Systeme secutrial Schutzbedarf Verarbeitete Datentypen Anzuwendende Rechtsgrundlagen Technische und organisatorische Maßnahmen Verwendete IT Infrastruktur Servervirtualisierung Verfahrensbeschreibung gem. 8 NDSG C ANHANG Technische Abbildungen Abkürzungsverzeichnis Glossar Literaturverzeichnis Anlagen... 62

5 A Projektspezifischer Abschnitt

6 A1 Projektüberblick ZDM 1 Projektstrukturen und Partner Der nachfolgende Abschnitt stellt den Projektrahmen vor, in dem das Konzept des Zentralen Datenmanagements (ZDM), bestehend aus der unabhängigen Treuhandstelle (THS) sowie der Datenhaltung (DH) innerhalb des Deutschen Zentrums für Herz Kreislaufforschung (DZHK) e.v. eingesetzt werden soll. Weiterhin werden projektspezifische Anforderungen und daraus resultierende Maßnahmen erläutert. 1.1 DZHK Das DZHK ist eines von sechs Zentren der Gesundheitsforschung (DZG). Deren Gründungen wurden vom Bundesministerium für Bildung und Forschung (BMBF) initiiert und fanden 2009 bis 2012 statt. Organisiert sind die Gesundheitszentren als eingetragene Vereine (e.v.) innerhalb der Helmholtz Gemeinschaft Deutscher Forschungszentren e.v., womit sie Forschungsnetzwerke innerhalb der größten deutschen außeruniversitären Wissenschaftsorganisation sind. Es ist vorgesehen, dass die Gesundheitszentren untereinander eng zusammenarbeiten, um ihre Ziele schneller zu erreichen. Ziel des DZHK ist es, Prävention, Diagnose und Therapie bei Herz und Kreislauferkrankungen zu verbessern und durch vielfältige Zusammenarbeit dafür zu sorgen, dass Forschungsergebnisse aus diesem Fachgebiet schneller in die klinische Anwendung gelangen. Zu diesem Zweck arbeiten im DZHK 27 Partnerinstitutionen an folgenden sieben Standorten bzw. Standortgruppen zusammen: Berlin, Göttingen, Greifswald, Hamburg Kiel Lübeck, Heidelberg Mannheim, München, Rhein Main (Frankfurt a.m., Bad Nauheim, Mainz). Diese Partnerinstitutionen sind Universitäten, Universitätskliniken und außeruniversitäre Forschungseinrichtungen, (mehrere Max Planck Institute, das Max Delbrück Centrum und ein Leibnitz Zentrum). Es ist geplant, mit leistungsfähigen Partnern aus der deutschen Gesundheitswirtschaft zusammenzuarbeiten. Die Arbeit aller Gesundheitszentren soll durch hochrangige, international besetzte Beratergremien begleitet und begutachtet werden. Hierbei soll neben der wissenschaftlichen Exzellenz auch die strategische Ausrichtung und die aufgebauten Strukturen und Prozesse evaluiert werden. Finanziert wird das DZHK, ebenso wie die anderen DZG, zu 90% vom Bund. Die restlichen 10% der Finanzierung kommen von den Bundesländern, in denen das jeweilige Gesundheitszentrum Standorte hat (im Fall des DZHK sind dies neun Bundesländer). [1] 1.2 Institut für Community Medicine Die Schwerpunkte der Abteilung Versorgungsepidemiologie und Community Health des Instituts für Community Medicine (ICM) der Universitätsmedizin Greifswald liegen in der analytischen Epidemiologie und Risikofaktorenforschung, der Versorgungsepidemiologie und Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 6

7 Versorgungsforschung, der Gesundheitssystem und Transferforschung, der Prävention und Gesundheitsförderung sowie der Entwicklung und praktischen Umsetzung neuartiger Modelle in allen Bereichen der medizinischen Versorgung. Für die dazu erforderliche Verarbeitung großer Datenmengen und insbesondere auch personenbezogener Daten wurden in den letzten Jahren die Kompetenzen im Bereich der Medizininformatik und des Datenmanagements stark ausgebaut. Das Institut für Community Medicine verfügt über umfassende Erfahrungen in der Integration komplexer klinischer und epidemiologischer Daten aus multizentrischen Studien und dezentralen Felderhebungen in zentralen Managementeinheiten auf Basis zentraler Datenbanksysteme. 1.3 Institut für Medizinische Informatik der Universitätsmedizin Göttingen Seit 1999 widmet sich das Institut für Medizinische Informatik (gegründet 1972) der medizinischen Verbundforschung und entwickelt in Kooperation mit den Forschern im In und Ausland neue methodische Verfahren zur interdisziplinären multizentrischen Zusammenarbeit. Neben zahlreichen Einzelstudien wurden und werden die Kompetenznetze Demenzen, Angeborene Herzfehler und Multiple Sklerose sowie mehrere klinische Forschungsbereiche und der Sonderforschungsbereich 1002 durch das Institut methodisch und technisch unterstützt. Weiterhin wurde durch die Medizinische Informatik der Aufbau der TMF (Technologie und Methodenplattform für die vernetzte medizinische Forschung e.v.) mit getragen. Zusätzlich war das Institut der Hauptrepräsentant der gridbasierten Forschungsvorhaben in der Medizin in Deutschland. Gegenwärtig arbeiten knapp 40 Wissenschaftler, Dokumentare und Verwaltungskräfte in enger Abstimmung mit anderen Einrichtungen an den oben genannten Langzeitprojekten sowie an der methodischen Unterstützung nationaler Zentren der Gesundheitsforschung in Deutschland. Während die Kompetenznetze in der Medizin das Jahrzehnt des methodischen Aufbruchs in die medizinische Verbundforschung widerspiegeln, wird die Infrastruktur für die nationalen Zentren in Abstimmung mit der TMF auf einem neuen Niveau aufgesetzt. Dieses neue Niveau bündelt die Erfahrungen der letzten 10 Jahre und verquickt sie mit den Daten und Anforderungen der personalisierten Medizin. Die teilnehmenden Verbünde können ab etwa 2014 damit rechnen, eine leistungsstarke Forschungsinfrastruktur nutzen zu können, die jedem internationalen Vergleich standhält.verbundprojekt Zentrales Datenmanagement Mit dem Schreiben vom beauftragte der Vorstand des DZHK die Universitätsmedizin Greifswald, vertreten durch das ICM, sowie die Universitätsmedizin Göttingen, vertreten durch das Institut für Medizinische Informatik (MI) mit der Implementierung eines Zentralen Datenmanagements (ZDM) als Verbundprojekt für multizentrischen Studien und Register innerhalb des DZHK. Dieser föderale Ansatz bietet die Möglichkeit, die datenschutzrechtlich notwendige Trennung medizinischer und personenidentifizierender Daten organisatorisch und örtlich nach einheitlichem Standard zu realisieren. Die Erfassung der medizinischen Forschungsdaten erfolgt in der Regel im Kontext multizentrischer Studien. Im Rahmen eines externen Begutachtungsverfahrens wurden bislang folgende Studien und Register zur Förderung ausgewählt, deren Anforderungen hier, soweit zum Zeitpunkt der Erstellung dieses Dokumentes bereits bekannt, berücksichtigt sind: 1. Early Versus Late Left Ventricular Assist Device Implantation (VAD) 2. Systolic Dysfunction to Congestive Heart Failure Cohort Study Transition CHF 3. Translational Registry for Cardiomyopathies TORCH Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 7

8 Das Zentrale Datenmanagement ist als Verbundprojekt gleichberechtigter und eigenverantwortlich handelnder Partner organisiert und besteht aus der Treuhandstelle (THS) unter Verantwortung des Instituts für Community Medicine der Universitätsmedizin Greifswald (Prof. Wolfgang Hoffmann), der Datenhaltung (DH) unter Verantwortung des Instituts für Medizinische Informatik der Universitätsmedizin Göttingen (Prof. Otto Rienhoff) sowie der IT Leitung der Geschäftsstelle des DZHK (Prof. Mathias Nauck). Die Verantwortung für die ethischen Belange sowie deren Harmonisierung im DZHK wird im Rahmen eines zusätzlichen Ethikprojektes der Programmgruppe 7des DZHK durch das Institut für Epidemiologie II des Helmholtz Zentrums (Prof. H. E. Wichmann) und das Institut für medizinische Statistik und Epidemiologie (Prof. Frank Kuhn) der Technischen Universität München wahrgenommen. Zudem erstellt jede Studie bzw. jedes Register eigenverantwortlich ein spezifisches Ethik Konzept und eine Einwilligung (IC, Informed Consent), lässt diese in den zuständigen Ethikkommissionen prüfen und übermittelt diese als Zuarbeit nach abschließendpositivem Ethik Votum an die Ethik Verantwortlichen im ZDM. Aufgabe der einzelnen Studienzentren ist die Rekrutierung von Teilnehmern und anschließende Datenerfassung. An der Geschäftsstelle mit Sitz in Berlin wird eine IT Stelle (ITLab, IT Leitung der Geschäftsstelle des DZHK) etabliert. Diese Stelle übt u.a. die Funktion des DZHK Datenschutzbeauftragten aus und übernimmt die Abstimmungen mit den zuständigen Landesbehörden. Die beschriebenen Zusammenhänge werden im nachstehenden Organigramm veranschaulicht. (vgl. Abbildung 1) Verbundprojekt ZDM Greifswald Berlin ZDM: Treuhandstelle Studienzentrum VAD Göttingen ZDM: Datenhaltung Berlin Heidelberg Studienzentrum TORCH Berlin ITLab Geschäftsstelle Berlin Studienzentrum ToPIC München Göttingen Ethik Register / Kohortenstudie Transition CHF Abbildung 1: Partner des Verbundprojekts Zentrales Datenmanagement des DZHK Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 8

9 1.4 Beteiligte Institutionen Das Ethikprojekt ist für die inhaltliche Erstellung der benötigter Einverständnisse und Einwilligungen verantwortlich. Das Verbundprojekt ZDM setzt ausschließlich die bereits vorab abgestimmten und harmonisierten Informed Consent Dokumente ein. Leistungen, Verantwortlichkeiten und gegenseitige Stellung der beteiligten Partner zueinander werden durch separate Kooperationsverträge geregelt. Diese sind zum aktuellen Zeitpunkt noch nicht mit allen Partnern abgestimmt, und werden sicherstellen, dass sämtliche Partner gleichberechtigt, selbständig und eigenverantwortlich agieren. Geplant sind sowohl ein interner Kooperationsvertrag des Verbundprojekts ZDM, als auch ein Kooperationsvertrag zwischen ZDM und Ethik. Ferner sind jeweils Kooperationsverträge zwischen den einzelnen Projekten (Register/Studie) und dem ZDM und dem Projekt Ethik im Abstimmungsprozess. 1.5 Aufgaben Die zur erfolgreichen Implementierung des Zentralen Datenmanagements notwendigen technischen und organisatorischen Maßnahmen lassen sich im Wesentlichen auf die drei nachfolgenden Aspekte reduzieren. Diese werden ergänzend in Abbildung 2 dargestellt. Abbildung 2 Verantwortlichkeiten innerhalb des Zentralen Datenmanagements Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 9

10 Treuhandstelle (THS) Die Treuhandstelle übernimmt die Verwaltung und Speicherung der personenidentifizierenden Daten (IDAT) im Rahmen einer Funktionsübertragung. Die Datenübergabe an die THS wird durch die teilnehmenden Studien, Register und Kohorten (SRC) mit den jeweils zuständigen Landesbeauftragten für den Datenschutz abgestimmt. Die Verarbeitung der Daten innerhalb der THS erfolgt ausnahmslos auf Basis einer informierten Einwilligung. Für die Verwaltung der personenidentifizierenden Daten sind drei wesentliche technische Funktionalitäten notwendig: ein Master Person Index (MPI), ein Consent Management (CM) und ein generalisierter Pseudonymisierungsdienst (PSN). Die Treuhandstelle nimmt die personenidentifizierenden Daten entgegen und erzeugt eine dazu passende Menge von Pseudonymen, welche zusammen mit den medizinischen Daten bei der Datenhaltung verwendet und gespeichert werden (vgl. Abschnitt B1). Datenhaltung (DH) In Göttingen erfolgt die Datenhaltung für sämtliche im DZHK durchgeführten SRC. Das bedeutet, dass eine Studiendatenbank aufgebaut und betrieben wird sowie die Datenelemente für die einzelnen SRC dort modelliert werden. Hierzu erfolgt seitens des Göttinger Personals eine enge Abstimmung mit den Studienleitern. Diese ist zum einen beratender Natur (d.h. es wird bei der einheitlichen und somit nachhaltigen Auswahl der zu dokumentierenden Items geholfen) und zum anderen praktischer, umsetzender Natur. Ausgebildete Dokumentare sowie Dokumentare mit einem zusätzlichen Masterstudium in Medizinischer Informatik stehen für diese Beratungs und Umsetzungsleistung zur Verfügung. In der DH wird weiterhin ein Metadaten Verzeichnis aufgebaut, welches zwei Aufgaben zur langfristigen Vergleichbarkeit der DZHK Studien erfüllt: Zum einen wird es möglich sein, ein konkretes Item (z.b. Blutdruck diastolisch ) in jeder durchgeführten Studie gleichermaßen zu erfassen (z.b. sitzend nach fünf Minuten Ruhe ), zu speichern (zwei bis dreistelliger Ganzzahlwert ohne nachgestellte Dezimalstelle) und innerhalb der Datenbank mit dem gleichen Namen zu versehen (z.b. bld_prsr_dia). Dies ermöglicht eine langfristige Vergleichbarkeit der durchgeführten DZHK Studien. Zum anderen können innerhalb eines Metadaten Verzeichnisses jedoch auch konkrete Informationen gespeichert werden, z.b. Informationen über die Umstände (Environmental Meta Data) einer Untersuchung. Gleiches gilt später für andere Datentypen wie Bilder oder Informationen über gesammelte Biomaterialien. Teilweise bereits mit den bewilligten drei DZHK Studien und teilweise mit neuen Projekten in den kommenden Jahren, werden für das DZHK und das ZDM weitere, teils komplexe Datentypen relevant. Dies können elektrophysiologische Daten, Bilddaten (in Abstimmung mit den entsprechenden DZHK Arbeitsgruppen), mobil (möglicherweise duch den Patienten selbst) erfasste Follow Up Daten oder etwa die oben ge nannten Untersuchungs Metadaten sein. Während der Laufzeit des beantragten Projektes erstellen Mitarbeiter der DH zusammen mit der in der Geschäftsstelle beschäftigten IT Leitung sowie den Mitarbeitern der THS Konzepte zur Anbindung weiterer Datenbanken wie der zentralen DZHK Biobank oder einer DZHK Bilddatenbank und realisieren diese anschließend. Der Betrieb dieser Datenbanken kann entweder in Göttingen, an anderen DZHK Standorten oder mit externen Dienstleistern durchgeführt werden. Das ZDM wird jedoch in jedem Fall eine einheitliche Architektur für das DZHK sicherstellen. Dies geschieht durch die Strategie Koordinierung, die Umsetzungsplanung und ggfs. durchführung und durch Mitarbeit an der Spezifikation der Aufbau und Betriebsprozesse. Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 10

11 Datenaustausch und Schnittstellen Einige der Anwendungsfälle erfordern einen Datenaustausch zwischen der THS und der DH bzw. zwischen der THS und den Studien. Dieser kann z.b. auf elektronischem Weg oder mittels Papierdokumenten automatisiert oder manuell erfolgen. Nicht nur durch die örtliche Trennung der Daten, sondern auch durch die technologisch unterschiedlichen Systeme sind sowohl im Hinblick auf elektronischen Austausch wie auch für (teil ) manuelle Arbeitsabläufe gemeinsame Schnittstellen und Verfahren definiert, die den datenschutzrechtlichen Anforderungen entsprechen. Die folgenden Kapitel erläutern Annahmen, Bedingungen und Anwendungsfälle für die THS im Zusammenspiel mit Nutzern (DH oder Studien), identifizieren Schnittstellen und definieren diese somit näher. Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 11

12 A2 Projektspezifika der Treuhandstelle (Greifswald) 1 Arbeitsabläufe und Datenflüsse Die nachfolgenden Darstellungen beschreiben den zum Zeitpunkt der Dokumenterstellung gültigen Stand der Planungen und Absprachen Voraussetzungen und technischer Ansatz Neben den hier beschriebenen treuhandstellenspezifischen Aspekten, ist sowohl für das DZHK als auch für das Teilprojekt Datenhaltung, eine detaillierte Abstimmung sämtlicher Abläufe bezüglich einer gemeinsamen Schnittstelle notwendig. Dies erfolgt mit Fokus auf technische Ausprägungen und Abläufe (Workflows, Use Cases). Zudem ist es erforderlich, interne Abläufe der THS zu definieren und zu beschreiben. Durch die Zusammenarbeit der Treuhandstelle mit dem Teilprojekt Datenhaltung der Universitätsmedizin Göttingen ergeben sich für die Implementierung der Treuhandstelle folgende Rahmenbedingungen: Die Erfassung der pseudonymisierten medizinischen Daten in den Studienzentren erfolgt über elektronische Fragebögen (ecrf). Es wird in allen Studien, Registern und Kohorten ein Basisdatensatzverwendet. Jede Studie verfügt zudem über einen studienspezifischen Datensatz. Für die Erstellung der benötigten Pseudonyme ist die Erfassung der IDAT notwendig. Diese werden jedoch nicht in den ecrf gespeichert. Perspektivisch werden auch unstrukturierte Daten, wie z.b. Bilddaten, EKG Daten oder Freitext Fragenbogendaten erfasst. Diese (MDAT )Daten können ebenfalls durch die DH in Göttingen oder durch andere Institutionen verarbeitet werden. Gleichermaßen stellen diese Institutionen die dafür notwendige technische Infrastruktur bereit. Ebenfalls wird die notwendige Transferstelle (zur Weitergabe der gesammelten Daten zu Forschungszwecken) durch die DH zur Verfügung gestellt. Bei der Hinzunahme weiterer Datentypen und/oder Institutionen muss dieses Datenschutzkonzept ggf. erweitert werden. Die ecrf werden mit Hilfe des von der ias Berlin GmbH entwickelten, webbasierten Werkzeugs SecuTrial erstellt. Alleiniger Vertragspartner der ias GmbH ist die Universitätsmedizin Göttingen. Über die Kooperationsvereinbarung des Verbundprojektes ZDM ist geregelt, dass für die THS ein Recht besteht, an der Definition und Testung der Schnittstelle mitzuwirken. Für Form und Inhalt der elektronischen Erfassungsformulare sind die jeweiligen Studien verantwortlich. SecuTrial verfügt 1 Dieser Stand ist darauf gerichtet, mit der Datenerfassung zu starten. Eine inhaltliche Aktualisierung der Ausführungen, z.b. durch Ergänzung weiterer Abläufe, ist vorgesehen, sobald die dafür bestimmenden Aspekte zwischen den beteiligten Partnern abgestimmt sind. Beabsichtigte Erweiterungen sind die Unterstützung bei der Übergabe von Daten und Material ( Transferstellen Prozess ) sowie die Anbindung weiterer, über ecrfs hinausgehender Modalitäten, wie beispielsweise Biobank und bildgebende Verfahren. Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 12

13 über ein zentrales Rollen und Rechte System. Somit ist es, wie gefordert, möglich nur einer Auswahl von Personen bzw. Personengruppen (Ärzte, Studien) das Ändern von identifizierenden Daten zu gestatten. Definierte, vertraglich vereinbarte Schnittstellen erlauben die notwendige Interaktion zwischen Datenhaltung, Treuhandstelle und SecuTrial. Weiterhin wird beabsichtigt, Bioproben mit Hilfe eines Labor Informations und Management Systems (LIMS) zu verwalten. Hierzu ist zum gegenwärtigen Zeitpunkt eine Ausschreibung durch die IT Leitung der Geschäftsstelle des DZHK beabsichtigt, Spezifika befinden sich in Erarbeitung. In der THS werden die personenbezogenen Daten, die Einwilligungen und Ermächtigungen sowie die Gesamtheit aller zu einem Zeitpunkt erzeugten Pseudonyme und Zuordnungen gespeichert. Zuzüglich dieser Daten werden weitere Metadaten zu Studie, Projekt und Standort durch die THS verwaltet. Die Daten werden gemäß dem Datenschutzkonzept der THS verschlüsselt gespeichert und mit den entsprechenden Sicherheitsbestimmungen bezüglich Zugriff und Backup gesichert. (vgl. Abschnitt B1 Kapitel 4) 1.2 Datenflüsse innerhalb des ZDM Die nachstehende Abbildung 3 zeigt den geplanten Datenfluss zwischen den einzelnen Teilprojekten. 2 Technische Details der einzelnen Abläufe sind dem Anhang (vgl. Abbildung 16 bis Abbildung 19) zu entnehmen. Abbildung 3 Datenflüsse innerhalb des Zentralen Datenmanagements Bei Einschluss einer Person werden zuerst Informed Consent Informationen und identifizierende Daten an die Treuhandstelle übertragen. Das daraufhin durch die THS für diese Person generierte, eindeutige PSN wird im Anschluss an das Studienzentrum, und zusammen mit den Informed Consent Informationen an die Datenhaltung übertragen. 2 Auf die Darstellung von Authentifizierungsmechanismen und die ecrf Bereitstellung mittels SecuTrial wird an dieser Stelle verzichtet. Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 13

14 Im Rahmen des DZHK werden zu keinem Zeitpunkt Primärpseudonyme bzw. Pseudonyme erster Stufe an die DH bzw. an die Projekte übergeben, sondern der DZHK spezifische THS Workflow sieht vor, dass sofort Sekundärpseudonyme bzw. Pseudonyme zweiter Stufe abgeleitet und übergeben werden. Die DH speichert ecrf, Labor/Bioproben und Bilddaten in verschiedenen Systemen und bringt dabei für eine Person jeweils spezifische Sekundärpseudonyme zur Anwendung. Durch den DZHK spezifischen THS Workflow ist sichergestellt, dass für das Primärpseudonym einer Person mehrere jeweils eindeutige Sekundärpseudonyme abgeleitet werden können. Unter Angabe der PSN kann das Studienzentrum daraufhin die MDAT des Probanden, in Form von Bilddaten, Bioproben u.a. an die Datenhaltung in Göttingen übermitteln. Ergänzend veranschaulicht Abbildung 4, dass die Übergabe der personenidentifizierenden Daten direkt zwischen Studienzentrum und Treuhandstelle durch einen Tunnel stattfindet. Die Datenhaltung hat zu keinem Zeitpunkt Zugang zu den IDAT des Teilnehmers. Die THS hat zu keinem Zeitpunkt Zugang zu medizinischen Daten des Teilnehmers. IDAT Abbildung 4 Interaktion der beteiligten Systeme am Beispiel Anlegen eines Teilnehmers Tabelle 1 zeigt, dass außerhalb der behandelnden und datenerhebenden Kliniken in keinem Teilprojekt des Zentralen Datenmanagements IDAT, MDAT und PSN gemeinsam vorliegen. Zudem ist ersichtlich, dass innerhalb der Datenhaltung ausschließlich pseudonymisierte Daten gespeichert werden. Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 14

15 Teilprojekt IDAT MDAT gemäß Einwilligung PSN Studien (Kliniken) Ja Ja Ja Treuhandstelle Ja Nein Ja Datenhaltung Nein Ja Ja Tabelle 1 Datenverteilungsmatrix 1.3 Arbeitsabläufe (Workflows) Im Folgenden werden die vorgesehenen Anwendungsfälle aus operationaler Sicht beschrieben, welche das Zusammenwirken der unabhängigen Treuhandstelle (THS) in Greifswald, der Datenhaltung (DH) in Göttingen und den Studienzentren in den DZHK Projekten deutlich machen. Technische Details sind Abbildung 16 bis Abbildung 19 im Anhang zu entnehmen. Allen Anwendungsfällen ist gemeinsam, dass sich der Nutzer 3 im Studienzentrum zunächst bei dem studienspezifischen Studienportal/eCRF System anmelden muss. Durch diese Authentifizierung werden ihm rollenbasierte Rechte zugewiesen. Anmeldung am ecrf System Um die Funktionen der Treuhandstelle im Studienzentrum nutzen zu können, ist eine Authentifizierung des Nutzers über SecuTrial erforderlich. SecuTrial verwaltet stellvertretend für die Treuhandstelle Rollen und Rechte eines Nutzers (Trusted Delegation). Auf diese Weise kann die Treuhandstelle einen rollenspezifischen Funktionsumfang anbieten. Bei erfolgloser Authentifizierung ist eine Verwendung der Treuhandstellenfunktionalität ausgeschlossen. Gleiches gilt für den Versuch Treuhandstellenfunktionalitäten ohne den Einsatz der SecuTrial Instanz der Datenhaltung Göttingen anzusprechen. Die Anmeldung wird durch den Nutzer im Studienzentrum initiiert. Die Maske zur Eingabe der Anmeldeinformationen stellt die Datenhaltung Göttingen bereit. Der Nutzer gibt Nutzernamen und Passwort ein und die Daten werden verschlüsselt über HTTPS (vgl. Kapitel 4.4) an SecuTrial übertragen. Nach Überprüfung der Anmeldedaten und Zuordnung von Rollen und Rechten wird ebenfalls über HTTPS eine sessionbezogene Kommunikation zur Treuhandstelle aufgebaut. Die übermittelten Anmeldeinformationen (Nutzername, Institution, Nutzer ID, Rolle, Vorname, Nachname, Titel) dienen innerhalb der Treuhandstelle gleichzeitig als Audit Informationen (vgl. Kapitel 4.3). Im Anschluss wird eine sessionbezogene Kommunikation zwischen SecuTrial und dem Nutzer im Studienzentrum hergestellt, so dass Anfragen direkt an die Treuhandstelle weitergeleitet werden können. Abbildung 5 veranschaulicht die beschriebenen Zusammenhänge. 3 Ein Nutzer ist eine natürliche Person, die im Rahmen der Projekte Daten erfasst, ändert oder mit ihnen arbeitet. Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 15

16 Use Case: Anmeldung am ecrf-system Etablierung der Session zwischen Nutzer und Treuhandstelle Studienzentrum 1 2 Unabhängige Treuhandstelle Greifswald 4 SecuTrial Anwendung 3 Datenhaltung Göttingen 1 Anmelden eines Nutzers des Studienzentrums mit seinem Nutzernamen und Passwort an der SecuTrial-Anwendung 2 Weiterleiten der von SecuTrial überprüften Anmeldung an die Treuhandstelle (mit Nutzernamen & Nutzerrolle) 3 Etablierung der sessionbezogenen Kommunikation zwischen Treuhandstelle und SecuTrial 4 Etablierung der sessionbezogenen Kommunikation zwischen SecuTrial und dem Nutzer im Studienzentrum Quelle: Universitätsmedizin Greifswald, ICM VC 2013 Abbildung 5 Anmeldung am ecrf System Studienteilnehmer und Informed Consent anlegen Um eine neue Person anlegen zu können, wird das entsprechende ecrf durch den Nutzer im Studienzentrum aufgerufen. Das Formular wird durch die Treuhandstelle digital bereitgestellt. Der Nutzer gibt die identifizierenden Daten gemäß der Spezifikation der Treuhandstelle (vgl. Abschnitt B1 Kapitel 3.2) in die Eingabemaske ein und übersendet sie über einen verschlüsselten Tunnel direkt an die Treuhandstelle (vgl. Kapitel 1.2 und Abbildung 7). Gleichermaßen stellt die Treuhandstelle ecrf zur Eingabe der Einwilligung bereit, um die im Studienzentrum in Papierform vorliegenden IC als digitale Repräsentation an die Treuhandstelle übertragen zu können (vgl. Kapitel 3.3). Ein IC kann positiv sein, d.h. eine Einwilligung wurde (zumindest teilweise) erteilt und ein IC kann negativ sein, d.h. es wurde keine Einwilligung erteilt. Nach Eingabe des Informed Consent wird auch dieser an die Treuhandstelle übermittelt. Innerhalb der Treuhandstelle werden anhand der empfangenen IDAT Matching Prozesse angestoßen, die die eingehenden IDAT mit bereits bekannten IDAT vergleichen. Ist die spezifizierte Person noch nicht vorhanden und der jeweilige IC positiv, wird eine neue Person in der THS angelegt, ein entsprechendes Pseudonym generiert (vgl. Abschnitt B1 Kapitel 2.2) und das Pseudonym an das Studienzentrum zurück übermittelt. In diesem Fall kann im Studienzentrum unter Angabe des Pseudonyms mit der Erfassung der medizinischen Daten begonnen werden. Die dazu nötigen ecrf werden von der Datenhaltung Göttingen bereitgestellt, die im Anschluss auch Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 16

17 die pseudonymisierten Daten in Empfang nehmen. Dieser Fall (Idealfall) wird in der Abbildung 9 aus operationaler Sicht dargestellt. Tritt im Rahmen der Matching Prozesse der Fall ein, dass die identifizierte Person im System der Treuhandstelle bereits vorhanden ist und gleichzeitig der IC positiv ausfällt, erhält das Studienzentrum einen entsprechenden Hinweis und die Treuhandstelle liefert das bereits vergebene Pseudonym zurück. Kommt es bei den Matching Prozessen zu einem sog. Critical Match, d.h. die angegebenen IDAT entsprechen bis auf wenige Unterschiede einer bereits vorhandenen Person, wird der Nutzer im Studienzentrum zum Ausschluss von Fehlern aufgefordert die eingegebenen Daten zu prüfen und ggf. zu korrigieren. Tritt nach erneutem Matching wiederum ein unsicheres Match auf, d.h. Doppler können nicht vollständig ausgeschlossen werden (vgl. Abschnitt B1 Kapitel 1.1), wird bei positivem IC eine neue Person mit den übersendeten IDAT angelegt. Weitere Schritte erfolgen analog zum vorab beschriebenen Idealfall. Im Fall einer Ablehnung der Teilnahme durch den Patienten bzw. Probanden (negativer IC) richtet sich das weitere Vorgehen nach Aufbau und Inhalt der Informed Consent Dokumente (vgl. Kapitel 3.3) und beinhaltet zwei mögliche Vorgehensweisen. Variante 1 sieht vor, wie gesetzlich vorgeschrieben, ohne positiven IC weder IDAT noch den IC selbst innerhalb der Treuhandstelle zu speichern. Variante 2 dagegen beinhaltet grundsätzlich die Speicherung dieser Daten, sofern der Teilnehmer vorab einer Speicherung von IDAT und IC auch bei negativem IC zustimmt. Beide Varianten sind technisch problemlos möglich. Welche Variante schlussendlich realisiert wird, ist abhängig von der Ausgestaltung der Aufklärung und den Festlegungen durch das Ethikprojekt, beispielsweise ob grundsätzlich ein Mindestdatensatz an IDAT gespeichert werden soll. Für das DZHK ist zu diesem Zeitpunkt vorgesehen, innerhalb der Treuhandstelle weder IDAT noch den IC selbst zu speichern (vgl. Kapitel 3.3). In diesem Fall erfolgt keine Neuanlage von Person und IC. Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 17

18 Abbildung 6 Studienteilnehmer anlegen Studienteilnehmer aktualisieren Die Änderung von Personendaten wird grundsätzlich in zwei Bereiche unterschieden. Sollen IDAT einer Person aktualisiert werden (z.b. Namensänderung), wird die notwendige Änderung des Datenbestands innerhalb der Treuhandstelle vorgenommen. Sollen dagegen MDAT angepasst oder ergänzt werden, erfolgt die Änderung in der Datenhaltung. Im Kooperationsvertrag ist geregelt, dass die zur Änderung notwendigen ecrf jeweils durch die datenspeichernde Stelle bereitgestellt werden. Voraussetzung für die Änderung einer Person ist, dass die Person bereits angelegt wurde und demzufolge das entsprechende Pseudonym bekannt ist. Der Nutzer im Studienzentrum ruft, unter Angabe des Pseudonyms der zu ändernden Person, das entsprechende ecrf in SecuTrial auf. Zur Bearbeitung von IDAT und MDAT werden jeweils unterschiedliche Formulare bereitgestellt. Im Fall einer IDAT Aktualisierung werden die zu ändernden Daten im ecrf durch den Nutzer eingegeben und an die Treuhhandstelle übermittelt. Bevor die aktualisierten IDAT gespeichert werden, durchlaufen sie den Matching Prozess. Sind die neuen IDAT eindeutig, wird der Datenbestand bei gleichbleibendem Pseudonym in der Treuhandstelle aktualisiert. Führt der Matching Prozess zu einem unsicheren Match, wird der Nutzer im Studienzentrum darüber Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 18

19 informiert und weitere Schritte müssen manuell mit dem zuständigen Datentreuhänder in der Treuhandstelle geklärt werden. Abbildung 7 Studienteilnehmer aktualisieren Die Änderung von MDAT erfolgt analog. Mithilfe des Pseudonyms wird das entsprechende ecrf von der Datenhaltung angefordert, werden die medizinischen Daten aktualisiert und zur Speicherung an die Datenhaltung in Göttingen übermittelt. Abbildung 7 veranschaulicht den beschriebenen Workflow. Informed Consent aktualisieren Voraussetzung für die Aktualisierung eines Informed Consent ist, dass die zugehörige Person bereits angelegt wurde, das entsprechende Pseudonym bekannt ist und dieser Person bereits ein IC zugeordnet wurde. Der Nutzer im Studienzentrum ruft, unter Angabe des Pseudonyms der jeweiligen Person, in SecuTrial das die Eingabemaske zum Anlegen eines Informed Consent auf. Dieses Formular wird durch die Treuhandstelle zur Verfügung gestellt. Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 19

20 Abbildung 8 Informed Consent eines Studienteilnehmers aktualisieren Die Aktualisierung eines Informed Consent besteht im Wesentlichen aus der Erfassung eines neuen IC. Dieser ist nach Erstellung Entscheidungsgrundlage für die Zulässigkeit der einzelnen Prozesse der Datenverarbeitung und bildet die dann aktuellen Aspekte der Einwilligung der betreffenden Person ab. Ist der neu angelegte IC positiv, werden bis zu diesem Zeitpunkt gesammelte Daten weiterhin zu den Bedingungen der zum Erhebungszeitpunkt gegebenen Einwilligung verarbeitet (gespeichert, verwendet), die zukünftige Datenerfassung richtet sich jedoch nach den Bestimmungen des neuen IC. Ein negativer IC entspricht einem Widerruf. Der neue IC wird zusammen mit dem Pseudonym an die Treuhandstelle übergeben. Diese veranlasst im Falle eines Widerrufs alle weiteren Schritte (vgl. 3.3). Der Nutzer im Studienzentrum wird Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 20

21 abschließend über die erfolgreiche Aktualisierung des IC informiert. Abbildung 8 stellt die beschriebenen Zusammenhänge grafisch dar. 2 Erweiterter Schutzbedarf Im Rahmen des Zentralen Datenmanagements des DZHK ist für das Teilprojekt Treuhandstelle kein erweiterter Schutzbedarf gegenüber der Darstellung in Abschnitt B1 Kapitel 3.3 gegeben. 3 Ergänzende technische und organisatorische Maßnahmen 3.1 Einbindung des ecrf Systems SecuTrial Für die Erfassung der Daten setzt das Teilprojekt Datenhaltung elektronische Fragebögen (sog. ecrf) ein. Zu deren Realisierung wird die kommerzielle ecrf Lösung SecuTrial genutzt. SecuTrial ist vollständig webbasiert und unterstützt typische Funktionen, wie Audit Trail, ein Rollen und Rechtekonzept und eine elektronische Signatur. Die Einhaltung gängiger Sicherheitsstandards gemäß 21 CFR Part 11 4 wurde offiziell bestätigt. [2] Eine nähere Beschreibung der datenschutzrelevanten Aspekte über die hier dargestellte Schnittstellen Nutzung hinaus ist Teil des Datenschutzkonzeptes der DH. 3.2 Abtrennung von identifizierenden Daten Die Verwendung von SecuTrial erlaubt die frühestmögliche, sichere Trennung von medizinischen und personenidentifizierenden Daten aus organisatorischer Sicht. Die IDAT des Studienteilnehmers werden vorab durch ein DZHK weit eindeutiges Pseudonym ersetzt, das von der Treuhandstelle vergeben wurde. Eine nachträgliche Auflösung von Pseudonym zu IDAT ohne Einsatz der Treuhandstelle ist nicht möglich. 5 Innerhalb der Treuhandstelle kommen dabei zwei Systeme zum Einsatz. Das zentrale ID Management führt die eindeutige Identifikation von Personen anhand von IDAT durch und ordnet jeder Person einen individuellen Schlüssel zu. Dieser Schlüssel wird mittels separatem Pseudonymisierungsverfahren unkenntlich gemacht. Sowohl die Personenschlüssel (MPI ID) als auch deren zugeordnete Pseudonyme (PSN) werden innerhalb der technischen Infrastruktur der Treuhandstelle elektronisch verwaltet und gespeichert. Vorteil dieses Vorgehens ist, dass auf diese Weise bereits die Erfassung der medizinischen Daten in pseudonymisierter Form erfolgen kann und zu keinem Zeitpunkt weder medizinische Daten Zumindest nicht ohne ein unverhältnismäßig hohes Maß an Aufwand (vgl. BDSG 3 Abs. 6a) Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 21

22 innerhalb der Treuhandstelle verarbeitet werden noch identifizierende Daten in der Datenhaltung vorhanden sind. 3.3 Umgang mit Informed Consent Dokumenten Die Einwilligung der Person zur Teilnahme in der jeweiligen Studie bzw. Register wird in Form eines Einwilligungsdokuments dokumentiert. Der Teilnehmer bestätigt rechtswirksam, in der Regel durch Unterschrift, dass er der Erfassung, Verarbeitung und Speicherung seiner Daten im beschriebenen Umfang zustimmt und ermächtigt die Verantwortlichen im Rahmen des DZHK seine Daten zu Forschungszwecken zu erheben. Durch Übertragen der Informationen in eine entsprechende Eingabemaske und Scannen der papierbasierten Einwilligungserklärung als Bild werden die Informed Consent Informationen in ein digitales Format (elektronisch nutzbare Variante und PDF Version) übertragen. 6 Das originale Papierdokument verbleibt für die Dauer der Studie im Studienzentrum. Neben der elektronischen Erfassung des IC mittels ecrf wird der Scan des originalen Papierdokumentes als Bild an die THS übermittelt. Gründe hierfür sind Nachvollziehbarkeit im Falle von Audits und Qualitätssicherung. Potentielle Teilnehmer werden vor Ort in den Studienzentren durch Ärzte über Umfang und Folgen ihrer Einwilligung, sowie Möglichkeiten des Widerrufs aufgeklärt. Das Vorgehen stellt sicher, dass die Teilnehmer die einzelnen Punkte des jeweiligen ICs verstanden haben und sich über deren Auswirkungen im Klaren sind. Der Teilnehmer hat jederzeit die Möglichkeit, Fragen zu stellen. Diese werden durch den aufklärenden Arzt sofort beantwortet. Das verwendete IC Dokument ist modular aufgebaut. Auf diese Weise hat der Teilnehmer die Möglichkeit, nur zu ausgewählten Abschnitten seine Einwilligung zu geben. Die Befristung der Speicherung von Daten ist in erster Linie gesetzlich festgelegt, richtet sich jedoch zusätzlich nach dem Text des IC Dokuments. Teilnehmer sind berechtigt, ihre Einwilligung jederzeit, mit oder ohne Angabe von Gründen, vollständig zu widerrufen (vgl. Abschnitt B1 Kapitel 1.3). Bleibt ein Widerruf aus, richtet sich die Verwendung der gesammelten Forschungsdaten nach dem IC Dokument, das bei Erhebung der Daten relevant war. Ein Rücktritt vom Widerruf ist nicht möglich. Der Widerruf kann in schriftlicher Form (Brief, Fax, Mail) oder mündlich den Studienverantwortlichen gegenüber erklärt werden. Er wird durch die Studienverantwortlichen der Treuhandstelle übermittelt und bezieht sich auf alle bislang erhobenen Daten. Die Treuhandstelle ist für die Dokumentation und das Durchsetzen des Widerrufs zuständig. Die Treuhandstelle speichert weiterhin sowohl IDAT als auch Widerruf des Teilnehmers. Bei Widerruf werden erhobene Daten durch Löschung entsprechender Zuordnungen in der Treuhandstelle anonymisiert (eine Löschung der erfassten Daten erfolgt nicht 7 ). Gleichfalls wird durch die Treuhandstelle die Vernichtung von Bioproben gegenüber der Stelle initiiert, die physisch über die Proben verfügt. Die erfolgreiche Durchsetzung des Widerrufs wird dem jeweiligen Studienzentrum schriftlich bestätigt. 6 Die konkrete Ausgestaltung und Form der Informed Consent Dokumente für DZHK Projekte ist zum Zeitpunkt der Erstellung dieser Dokumentation noch nicht bekannt und wird im Zuge der Arbeiten des Ethikprojektes erarbeitet und harmonisiert werden. Zum gegenwärtigen Zeitpunkt wird davon ausgegangen, dass die primäre Version des IC jedem Teilnehmer in Papierform vorgelegt wird. 7 Anstelle einer Löschung werden Daten innerhalb der primären Datenbank gesperrt. Dies und die Prüfung tagesaktueller ICs vor Herausgabe der Daten durch die Transferstelle, gewährleisten den Ausschluss der Daten von der weiteren Verwendung. Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 22

23 3.4 Personelle Maßnahmen In Ergänzung zu Abschnitt B1 Kapitel 4.8 setzt sich das Personal der Treuhandstelle aus dem Koordinator der Treuhandstelle und zwei wissenschaftlichen Mitarbeitern für organisatorische Prozesse und deren technische Umsetzung zusammen. Die Gruppe der Treuhandstellenmitarbeiter wird über Projektmittel finanziert und wurde den Mitarbeitern des DZHK namentlich bekannt gemacht. Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 23

24 A3 Projektspezifika der Datenhaltung (Göttingen) 1 Arbeitsabläufe und Datenflüsse Die am Institut für Medizinische Informatik der Universitätsmedizin Göttingen verortete datenhaltende Stelle (Datenhaltung, DH) des Zentralen Datenmanagements hat die Aufgabe, Methoden, Prozesse und Werkzeuge für die Verarbeitung 8 personenbeziehbarer 9 Daten zu entwickeln und bereitzustellen. Diese Aufgabe teilt sich im wesentlichen in zwei Hauptprozesse: Die Dateneingabe über elektronische Erfassungsbögen (ecrf, electronic Case Report Forms) sowie den Datenexport und die Herausgabe dieser Exporte für die nachgelagerte Auswertung. Weitere flankierende Aufgaben, wie die fachliche Beratung bei der Konzeptionierung und Erstellung der ecrf, die Schulung und Hilfestellung zu der eingesetzten Software secutrial sowie der Aufbau einer Reporting Komponente für Qualitätssicherungsbelange seitens des Vorstands und der Geschäftsstelle. Gemäß der generischen Konzepte zum Datenschutz, welche durch die TMF veröffentlicht wurden, übernimmt die Datenhaltung die Verarbeitung der pseudonymisierten Medizinische Daten (MDAT) sowie den Betrieb der Forschungsdatenbank [3]. Identifizierende Daten (IDAT) sind zu keinem Zeitpunkt den Softwaresystemen oder den Mitarbeitern der DH bekannt. Zu den typischen Aufgaben der Datenhaltung zählen: Bereitstellung und Betrieb der Studiendatenbank secutrial auf geeigneten Servern Umsetzung aller im DZHK für die Datenerhebung benötigten ecrfs (Basisdatensatz und studienspezifische Module) Verarbeitung der über secutrail erfassten Daten unter den durch die Treuhandstelle generierten Pseudonymen Innerhalb der folgenden Verfahrensbeschreibung wird lediglich auf das bisher etablierte Werkzeug secutrial der Firma ias / interactive Systems GmbH 10 eingegangen. Dieses wird für die Erfassung, Verarbeitung und Speicherung von Studiendaten verwendet. Das vorliegende Dokument muss somit bei Hinzufügung weiterer Erfassungssysteme (z.b. Biomaterialverwaltungsdatenbank oder Bilddatenmanagementsystem) entsprechend erweitert werden. Seitens des DZHK wird beabsichtigt, auch für die Datentypen Bilddaten und Biomaterialverwaltungsdaten zentrale Speicher und Verwaltungssysteme zu beschaffen und zu betreiben. Der Datentransfer zwischen diesen Softwarekomponenten ist sinnvoll (z.b. ist es denkbar, klinische Daten wie die Information 8 Datenverarbeitung wird hier analog der Definition 3, Abs 2 NDSG verwendet und umfasst somit Erheben, Speichern, Verändern, Übermitteln, Sperren, Löschen und Nutzen personenbezogener Daten [13]. 9 Personenbeziehbar wird hier analog der Definition des Kommentars zum NDSG verwendet. Bestimmbar ist die Person, wenn der Personenbezug mit Hilfe von Zusatzwissen von der Daten verarbeitenden Stelle hergestellt werden kann [13]. Dieses Zusatzwissen wird durch die Treuhandstelle verwaltet GESCHÜTZT? Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 24

25 Raucher: ja/nein bei der Befundung eines Bilddatensatzes des Herzens direkt in die Bildauswertungssoftware einzublenden. Dies kann mit einer Kommunikation zwischen secutrial und der Bilddatenverwaltungssoftware ermöglicht werden), wird in diesem Datenschutzkonzept jedoch bisher nicht berücksichtigt. 1.1 Datenerhebung Die Datenerhebung geschieht in den für die jeweilige Studie zuständigen Zentren, welche sowohl in den jeweiligen Förderanträgen als auch in den Studiendesigns benannt sind. Die erhebenden Zentren haben aufgrund ihres Behandlungszusammenhangs das Recht auf Kenntnis der identifizierenden und der medizinischen Daten (vgl. Tabelle 1 auf Seite 15). Die erhebende Person hat direkten Patientenkontakt. Die Erhebung der Daten erfolgt üblicherweise durch speziell für die Studien geschulte Personen, z.b. eine Studynurse oder einen Studienarzt. Die gemäß 10 Abs. 2 Nr. 1 NDSG geforderte Einwilligung des Patienten zur Speicherung, Veränderung und Nutzung der zu erhebenden Daten wird durch das datenerhebende Personal abgefragt und dokumentiert. Die Speicherung dieser Einwilligungsinformation erfolgt in der Treuhandstelle (vgl. Use Case Teilnehmer und Informed Consent anlegen, Seite 16 sowie Use Case Informed Consent aktualisieren, Seite 19). 1.2 Datenerfassung Die Datenerfassung mit Hilfe der Software secutrial erfolgt durch Eingabe der in der Erhebung abgefragten Items in durch die DH erstellten und bereitgestellten ecrfs. In den meisten Fällen wird der Prozess der Datenerhebung parallel mit dem der Datenerfassung durchgeführt. Dies ist jedoch aus technischer Sicht nicht zwingend notwendig. Die erhobenen Daten können auch zunächst auf ausgedruckten Fragebögen zwischengespeichert sein. Die Erfassung der erhobenen Daten in den bereitgestellten ecrfs erfolgt in den meisten Fällen durch eine Studynurse oder einen Studienarzt. Der Zugriff auf die Studiendatenbank secutrail sowie deren technische Absicherung wird in Abschnitt 8.1 ab Seite 52 beschrieben. Im Vorfeld der Datenerhebung werden die MDAT von den IDAT abgespaltet. Dies geschieht durch Einbindung einer IDAT Eingabemaske der THS, bevor die eigentliche MDAT Dateneingabe erfolgt. Die Eingabe der IDAT findet direkt auf den Servern der THS statt. Diese getunnelte Realisierung stellt sicher, dass IDAT niemals im secutrial System bekannt werden. Dies veranschaulicht Abbildung 4 auf Seite sowie der Abschnitt 3.2 ab Seite 21 und der Abschnitt 2.4 ab Seite 36. Über secutrial wird ebenfalls das Query Management innerhalb der Studien, Register und Kohorten eingesetzt. Queries sind ein Hilfsmittel für Monitore und andere autorisierte Nutzer, um z.b. Folgeuntersuchungen zu unklaren Einträgen zu veranlassen. Studienärzte und Studynurses können Queries lesen, prüfen, ggf. beantworten und schließen. Auch dieser Prozess ist ausschließlich für im System hinterlegte Nutzer zugänglich. 1.3 Datenspeicherung und Datenverwaltung Neben der Bereitstellung geeigneter Erfassungswerkzeuge ist eine Kernaufgabe des Zentralen Datenmanagements die langfristige Speicherung und Verwaltung der erhobenen Daten. Bereits bei der Datenerfassung wird für den entsprechenden Datensatz ein nicht umgehbarer Audit Trail, Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 25

26 angelegt. Dieser speichert, welche Person (Login Information in secutrial) mit welcher Rolle (aus der Login Information abgeleitet) welche Operation zu welcher Uhrzeit/Datum an welchem Datensatz durchgeführt hat. Somit ist eine lückenlose Versionierung und Nachvollziehbarkei aller Änderungen gewährleistet. Auch das oben erwähnten Query Management wird vollständig in den Audit Trail aufgenommen. Der Audit Trail bietet einen Überblick aller Änderungen, die an den Daten im aktuellen Formular vorgenommen und gespeichert wurden. Er kann nach erstmaligem Speichern eines Formulars aufgerufen werden. Das Eingeben und Speichern von Kommentaren, das Durchführen von Queries und Query Antworten, sowie ggf. das Durchführen einer SDV 11, von Reviews und Formular sperren Aktionen und das Beenden der Datenerfassung stellen allesamt Speichervorgänge am jeweiligen Formulardar. Daher werden all diese Aktionen in der Speicherhistorie im oberen Abschnitt des Audit Trail abgebildet. Jeder Speichervorgang dokumentiert die aktuelle Projektversion, so dass auch hier Änderungen am Projekt Setup nachvollzogen werden können. Zudem wird angezeigt, ob eine E Signatur für die Speicherung verwendet wurde und ob diese nach wie vor gültig ist. Abbildung 9: Beispiel für einen Audit Trail innerhalb von secutrial. Sämtliche Eingaben, Änderungen und Löschungen werden unlöschbar protokolliert. 1.4 Transferstelle: Datenaufbereitung und Datentransfer Das durch die DH betriebene System secutrial dient vorrangig der Dokumentation und Speicherung von Studiendaten. Zwar können auch gefilterte Exporte dieser Datenbank durchgeführt werden, jedoch ist das System selbst nicht für die Durchführung statistischer Anylsysen oder für ein vollständiges Qualitätsmanagement der Daten vorgesehen. Hierfür werden nachgelagerte Systeme verwendet, welche ihrerseits jedoch auch ausschließlich mit pseudonymisierten Daten arbeiten. Die Daten werden hierfür über die Transferstelle, welche ebenfalls durch die DH entwickelt und betrieben wird, bereitgestellt. Die Datenaufbereitung beinhaltet folgende Schritte: Export der Daten aus der Studiendatenbank 11 Source Data Verification (SDV) kann als zusätzlicher Schritt der Datenqualitätssicherung konfiguriert werden. Dann kann der Vergleich der Studiendaten mit den Originaldaten (vgl. Schritte Datenerhebung und Datenerfassung )in secutrial protokolliert werden. Die Überprüfung ist grundsätzlich für jedes Item, aber auch summarisch oder stichprobenhaft für Formulare, Visiten und den gesamten Patienten möglich. Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 26

27 Austausch der in secutrial verwendeten Pseudonyme (PID_MDAT) in ein weiteres durch die THS generiertes Pseudonym (PID_DWH) Laden dieser umpseudonymisierten Daten in den Datenspeicher der DZHK Transferstelle Innerhalb des Transferstellen Datenspeichers können spezifische Suchanfragen auf die pseudonymisierten Daten gestellt werden. Diese Suchanfragen werden gemäß des Dokumentes Nutzungsordnung des DZHK e.v. zur Nutzung von Daten und Probenmaterial des DZHK: Use and Access Policy durch die Transferstelle bearbeitet. Das heißt, dass sämtliche Anfrage auch wenn sie später verworfen werden gespeichert werden. Die durch die Transferstelle herausgegebenen Daten werden ebenfalls mit ihrer konkreten Ausprägung (welche Daten wurden wann an welche Person übergeben) gespeichert. Die herausgegebenen Daten werden nicht unter dem originär in der DH verwandten Pseudonym an die anfragende Person geschickt sondern werden umpseudonymisiert. Das herausgegebene Pseudonym wird ebenfalls in der THS generiert. Nutzung der Daten für die Forschung Während der Datenaufbereitung und der Vorbereitung des Datentransfers wird von Beginn an zwischen zwei Szenarien der Datennutzung differenziert. Erstes Anwendungsszenario ist die Nutzung der Forschungsdaten durch mit dem DZHK assoziierte Forscher. Dies ist das primäre Nutzungsszenario und erfordert die Anzeigung und Genehmigung des Nutzungsvorhaben gegenüber dem zuvor erwähnten Use&Access Komitee des DZHKs (vgl. 5 der Nutzungsordnung). Ohne ein positives Votum werden keine Daten jeweglicher Form an Nichtangehörige des ZDM oder des Use&Access Komitees herausgegeben. Dieses Vorgehen ist notwendig um zum einen eine klare Situation der Nutzungs und Eigentumsrechte sicherzustellen und zum anderen wird während des Exportvorgangs eine erneute Umpseudonymisierung vorgenommen, damit die exportieren Daten ein für sie individuelles Pseudonym erhalten. Durch diese zweistufige Pseudonymisierung werden die durch den Träunhänder bereitgestellten Pseudonyme auf die Systeme des ZDM beschränkt. Um eine Rückführung eventl. Forschungsergebnisse an das DZHK zu ermöglichen, ist eine Nutzung von Anonymen im diesem Fall nicht anwendbar. Dieser Prozess ist in Abbildung 20 auf Seite 57 dargestellt. Qualitätsmanagement und Controlling Das zweite Anwendungsszenario im Sinne von Aufbereitung und Transfer ist die Nutzung der Daten zum internen Qualitätsmanagement innerhalb der DH und zum Reporting an das Controlling des DZHK (Vorstand und Geschäftsstelle). Im Gegensatz zu den zuvor genannten Forschungsexporten werden bei diesem Schritt keine Daten durch das ZDM herausgegeben, auch nicht in anonymisierter Form. Mit dem QM beauftragte Personen können zu diesem Zweck Kennzahlen an die DH melden, welche dort mit ihren jeweiligen Bildungsvorschriften registriert werden. Diese Registrierung wird zwischen QM und DH abgestimmt. Dieser Prozess ist in Abbildung 21 auf Seite 57 dargestellt. Modellierung von Abfragen an die datenhaltenden Systeme sowie das nachgelagerte Warehouse werden durch die DH durchgeführt, so das die Kennzahlen durch die Systeme des ZDM berechnet und in einem Speicher hinterlegt werden. Während des Berechnungsprozesse ist je nach Art der Kennzahl eine temporäre Zusammenführung von gespeicherten Daten notwendig. Hier ist es wichtig zu betonen, dass die Nutzung der Zusammengeführten Daten nur temporär zu Berechnung der Berichtsdaten durchgeführt wird. Berechnung findet hauptspeicherbasiert statt, so dass keine Speicherung der Daten auf nicht flüchtigen Speichern durchgeführt werden soll. Die erwarteten Kennzahlen werden größtenteils Querschnittsinformationen sein, welche keinen direkten Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 27

28 Personenbezug haben werden. Die bereitgestellten Zahlen befinden sich demnach auf einem Abstaktionsniveau welches eine Personenbeziehbarkeit ausschliesst. Dieser Prozess ist in Abbildung 23 auf Seite 58 dargestellt. Architektur der Transferstelle Das zentrale Informationssystem zur Umsetzung beider Anwendungsszenarien ist ein modulares Datawarehouse System, welches parallel zu den datenerfassenden Systemen die Aufbereitung und Komposition der zu exportierenden Daten übernimmt. Die Datenverarbeitung innerhalb des Warehouses folgt dem ETL Muster, also einer sequenziellen Extraktion, Transformation und dem abschliessenden Laden der Daten. Dieses Muster wird iterativ je nach Anwendungsfall individuell angepasst und durchgeführt. Aus den verschiedenen Quellsystemen werden die Daten mittels angepasster Exportfilter zunächst exrahiert und zusammengefasst. Hier findet bereits früh im Prozess eine Umpseudonymisierung statt. Die Pseudonyme der Quellsysteme werden an den Treuhänder gesendet und durch die Pseudonyme der Warehouse Domäne ersetzt. Gleichzeitig werden bereits erste Kennzahlen berechnet und in den Datenstrom eingewoben. Sind die Informationen für diese Berechnung auf verschiedene Quellsysteme verteilt so werden die Datensätze temporär durch den Treuhänder zusammengeführt, jedoch im Anschluss an die Berechnung wieder verworfen. Während des Imports werden die Daten nach Aspekten der Qualitätssicherung von Artefakten bereinigt und harmonisiert. Innerhalb des Warehouse liegen die Datensätze in einem personenzentrierten Schema vor, verteilen sich jedoch auf unterschiedliche Pseudonyme. Auch nach dem Import in das Warehouse liegen die Daten in nicht zusammengeführter Form vor. Damit die Informationen des Warehouse dem Forscher oder dem Controller zugänglich gemacht werden können, müssen die Daten bei Bedarf zusammenführbar sein. Hierzu wird zusammen mit der Treuhandstelle ein Record Linkage durchgeführt. Hierbei werden die Pseudonyme für den Export zusammengestellt und zusammen mit einer formalisierten Beschreibung des Nutzungsvorhabens an den Treuhänder geschickt. Dieser prüft pro Datensatz, ob die Nutzung durch einen Informed Consent abgedeckt wird und der Datensatz in beabsichtigter Weise verwendet werden darf. Im Positivfall ersetzt die Treuhandstelle die Warehouse Pseudonyme durch ein Linkage Pseudonym und sendet den Datensatz zurück an die Transferstelle. Die Nutzung der zusammengeführten Daten teilt sich nun nach Einsatzszenario in zwei unterschiedliche Vorgehensweise auf. Für das Controlling bestimmte Daten werden nun nach den Bildungsvorschriften der registrierten Kennzahlen aufbereitet. Hierfür werden die Daten nur so lange in zusammengeführter Form vorgehalten, wie es für die Berechnung der Kennzahlen notwendig ist. Abschliessend werden die Ergebnisse in eine geeignete Form gebracht, zum Beispiel dem OLAP Format für analytische Auswertungen. Die Weitergabe wird im Audit Trail des Warehouse mit Empfänger dokumentiert und es verbleiben keine weiteren Spuren der zusammengeführten Daten im Warehouse. Im Falle eines Exports für ein Forschungsvorhaben benötigt ein Forscher einen zusammengeführten Export. Ist durch den Treuhänder sichergestelllt, dass der Patient einem solchen Export zugestimmt hat und diese Zustimmung weiterhin gültig ist, so werden die Daten des Warehouse mittels des Record Linkage des Treuhänders zusammengeführt. Für jeden Export werden individuelle Exportpseudonyme erstellt, welche die Pseudonyme aus Warehouse und Record Linkage ersetzen. Dieser Prozess ist in Abbildung 22 auf Seite 58 dargestellt. Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 28

29 1.5 Beteiligte Personengruppen Folgende Personengruppen der Universitätsmedizin Göttingen sind am Aufbau und bei dem Betrieb der Datenhaltung tätig: Mitarbeiter des Geschäftsbereichs Informationstechnologie sind für den reibungslosen Betrieb, die Wartung und die Administration der eingesetzten Infrastruktur (Soft und Hardware) verantwortlich Mitarbeiter des Instituts für medizinische Informatik sind für die Entwicklung und Umsetzung des DH Gesamtkonzeptes sowie seiner Teile zuständig. Keine dieser Personengruppen hat Zugang zu den identifizierenden Daten der gespeicherten Datensätze oder ist in der Lage, diesen Zugang zu erlangen. 2 Vertragliche Grundlage der Zusammenarbeit von THS und DH Das ZDM kann nur als Gesamtheit die ihm übertragenen Aufgaben erfüllen. Die THS und die DH sind notwendige Komponenten für das Erreichen der im Vorfeld beschrieben Ziele. Für die Zusammenarbeit beider Teile wurde zwischen der Universitätsmedizin Greifswald, der Universitätsmedizin Göttingen und des Deutschen Zentrums für Herz Kreislauf Forschung e.v. ein Kooperationsvertrag geschlossen. Dieser ist am allseitig unterzeichnet worden und somit zu diesem Datum in Kraft getreten. Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 29

30 B Projektunabhängiger Abschnitt

31 B1 Treuhandstelle 1 Prozesse der unabhängigen Treuhandstelle Die Treuhandstelle stellt im Wesentlichen ein technisch und organisatorisch unabhängiges System dar, bestehend aus einem Treuhänder, einer definierten Menge von Prozessen bzw. Abläufen und dafür benötigten autarken technischen Diensten. Sie übernimmt die Aufgaben des Datentreuhänders bzw. der Vertrauensstelle, wie sie u.a. in den generischen Konzepten zum Datenschutz der TMF dargestellt werden [3]. Zu den typischen Aufgaben der unabhängigen Treuhandstelle zählen: die Zuordnung von personenidentifizierenden Daten und entsprechenden Kennungen für Quell und Sekundärsysteme die Verwaltung von Einwilligungen, Ermächtigungen und Widerrufen die Pseudonymisierung bzw. De Pseudonymisierung von Daten Durchführung von Registerabrufen Sekundärdatenabgleich und zusammenführung Mitwirkung bei der Durchführung von Follow Ups (z.b.: Vitalstatus) Mitwirkung bei Re Kontaktierung sowie Mitteilung von Zufallsbefunden Umsetzung von Widerrufen bzw. deren prozessualen Folgen Mitwirkung beim Transferstellen Prozess zur Daten und Materialübergabe Intern werden die Prozesse der Treuhandstelle durch festgelegte SOPs abgesichert. Nachfolgend werden zentrale Verantwortlichkeiten der Treuhandstelle, die zur erfolgreichen Erfüllung der übertragenden Funktionen wesentlich sind, näher betrachtet. 1.1 Eindeutige Identifizierung Medizinische Einrichtungen verwenden typischerweise lokal eindeutige Kennungen (sog. Local Identifier), um medizinische Daten einer Person eindeutig zuzuordnen. Diese Kennungen haben jedoch nur innerhalb der jeweiligen Domäne (z.b. Klinik) Gültigkeit. Datensätze identifizierender Daten zur selben Person können in verschiedenen Quellen aufgrund von Schreibfehlern oder zwischenzeitlichen Änderungen voneinander abweichen, so dass es bei der Zusammenführung von Daten zu Zuordnungsfehlern kommen kann. Werden Daten verschiedener Personen fälschlicherweise einer einzigen Person zugeordnet, entsteht ein Homonymfehler. Im umgekehrten Fall spricht man von einem Synonymfehler. Ersterer ist fatal und im Nachgang nur mit sehr hohem Aufwand korrigierbar, letzterer immerhin technisch unter Zuhilfenahme weiterer Daten auflösbar. Um Forschungsdaten aus mehreren Projekten und Studien einer einzigen Person zuordnen zu können, ist eine projektweite Kennung erforderlich, der sowohl die personenidentifizierenden Daten, als auch die einzelnen lokalen Kennungen zugeordnet sind. Dies muss fehlertolerant und nachvollziehbar erfolgen. Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 31

32 Aufgabe der Treuhandstelle ist es, Identitätsdaten unter Vermeidung von Homonymfehlern. sicher vorhandenen Datensätzen zuzuordnen, neue Datensätze unter Vermeidung von Synonymfehlern anzulegen, potentielle Dubletten zu erkennen, mögliche unsichere Zuordnungen zu klären und in sichere Zuordnungen zu überführen sowie vorhandene Identitätsdaten zu aktualisieren. Ergebnis der Zuordnung ist eine eindeutige MPI ID, die gemäß den Konzepten der TMF (vgl. [4]) ein Pseudonym erster Stufe darstellt. 1.2 Pseudonymisierung Nach 40 Abs. 2 BDSG sind personenbezogene Daten, die zu wissenschaftlichen Zwecken verarbeitet werden, frühestmöglich zu anonymisieren. Gemäß 34 Abs. 1 LDSG M V kann alternativ eine Pseudonymisierung der Daten erfolgen, sollten einer Anonymisierung wissenschaftliche Gründe entgegenstehen. Die Pseudonymisierung besteht im Wesentlichen aus der Ersetzung des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. ( 3 BDSG, [5]). Konkret wird der MPI ID eine eindeutige Pseudo Nummer (Pseudonym, PSN) zugeordnet. Im Rahmen der Treuhandstelle wird eine Pseudonymisierung der medizinischen Daten durchgeführt, um: eine eindeutige Zusammenführung medizinischer Daten einer Person / eines Patienten / eines Probanden im Studienverlauf zu ermöglichen, die prospektive Nachverfolgung von Probanden im Rahmen von Follow Ups zu realisieren, wiederholt den Kontakt zu Teilnehmern aufnehmen zu können, Qualitätssicherung gemeinsam mit den datenerhebenden Einrichtungen zu ermöglichen, und Sekundärdaten Analysen zu ermöglichen. Die angeführten Punkte machen im Rahmen von Projekten, Registerabrufen und Studien eine Umkehrbarkeit der Pseudonymisierung durch einen Datentreuhänder (Treuhandstelle) erforderlich. Es ist sichergestellt, dass identifizierende Daten ausschließlich innerhalb der Treuhandstelle gespeichert und verarbeitet werden. Das erzeugte PSN entspricht einem Pseudonym zweiter Stufe gemäß den Konzepten der TMF (vgl. [4]). Grundsätzlich beschränkt sich die Pseudonymisierung nicht nur auf die MPI ID. Im Rahmen unterschiedlicher Abläufe innerhalb der Treuhandstelle werden auf die gleiche Weise Probennummern, Laboraufträge, Bildnummern, u.a. umkehrbar unkenntlich gemacht. Um dabei den verschiedenen Fachdomänen Rechnung zu tragen, werden Pseudonyme domänenspezifisch generiert. Zudem besteht die Möglichkeit bereits erzeugte Pseudonyme erneut zu pseudonymisieren (Sekundärpseudonymisierung), beispielsweise im Rahmen der Daten und Materialübergabe (Transferstellen Prozess). 1.3 Einwilligung, Ermächtigung, Widerruf Bevor Daten zu Forschungszwecken erhoben werden dürfen, ist es (gemäß 8, Abs. 1 3 LDSG M V) notwendig, die Einwilligung des Betroffenen in schriftlicher oder elektronischer Form einzuholen, Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 32

33 wobei dieser vorab ausführlich über Bedeutung und Tragweite der Einwilligung, ( ) Art und Umfang der Verarbeitung ( ) und beabsichtige Empfänger der Daten zu informieren ist. Zu den weiteren Aufgaben der Treuhandstelle zählt die Verwaltung von Einwilligungen, Ermächtigungen und Widerrufen, den sogenannten Informed Consent Dokumenten (IC). Ein IC ist modular aufgebaut und besteht aus allgemeinen und projekt /studien /material spezifischen Abschnitten. Die Erstellung eines IC ist Teil des jeweiligen projektspezifischen Ethikkonzeptes. Die Inhalte werden in einem Abstimmungsprozess mit einer zuständigen Ethik Kommission harmonisiert und durch ein Ethik Votum bestätigt oder unter Auflagen korrigiert. Eine Einwilligung muss eine Zweckbindung enthalten. Dies wird durch die Treuhandstelle vor Aufnahme des IC und Beginn des Regelbetriebs geprüft. Ferner muss der IC studienspezifische Aspekte im Detail regeln, für die analog eine Prüfung vorgenommen werden muss. Dazu zählen Bioproben bzw. Materialien, klinische Daten und Daten medizinischer Geräte. Mit der Datenhaltung des jeweiligen Projektes werden Verweise abgestimmt, die diese Module der Einwilligung referenzieren und über die vor der Speicherung medizinischer Daten (MDAT) seitens der Datenhaltung eine Prüfung des aktuellen IC erfolgt. Zudem muss die Einwilligung folgende organisatorische Punkte enthalten, die ebenfalls durch die Treuhandstelle geprüft werden: Wem gegenüber wird die Einwilligung erklärt? Wird der Patient über sein Widerrufsrecht informiert? An wen ist der Widerruf zu richten? Welche Folgen hat ein Widerruf? Welche Form kann der Widerruf haben? Grundsätzlich sind Widerrufe durch Melder oder Patienten an die Treuhandstelle in schriftlicher Form zu übergeben. Der Treuhänder ist für die Dokumentation des Widerrufes verantwortlich. Diese erfolgt elektronisch, enthält einen Mindestsatz Identitätsdaten und wird für die Durchsetzung des geleisteten Widerrufs im Falle einer erneuten Meldung benötigt. Ferner ist der Treuhänder für die Durchsetzung des Widerrufs zuständig. Dies beinhaltet das Einholen von Bestätigungen über das Löschen von Daten in den beteiligten Studienzentren, Registern, etc., sowie die Löschung der Pseudonyme und der Identitätsdaten (bis auf den vorgeschriebenen Mindestsatz in der Treuhandstelle). Abschließend erfolgt die Protokollierung und Rückmeldung an den Übermittler des Widerrufs. Trotz des modularen Aufbaus des IC Dokuments werden nur komplette Widerrufe implementiert. Dennoch erlauben technische Gegebenheiten der Treuhandstelle im Einzelfall, beispielsweise bei separatem Widerruf der Bioprobenlagerung, Widerrufe in direkter Rücksprache mit der THS modulweise umzusetzen. Eine Folge des Widerrufes ist die Anonymisierung der Daten (MDAT). Eine Anonymisierung ist nicht umkehrbar, ein Rücktritt von einem Widerruf ist somit nicht möglich. Prospektiv ist eine erneute Einwilligung dagegen möglich. Vormals gespeicherte Daten sind jedoch unumkehrbar gelöscht bzw. anonymisiert und Bioproben vernichtet worden. Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 33

34 1.4 Arbeit mit Sekundärdaten Weitere Verantwortlichkeit der unabhängigen THS ist der Abruf von Sekundärdaten. Mögliche Sekundärsysteme sind Melderegister, gesetzliche und private Krankenversicherungen, kassenärztliche Vereinigungen bzw. niedergelassene Ärzte. Die Treuhandstelle unterstützt bei der Durchführung von Datenabrufen, beim Abgleichen von Sekundärdaten und bei der Durchführung von Aktualisierungen. 1.5 Mitwirkung im Use & Access Prozess Die Bereitstellung von Daten im Rahmen eines Use & Access Prozesses wird an der Universitätsmedizin Göttingen durch eine eigens eingerichtete Transferstelle realisiert. Dieser Transferstellenprozess erfordert die Mitwirkung der unabhängigen Treuhandstelle. Externe Forschungsvorhaben stellen Daten und Materialanfragen an die Transferstelle. Die Transferstelle ermittelt anhand der angegebenen Parameter den notwendigen Daten bzw. Materialbestand. Bevor die Datenübergabe durch die Transferstelle erfolgt, prüft die Treuhandstelle auf Widerrufe und führt eine domänenspezifische Sekundärpseudonymisierung der Daten bzw. des Materials durch. Dieser Schritt ist notwendig, um im Falle eines möglichen relevanten Zufallsbefundes die Zuordnung zur Person wiederherstellen zu können. 2 Technische Systeme Technische Systeme (Funktionen) der Treuhandstelle unterstützen den Datentreuhänder bei der rechtskonformen Umsetzung der Prozesse und Arbeitsabläufe. 2.1 Master Person Index MPI Der Master Person Index (MPI) stellt die technische Funktionalität für die unter Kapitel 1.1 beschriebene eindeutige Identifizierung von Personen bereit. Es handelt sich um ein modulares Softwaresystem innerhalb der Treuhandstelle, in dem allen Personen einer Quell Domäne ein eindeutiger systemübergreifender Index (Identifier, Kennzeichen) zugeordnet wird. Bevor diese eindeutige Zuordnung jedoch erfolgen kann, werden die personenbezogenen Daten einer Dublettenerkennung unterzogen. Hierzu wird eine konfigurierbare Teilmenge aller vorliegenden personenidentifizierenden Daten algorithmisch genutzt; typischerweise fließen zumindest Vorname, Nachname, Geburtsdatum, Geschlecht ein. Eine Dublettenerkennung wird dann notwendig, wenn die Subsysteme Personendaten und dazugehörige interne lokale Identifier selbst verwalten. Eine eindeutige Zuordnung von medizinischen Daten zu einer Personen aus mehreren dieser autonomen Subsysteme auf Grundlage ihrer lokalen Identifier ist nicht möglich, da dieser nur innerhalb seines Systems eindeutig ist. Der vom MPI verwendete Algorithmus zur Dublettenerkennung erlaubt es, auch bei (in gewissen Grenzen) unvollständigen bzw. fehlerhaften demografischen Informationen zu einer Person eine korrekte Zuordnung zu einer eindeutigen systemübergreifenden Kennung (MPI ID) vornehmen zu können. Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 34

35 Der MPI erweitert das Konzept des in [3] beschriebenen PID Generators der TMF. Der Unterschied besteht in der zusätzlichen Speicherung domänenspezifischer lokaler Identifier sowie in den konkreten Algorithmen und Wichtungen der genutzten probabilistischen Funktionen. Die Speicherung dieser Zuordnung einschließlich der lokaler Identifier ist gleichermaßen Bestandteil des Prozesses zur Wiedererkennung einer Person. Der Master Person Index wurde als Web Service konzipiert. Die notwendige Datenspeicherung erfolgt über eine separate MySQL Datenbank in der Treuhandstelle. 2.2 Pseudonymisierungsdienst Der Pseudonymisierungsdienst der Treuhandstelle ist verantwortlich für die Generierung und Zuordnung eines Pseudonyms (Pseudonym zweiter Stufe gemäß [4]) zu einer domänenspezifischen beliebigen Zeichenfolge. Der Dienst ist ebenfalls als Web Service konzipiert und kann gemeinsam mit anderen Services oder eigenständig eingesetzt werden. Alphabet und Länge der Pseudonyme, sowie Art des Prüfzeichenalgorithmus, zur Erkennung von Eingabefehlern, sind konfigurierbar. Die einzelnen Pseudonyme werden in einer Referenzliste innerhalb einer dem Pseudonymisierungsdienst lokal zugehörigen separaten MySQL Datenbank geführt. Zusätzlich sind Depseudonymisierung und projektspezifische Sekundärpseudonymisierung (Pseudonyme dritter oder höherer Stufe) möglich. Der PSN der TMF generiert Pseudonyme basierend auf dem der Person zugeordneten Identifier unter Angabe eines gemeinsamen Schlüssels ( Shared Secret ). Nachteil dieses Vorgehens ist, dass bei Schlüsselverlust sämtliche Pseudonyme als kompromittiert angesehen werden müssen. Die in der THS zum Einsatz kommende PSN Lösung ermöglicht es, Pseudonyme auf Basis generischer Algorithmen für beliebige Eingabewerte zu erzeugen. Die Angabe eines Schlüsselwertes ist nicht erforderlich. Die hypothetische Kenntnis einer einzelnen Zuordnung impliziert keinerlei Kenntnis von Algorithmen oder weiteren Zuordnungen, da die Generierung und Zuordnung arbiträr erfolgen und ein Shared Secret keine Verwendung findet. 2.3 Consent Manager Der Consent Manager ist für die technische Verwaltung und zentrale Speicherung des Informed Consent der Studienteilnehmer verantwortlich. Aufklärung und Einschluss von Personen ist durch medizinisch geschultes Personal (Ärzte) am Ort des Einschlusses umzusetzen, um den einzuschließenden Personen die Möglichkeit für Rückfragen zu geben und diese sofort fachkundig beantworten zu können, so dass im ethischen und rechtlichen Sinne ein informiertes Einverständnis vorliegt. Der Consent Manager unterstützt mittelbar bei der elektronischen Erhebung der Einwilligung von Personen durch die Mitwirkung bei der Generierung von Formularen zur Einwilligung und Ermächtigung. Es wird eine zentrale Schnittstelle zur Verfügung gestellt, über welche die studienspezifischen Einwilligungen und die dazugehörenden Module ( Policies ) elektronisch abgefragt werden können. Hierbei ist der Zugriff ausschließlich für vorab registrierte Systeme möglich. Im Rahmen der Datenherausgabe durch eine mögliche Transferstelle erlaubt der Consent Manager die automatisierte und tagesaktuelle Prüfung notwendiger mit den konkreten angeforderten Daten korrespondierender IC Module. Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 35

36 Der Consent Manager wurde ebenfalls als Web Service konzipiert. Die digitalen Repräsentationen der in den einschließenden Studienzentren verbliebenen, papierbasierten IC Dokumente werden der jeweiligen Person innerhalb der Treuhandstelle mittels MPI ID zugeordnet. Die jeweiligen ICs sind grundsätzlich modular aufgebaut. Jedem Einzelmodul ist eine technische Policy zugeordnet. Zudem unterstützt der Consent Manager die Versionierung von IC Dokumenten, falls diese im Verlauf eines Forschungsprojektes modifiziert oder erweitert werden. Eine Einwilligung kann ausschließlich komplett widerrufen werden; ein Widerruf einzelner Module wird nur in Ausnahmefällen unterstützt (vgl. Kapitel 1.3). Ein Rücktritt von einem Widerruf ist aufgrund der Unumkehrbarkeit einer Anonymisierung nicht möglich, sehr wohl kann aber prospektiv eine neue Einwilligung erteilt werden. 2.4 Architektur Die Architektur der realisierten Treuhandstellenfunktionalität ist primär auf die Realisierung von Workflows ausgerichtet. Ein direkter Zugriff auf die einzelnen Dienste der Treuhandstelle (MPI, CM, PSN) von außen ist nicht vorgesehen und wird technisch durch Firewall Regeln und nachgelagerte modulspezifische Autorisierung der Kommunikationspartner unterbunden. THS-Components Server Dispatcher Projekte IDAT IC PSN Web-Interface Studie PSN IC Register PSN IDAT Kohorte PSN + Widerruf (IC) Widerruf erfolgt PSN + IDAT IDATs geändert PSN + neuer IC IC neu angelegt Abbildung 10 Mögliche Einsatzszenarien der THS Schnittstelle Extern nutzbare Funktionalitäten der Treuhandstelle werden durch den Dispatcher über eine REST Schnittstelle bereitgestellt. Die Übergabe der Daten erfolgt im JSON Format. Das grundsätzliche Design und Nutzungskonzept dieser Schnittstelle ist stark an die Mainzelliste [6] angelehnt. Abbildung 10 zeigt potentielle Anwendungsmöglichkeiten des angebotenen Dienstes. Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 36

37 Zentraler Aspekt der Architektur ist neben den einzelnen funktionalen Modulen der Workflow Manager als Teil des Dispatchers. Der Workflow Manager verwaltet sogenannte Workflow Adapter, die jeweils die notwendige Logik zur Realisierung studienspezifischer Arbeitsabläufe beinhalten. Zu deren Implementierung wird auf die Basis Funktionen MPI, CM und PSN der THS zurückgegriffen. Jedes Projekt, jede Studie bzw. jedes Register o.ä. verfügt über eigenständige Adapter. Der Workflow Manager koordiniert die jeweiligen Anfragen an die zugrundeliegenden Dienste über entsprechende Clients und gibt jeweils die Antworten an das anfragende System zurück. Die einzelnen Dienste werden als Web Service bereitgestellt. Die Datenübertragung von Client und Server erfolgt verschlüsselt über HTTPS. Sämtliche notwendigen Daten werden in jeweils separaten Datenbanken vorgehalten, zu denen nur Mitarbeiter der Treuhandstelle Zugriff haben. Abbildung 11 veranschaulicht die beschriebenen Zusammenhänge. Dispatcher MPI-Client Workflow Management CM-Client PSN-Client SOAP SOAP SOAP HTTPS HTTPS HTTPS MPI-Service CM-Service PSN-Service SSL SSL SSL MPI-DB PSN-DB CM-DB THS-Components Server Abbildung 11 Technische Architektur der Treuhandstelle 3 Schutzbedarf 3.1 Rechtsgrundlagen Die Verarbeitung personenbezogener Daten erfordert die Einhaltung einer Vielzahl von gesetzlichen Rahmenbedingungen. Zweck einer unabhängigen Treuhandstelle ist es, die Einhaltung der datenschutzrechtlich relevanten Forderungen zu gewährleisten und dennoch die für Forschungszwecke nötige Flexibilität sowie den Verzicht auf Anonymisierung gesetzeskonform zu ermöglichen. Nachfolgend werden wesentliche Bestimmungen betrachtet, um so die jeweils zutreffenden datenschutzrechtlichen Aspekte herauszuarbeiten. Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 37

38 Grundgesetz Aus dem allgemeinen Persönlichkeitsrecht ergibt sich das Recht auf informationelle Selbstbestimmung, welches im Volkszählungsurteil vom Bundesverfassungsgericht als Grundrecht anerkannt wurde. So heißt es in dem Urteil: Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus. Dieser Schutz ist daher von dem Grundrecht des Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG umfasst. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. 12 [7] Geheimnisschutz nach 203 StGB Für ein Projekt im medizinischen Kontext ist auch die ärztliche Schweigepflicht zu beachten, die im 203 StGB geregelt ist. Diese Schweigepflicht betrifft dabei nicht nur Ärzte, Apotheker und ähnliche medizinische Berufe, sondern auch solche, die diesen Personen zuarbeiten. Dies sind z.b. Pflegekräfte und medizinische Fachangestellte. [7] Datenschutzgesetze Ob eine Einrichtung aus datenschutzrechtlicher Sicht dem Bundesdatenschutzgesetz (BDSG) oder dem entsprechenden Landesgesetz unterliegt, wird anhand der jeweiligen Rechtsform entschieden. ( [8], S. 145) Bei nicht öffentlichen Stellen, Stellen des Bundes und Privatunternehmen unterliegt die Erhebung und Verarbeitung personenbezogener Daten dem BDSG. [8]: Es gelten die Grundsätze der Datenvermeidung und Datensparsamkeit ( 3a BDSG). Eine Zulässigkeit ist durch entsprechende Rechtsvorschrift oder Einwilligung des Betroffenen gegeben. ( 4 BDSG) Angemessene technische und organisatorische Maßnahmen setzen Datenschutz durch. Für die Treuhandstelle als datenverarbeitende Stelle an der Universitätsmedizin Greifswald als Körperschaft des öffentlichen Rechts im Land Mecklenburg Vorpommern bedeutet dies konkret, dass die Erhebung, Verarbeitung und Nutzung medizinischer Forschungsdaten dem LDSG M V unterliegt. Da die THS an mehreren nationalen Projekten und Studien beteiligt ist, bleibt zu klären, welches der Landesdatenschutzgesetze im Fall einer länderübergreifenden Kooperation Anwendung findet. Dies richtet sich nach der jeweiligen Weisungsbefugnis. Erfolgt die Datenverarbeitung in der THS im Auftrag eines Projekts oder einer Studie, erhält sie Vorgaben, trifft keine eigenen Entscheidungen und unterliegt in diesem Fall dem LDSG des Auftraggebers. Handelt es sich jedoch um eine Funktionsübertragung, liegt die Verarbeitung der Daten allein und ausschließlich in der Verantwortung der THS und unterliegt somit der Rechtsprechung des LDSG M V. Erster Ansprechpartner in Datenschutzfragen ist in diesem Fall der Landesbeauftragte für den Datenschutz des Landes M V. Ferner haben Projektpartner die Möglichkeit weitere Bedingungen an die vereinbarte Funktionsübertragung zu knüpfen, wie beispielsweise die Gewährleistung landesspezifischer Datenschutzbestimmungen. 12 BVerfGE 65, 1 Volkszählung, 1983 Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 38

39 Das LDSG M V regelt detailliert sämtliche Verarbeitungsschritte personenbezogener Daten ( 7 23 LDSG MV). Beispielsweise: wird eine frühestmögliche Anonymisierung der personenbezogenen Daten gefordert ( 5). Hilfsweise ist auch eine Pseudonymisierung zulässig. ist die Einwilligung des Betroffenen in schriftlicher oder elektronischer Form einzuholen, wobei dieser vorab ausführlich über Bedeutung und Tragweite der Einwilligung, ( ) Art und Umfang der Verarbeitung ( ) und beabsichtigte Empfänger der Daten zu informieren ist. ( 8, Abs.1 3 LDSG M V) ist die Nutzung der Daten nur zu dem Zweck zulässig, für den sie erhoben wurden. ( 10 Abs. 2). Eine anderweitige Nutzung erfordert die Einwilligung des Betroffenen. ( 10 Abs. 3) sind unkorrekte Daten zu korrigieren bzw. zu löschen ( 13 Abs.1 und 2). Gleichermaßen kann auch eine Sperrung der Daten in Frage kommen ( 10 Abs. 3). trägt die Verantwortung bei der Datenübermittlung an andere Stellen (Zulässigkeit, Datenschutz, IT Sicherheit) die übermittelnde Stelle. ( 14 bis 16) werden konkrete Maßnahmen zur Wahrung der Datensicherheit gefordert ( 21). Gleichermaßen regelt das LDSG M V die Rechte des Betroffenen zur Auskunft, zur Sperrung und zum Widerruf ( 24, 25) und stellt gesonderte Forderungen an die wissenschaftliche Forschung ( 34). Die zur Umsetzung der geforderten Rahmenbedingungen notwendigen technischen, personellen, räumlichen und organisatorischen Maßnahmen werden in einem Datenschutzkonzept festgehalten und mit dem Landesbeauftragten für Datenschutz und Informationsfreiheit M V (LfD M V) abgestimmt. Landeskrankenhausgesetz Das Landeskrankenhausgesetz stellt zusätzliche Forderungen an den Patientendatenschutz. 13 Beispielsweise regelt 38 LKHG M V die Datenverarbeitung für Forschungszwecke. Absatz 1 fordert für die Verwendung von Patientendaten zu Forschungszwecken eine Einwilligung des Patienten. In Absatz 2 werden Ausnahmefälle definiert, in denen auf die Einwilligung des Patienten verzichtet werden kann. Beispielsweise falls schutzwürdige Belange durch Art der Daten und Offenkundigkeit der Nutzung nicht beeinträchtigt werden oder falls das öffentliche Interesse an der Durchführung des Forschungsvorhabens schutzwürdige Belange des Patienten überwiegt. Des Weiteren wird in Absatz 4 eine frühestmögliche Pseudonymisierung (Satz 1) bzw. Anonymisierung (Satz 2) gefordert. [7] 3.2 Speicherung personenbezogener Daten Aufgrund des medizinischen Kontexts fordern gesetzliche Rahmenbedingungen eine erhöhte Sensibilität beim Umgang mit personenbezogenen Daten. Die genannten Datenschutzgesetze regeln sämtliche Phasen bei der Verarbeitung medizinischer Forschungsdaten. Gleichermaßen beinhalten sie mögliche Konsequenzen, die eine Verletzung der Vorschriften und Restriktionen mit sich bringen kann. 13 Die Verteilung der Paragraphen unterscheidet sich je nach Landesgesetz. Im LKHG M V regeln beispielsweise die 32 bis 39 den Patientendatenschutz. Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 39

40 Um genaue epidemiologische und auch forschungsbezogene Analysen auf Basis erhobener Forschungsdaten realisieren zu können, müssen medizinische und identifizierende Daten einer Person einander eindeutig und möglichst fehlerfrei zugeordnet werden können (vgl. Abschnitt 1.1 Kapitel 1.1) und gleichzeitig den Ansprüchen des Datenschutzes genügen. Die identifizierenden Daten (IDAT) bestehen aus Vornamen, Nachnamen, Geburtsnamen (falls abweichend), Geschlecht, Geburtsdatum, Geburtsort, Anschrift und auch Kontaktdaten wie Telefon, Fax und Mail (vgl. Tabelle 2). Nach Rücksprache mit der Treuhandstelle ist eine Erweiterung des IDAT Datensatzes im Rahmen einer Studie möglich. IDATs werden frühestmöglich von den medizinischen Informationen (MDAT) getrennt; der Treuhandstelle sind in keinem Fall medizinische Daten (MDAT) der eingeschlossenen Personen bekannt. Die konkreten Anforderungen an die IDAT sind jedoch abhängig vom jeweiligen Studiendesign. Geburtsdatum und Geschlecht der Person werden neben dem Namen für eine fehlerfreie Zuordnung pseudonymisierter Daten und im Rahmen wissenschaftlicher Auswertungen verwendet. Adressdaten und Kontaktinformationen dienen in aller Regel einer späteren (eingewilligten) Kontaktaufnahme. Im Einzelfall ist auch die Speicherung weiterer personenbezogener Daten, wie beispielsweise Fall, Laborauftrags und Bildnummern möglich. Diese unterliegen den gleichen genannten Regelungen. Die Treuhandstelle übernimmt die Speicherung der erforderlichen Dokumente des Informed Consent, bestehend aus Einwilligungen, Ermächtigungen und Widerrufen. Die Dauer der Datenspeicherung wird von der jeweiligen Studie bzw. dem jeweiligen Register im Informed Consent und im Ethik Votum definiert. Bei der Festlegung der Dauer müssen gesetzliche Regelungen beachtet werden. IDAT Name, Vorname, Geschlecht, Geburtsdatum, Geburtsort, Adresse, Mail, Telefon, Fax Fall,Laborauftrags und Bildnummern Elektronisch auswertbare Einwilligung der teilnehmenden Person Informationen zur/zum Daten erhebenden Projekt/Studie/Register Identifizierende Daten des Erfassers: Name, Vorname, Titel, Abteilung Zweck Identifikation der Person innerhalb der Treuhandstelle, zur eindeutigen Zuordnung ihrer MDAT Durchführung von Registerabrufen, Sekundärdatenabgleich und Zusammenführung mit Sekundärdaten, Durchführung von Follow Ups (z.b.: Vitalstatus), Mitwirkung bei Re Kontaktierung Eindeutige Zuordnung des Materials zur Person Grundvoraussetzung zur Speicherung und Abruf der IDAT innerhalb der Treuhandstelle Qualitätssicherung Re Kontaktierung Qualitätssicherung Re Kontaktierung Tabelle 2 Übersicht der in der THS gespeicherten personenbezogenen Daten Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 40

41 3.3 Feststellung des Schutzbedarfs Bei den zu speichernden personenbezogenen Daten handelt es sich um Einzelangaben über persönliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Daraus ergibt sich ein hoher Schutzbedarf in Bezug auf die Vertraulichkeit der zu speichernden Daten. Im Folgenden wird der Schutzbedarf für die Systeme der Treuhandstelle auf Grund der Anforderungen an die Grundwerte der IT Sicherheit und in Bezug auf allgemeine Maßnahmen zur Datensicherheit ( 21 LDSG MV) dargestellt. Der Schutzbedarf wird in die drei Schutzbedarfskategorien (normal, hoch und sehr hoch) eingestuft (vgl. [9]). Grundwert Schutzbedarf Erläuterung Begründung Vertraulichkeit Hoch Daten dürfen lediglich von autorisierten Benutzern gelesen bzw. modifiziert werden. Dies gilt sowohl beim Zugriff auf gespeicherte Daten als auch während der Datenübertragung. Verfügbarkeit Normal Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet werden (gemäß GEP, GCP, IT / IS des LDSG). Integrität Hoch Personenbezogenen Daten müssen während der Verarbeitung unversehrt, vollständig und aktuell bleiben Innerhalb der Treuhandstelle werden IDAT von Personen gemäß geltendem LDSG verarbeitet (siehe LDSG M V 24, 25 und 34, analog gelten die entsprechenden Paragraphen des jeweiligen LDSG). Es werden Zuordnungen zwischen MPI ID und PSN gespeichert, wodurch Rückschlüsse auf die Identität eines Projekt /Studienteilnehmers möglich sind. Beeinträchtigung der Vertraulichkeit durch unautorisierte Zugriffe beeinflusst Vertrauen in der.öffentlichkeit negativ. Das kann zum Rückgang der Studienbeteiligung führen und somit Qualität der Studie beeinflussen. Bei Ausfall der THS ist Beeinträchtigung der Arbeitsfähigkeit in den Studienzentren bzw. Registern möglich. Verlust der Datenintegrität durch fehlerhafte oder unvollständige Zuordnungen bedeutet finanziellen Schaden für das Projekt und die Unbrauchbarkeit der Daten Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 41

42 Authentizität Hoch Echtheit und Glaubwürdigkeit einer Person oder eines Dienstes müssen überprüfbar sein Revisionsfähigkeit Hoch Es muss zu jedem Zeitpunkt feststellbar sein, wer wann welche personenbezogenen Daten auf welche Weise verarbeitet hat. Personenbezogene Daten müssen jederzeit ihrem Ursprung zuzuordnen sein. Kann die Korrektheit der Daten nicht gewährleistet werden, wird die Integrität beeinträchtigt und das persönliche Selbstbestimmungsrecht beeinträchtigt werden.. Zudem kann eine fehlerhafte Zuordnung, z.b. bei Zufallsbefund, eine fehlerhafte Behandlung und somit erhebliche persönliche und psychische Belastungen verursachen. Verlust der Revisionssicherheit kann zur Beeinträchtigung des informationellen Selbstbestimmungsrechts führen und somit Ansehen und Vertrauen der THS in der Öffentlichkeit schaden. Vollständige Revisionsfähigkeit kann zur Klärung der Haftungsfrage durch Protokollierung beitragen. Transparenz Hoch Verarbeitende Verfahren müssen vollständig und zeitlich zumutbar nachvollzogen werden können Nur durch vollständige Dokumentation kann die gesetzliche Forderung nach Auskunftserteilung realisiert werden. Ein Verlust der Transparenz würde in diesem Fall einen Gesetzesverstoß darstellen und eine negative Außenwirkung nach sich ziehen. Vollständige Transparenz kann im Fehlerfall Fehlerfindung und Klärung von Haftungsfragen ermöglichen. Verlust der Transparenz kann Tabelle 3 Schutzbedarfsfeststellung der Systeme der Treuhandstellen (nach [7]) 4 Technische und organisatorische Maßnahmen 4.1 Institutionelles Datenschutzkonzept des ICM VC Organisation, räumliche Verteilung, personelle Besetzung und technische Ausstattung des Instituts für Community Medicine der Universitätsmedizin Greifswald sind im Rahmenkonzept Datenschutz und IT Sicherheit für das Institut für Community Medicine der Universitätsmedizin Greifswald [10] beschrieben. Die im Rahmenkonzept definierten Regelungen zu Datenschutz und IT Sicherheit wurden mit dem Landesbeauftragten für den Datenschutz des Landes M V abgestimmt, beschreiben die Grundsätze der Arbeit mit Daten am ICM VC und gelten somit normativ als Basis für die projektspezifischen Ausprägungen der am ICM VC geführten Unabhängigen Treuhandstelle. Diese werden im nachfolgenden Kapitel A präzisiert und ergänzt. Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 42

43 4.2 Netzwerkschutz Grundsätzlich erfolgt der Betrieb der Treuhandstelle und der beteiligten Dienste in einem vom Netzwerk der Universitätsmedizin Greifswald separierten, isolierten Netzwerkbereich ( THS Zone ). Zur weiteren Verbesserung der Sicherheit wird auf Initiative des Institutes für Community Medicine an der Universitätsmedizin Greifswald das Drei Zonen Konzept 14 gemäß BSI Grundschutz Maßnahmenkatalog M Integration eines Datenbank Servers in ein Sicherheitsgateway 15 umgesetzt. Webservices und zugehörige Datenbanken werden in separaten Zonen betrieben. Aus dem Internet (Zone Extern ) ist der Zugriff in die Demilitarisierte Zone (DMZ THS) möglich. Aus dieser wird eine Verbindung zur Transferzone (TZ THS) aufgebaut. Ebenso sind Zugriffe aus der Militarisierten Zone (MZ THS) zur Transferzone erlaubt. Ein Durchstich durch die TZ THS ist nicht möglich, Verbindungen können nur in die TZ THS hinein, nicht jedoch aktiv aus ihr heraus aufgebaut werden. Zwischen den Zonen ist der Kommunikationsfluss im Hinblick auf die Richtung des Verbindungsaufbaus durch Firewalls der Universitätsmedizin Greifswald eingeschränkt. Innerhalb des Gesamt Netzwerkes existieren in sich geschlossene projektspezifische Zonen. Zwischen den einzelnen Subnetzen ist nur im jeweiligen Projekt bzw. Anwendungskontext ein Verbindungsaufbau möglich. Abbildung 12 zeigt die beschriebenen Zusammenhänge. Zugriffe auf Services der THS sind nach erfolgreicher Authentifizierung nur über verschlüsselte Verbindungen möglich. Die Kommunikation zwischen Projekten und den Diensten der THS wird über zonenspezifische Proxy Server realisiert und ist nur für registrierte IP Adressen und Ports möglich. Firewall Regeldefinition Zulässige Richtung Verbindungsaufbau DMZ TZ MZ DMZ THS TZ THS MZ THS THS Dispatcher Datentreuhänder Extern WAN Proxy Proxy MPI PSN CM Abbildung 12 Zonenkonzept der Treuhandstelle 14 Siehe Anlage Konzept für den sicheren internen und externen Zugriff auf Forschungsdienste 15 m05117.html Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 43

44 4.3 Audit Trail Innerhalb der Treuhandstelle werden alle Zugriffe auf Systeme und Daten durch ein Audit Trail Verfahren dokumentiert. Sämtliche Subsysteme protokollieren, durch wen der Zugriff erfolgte, wann der Zugriff erfolgte und auf welche Daten im Einzelnen zugegriffen wurde. Dies gilt sowohl für externe als auch für interne Zugriffe, wie beispielsweise durch technisches Personal der Treuhandstelle. Auf diese Weise lassen sich sämtliche Änderungen an den Daten nachvollziehen und kann die Integrität der Daten zu jedem Zeitpunkt gewährleistet werden. Zudem sind unterschiedliche Versionen von Datenständen im Fehlerfall wieder herstellbar. 4.4 Datenübertragung Zur Datenübertragung wird standardmäßig HTTP als Übertragungsprotokoll genutzt. Externe Systeme sind verpflichtet, die verschlüsselte Variante HTTPS mit 256 Bit Verschlüsselung (oder höher) zur Datenübertragung zu nutzen. Um eine entsprechend hohe Sicherheit zu gewährleisten, wird HTTPS mit TLS Verschlüsselung in der Version 1.0 oder höher verwendet. Browser die nur TLS in der Version 1.0 unterstützen, sollten zudem ein Client Zertifikat nutzen. Browser, die TLS 1.2 oder höher einsetzen werden auch ohne den Einsatz von Client Zertifikaten als sicher betrachtet. Als Algorithmen werden RSA mit einer Schlüssellänge von 2048 Bit, AES 256 und SHA256 verwendet. Diese entsprechen den Empfehlungen der Bundesnetzagentur 16 und gelten als sicher bis Ende Die Kommunikation zwischen Treuhandstelle und externen Systemen wird zudem durch die Beschränkung von IP Adressen abgesichert. Nur autorisierten IP Adressen und Ports ist ein Verbindungsaufbau zu Diensten der Treuhandstelle gestattet (vgl. Zonenkonzept in Kapitel 4.2). 4.5 Datensicherheit Datensicherheit wird durch die Umsetzung eines Rechtekonzepts auf Basis von Zugriffsebenen realisiert. Sämtliche Server der Treuhandstelle sind auf Betriebssystemebene verschlüsselt (AES 512), d.h. die Verschlüsselung wird eigenständig vom lokalen Betriebssystem durchgeführt. Jegliche Kommunikation über das Netz wird automatisch oder auf Anforderung verschlüsselt. Das notwendige Passwort besitzt der Datentreuhänder. Eine Kopie dieses Passworts befindet sich im Bankschließfach der Treuhandstelle, zu dem nur der Leiter der Treuhandstelle und der Datentreuhänder Zugriff haben. Es werden wöchentlich Komplett Sicherungen der Server zum Schutz vor Elementarschäden durch autorisierte Administratoren ausgeführt. Diese können jedoch die Daten aufgrund der Verschlüsselung in keinem Fall einsehen. Die Sicherungen werden auf einem separaten Bandlaufwerk im selben Netzabschnitt gespeichert, das gemäß institutionellem Sicherheitskonzept [10] im Anschluss im Bankschließfach der Treuhandstelle hinterlegt wird. Zusätzlich werden automatisiert tägliche Backups der Systeme auf ein weiteres Bandlaufwerk zum Zweck der Disaster Recovery durchgeführt n/algorithmen/2012algorithmenkatalog.pdf Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 44

45 4.6 Ausfallschutz Die von der unabhängigen Treuhandstelle zur Verfügung gestellten Dienste müssen, um den ordnungsgemäßen Betrieb externer Partner gewährleisten zu können, permanent und zuverlässig online verfügbar sein. Im Folgenden werden Maßnahmen dargestellt, die die Wahrscheinlichkeit der Verfügbarkeit des Systems erhöhen und mögliche Ausfallzeiten minimieren. Dabei werden in der Spalte Ursachen mögliche Ursachen für eine Nicht Verfügbarkeit des Systems aufgeführt. Ursachen fehlerhafte Systemkonfiguration (Software) fehlerhafte Systemkonfiguration (Hardware) Ausfall von Einzelkomponenten (Hardware) Ausfall von Server Systemen (Hardware) Ausfall von Stromversorgung (Infrastruktur) Maßnahmen Test von Konfigurationsänderungen auf Testsystem Protokollierung der durchgeführten Änderungen durch geeignete Software Automatisierte Überwachung der Services durch geeignete Software, wie z.b. Nagios oder Xymon Änderungen und Anpassungen werden nur von fortlaufend geschultem Personal durchgeführt Vor dem Produktionsbetrieb erfolgen System und Lasttests um die korrekte Funktion des Servers sicherzustellen. Dieselben Tests werden nach Austausch von Komponenten durchgeführt. Betrieb des Systems auf zwei parallelen Servern in einem Hochverfügbarkeits Cluster Betrieb des Systems auf zwei parallelen Servern in einem Hochverfügbarkeits Cluster Anschluss der Server an eine unterbrechungsfreie Stromversorgung (USV) zur Überbrückung kurzer Stromausfälle Aufgrund der nicht zwingenden Notwendigkeit des Systems für die med. Versorgung erfolgt bei längeren Stromausfällen keine Stromversorgung über ein Notstromaggregat (Nachdokumentation im System, sobald Strom wieder verfügbar). Angriff auf Server Tabelle 4 Maßnahmen zum Ausfallschutz Einsatz restriktiv konfigurierter Firewalls Umfassendes Monitoring von Authentifizierung und ungewöhnlichen Datenanfragen Zusätzlich zu den vorhergehend beschriebenen Maßnahmen wird sowohl bei ungeplanten Verfügbarkeitseinschränkungen als auch bei geplanten (z.b. Update mit Systemneustart) mit einer Nicht Erreichbarkeit von mehr als 6 Stunden ein Ausfall Bewertungsprozess gestartet. In einer grundlegenden Dokumentation werden dabei die Dauer der Verfügbarkeitseinschränkung, der Grund der Verfügbarkeitseinschränkung und die Einflüsse der Verfügbarkeitseinschränkung auf die Nutzbarkeit des Systems festgehalten. Im Anschluss werden technische und organisatorische Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 45

46 Maßnahmen erarbeitet um die Verfügbarkeitseinschränkung in Zukunft zu verhindern oder früher zu erkennen und ggf. automatisiert zu beheben. 4.7 Räumliche Trennung Die Räumlichkeiten der Treuhandstelle befinden sich in einem separaten Gebäude in räumlicher Nähe zu der Abteilung Versorgungsepidemiologie und Community Health. Dadurch lässt sich uneingeschränkt gewährleisten, dass die im Rahmenkonzept Datenschutz und IT Sicherheit des Instituts für Community Medicine festgelegten Maßnahmen und Prozesse beim Betrieb der THS sichergestellt werden. Die THS verfügt über einen eigenen Eingang, einen separaten Schließkreis und eine eigene Alarmanlage. Ohne die Anwesenheit des berufenen Datentreuhänders ist kein Zugang zu den abgeschlossenen Räumlichkeiten möglich. 4.8 Personelle Maßnahmen Für die Organisation der Treuhandstelle ist der Datentreuhänder verantwortlich, der keinem speziellen Projekt zugeordnet ist und der gegenüber den Projektpartnern oder dem beheimatenden Institut für Community Medicine (und übergeordnet der Universitätsmedizin Greifswald) weisungsfrei ist. Der Datentreuhänder i.s. des Gesetzes (LDSG M V) besteht aus einer definierten Gruppe von THS Mitarbeitern, die in ihrer Funktion als Datentreuhänder nur dem Leiter der Treuhandstelle unterstehen. Dieser wiederum ist, in seiner Eigenschaft als Datentreuhänder weisungsfrei. Eine gesetzliche Regelung zum Einsatz eines Datentreuhänders gibt es derzeit noch nicht, wohl aber wird der Einsatz seit dem Jahr 2000 empfohlen. [11] [12] Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 46

47 B2 Datenhaltung 5 Prozesse der Datenhaltung Die Datenhaltung arbeitet intern mit SOPs, welche das Anlegen von Nutzern, einen kontrollierten Updateprozess der Software sowei weitere, für einen sicheren Betrieb der Applikation notwendige Punkte adressieren. Derzeit kommen folgende SOPs in ihrer jeweils aktuellen Version zum Einsatz: Tabelle 5: Übersicht über die verwendeten SOPs Nr. Interne Benennung Beschreibung 1. MI st01_sop_struktur Erstellung Änderung Beschreibung der Struktur der SOPs, sowie das Vorgehen bei Änderungen (Master SOP) 2. MI st02_ Systemverwaltung Anweisungen zur Verwaltung und zum Betrieb der in der MI betriebenen IT Infrastruktur 3. MI st03_sop_ecrf Erstellung Vorgehen bei ecrf Erstellung, Durchführung von Benutzertest und Systemtest 4. MI st04_sop_pid Erstellung und Verwaltung 5. MI st05_sop_ Benutzerverwaltung 6. MI st06_sop_ Export und Audit Trail 7. MI st07_sop_ Datenbank sperren und wiederöffnen 8. DM08_SOP_ Systemversionierung 9. MI st09_sop_ Langzeitarchivierung PID Erstellung und Verwaltung bei der Pseudonymisierung von Forschungsdaten Anlegen, Ändern, Deaktivieren und Löschen von Nutzerzugängen Berechtigung, Dokumentation und Speicherung von Exporten Sperrung und ggf. Wiedereröffnung einer Datenbank nach Abschluss der Studie Anweisungen bei Systemversionierung Langzeitarchivierung von Daten nach Abschluss der Studie Sicherung von Daten nach Projektablauf Archivierung von Daten und Abschalten der Mandanten 10. MI st10_sop_ IT Fehlermanagement 11. MI st11_sop_validierungen im laufenden Betrieb Beschreibung der Vorgänge zur Vermeidung von Fehlern und Reaktion auf Fehler beim Auftreten Ablauf des Datenintegritätstests und der Validierung bei Softwareupdate und Produktivsetzung Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 47

48 12. MI st12_sop_ Dokumentenmanagement 13. WI01_Systemsicherung und Notfallmanagement Auflistung der notwendigen Dokumente des Datenmanagements, Dokumentation von Entscheidungen in Softwaresystemen für Projekte Backupverfahren, Notfall und Havariemanagement 14. MI st13_schulungen Schulung neuer SOP Inhalte und Nutzerschulung 15. MI st14_sop_löschen von Patientendaten Löschen von Patientendaten/Rückzug der Einwilligungserklärung Mit einheitlichen Standard Operating Procedures (SOPs) gibt sich die Datenhaltung ein notwendiges und bindendes Regelwerk vor. Die Forderung nach der Existenz von SOPs ist Bestandteil der International Conference on Harmonisation (ICH) Harmonised Tripartite Guideline of Good Clinical Practice (GCP), Kapitel 5.1. Gegenstand der SOPs sind Abläufe innerhalb des elektronischen Datenmanagements von klinischen Studien innerhalb der Datenhaltung, welche aufgrund ihrer Komplexität oder Sicherheitsrelevanz einer Standardisierung und schriftlichen Fixierung bedürfen. Die SOPs berücksichtigen die Anforderungen an das Datenmanagement und die Erhebung von elektronischen Fallsammlungen aus Kapitel 5.3, International Conference on Harmonisation (ICH) Harmonised Tripartite Guideline of Good Clinical Practice (GCP). 6 Technische Systeme 6.1 secutrial Die Bereitstellung eines für den Nutzer komfortabel zu bedienenden aber dennoch allen datenschutzrechtlichen Bedingungen genügenden Datenerfassungswerkzeuges ist die Kernaufgabe der DH. Hierfür wird das Werkzeug secutrial verwendet. Mit secutrial können multizentrische, klinische Studien und Anwendungsbeobachtungen durchgeführt werden. secutrial ermöglicht die direkte, dezentrale elektronische Erfassung von Studiendaten (remote data entry) in eine zentrale Datenbank. Die Bedienung von secutrial ist vollständig browserbasiert, so dass weder für die Administration noch für die Datenerfassung eine Software installiert werden muss. Von jedem internetfähigen PC können autorisierte Benutzer nicht nur das Studiensetup definiert, die Teilnehmer verwaltet und die Daten exportiert sondern auch die Patientendaten eingeben werden. Innerhalb der Anwendung existiert sowohl ein separater Testbereich (Setup) als auch ein produktiver Bereich. So können vor Beginn der eigentlichen Studie oder bei der Implementierung von Änderungen nach der Produktivstellung alle Funktionen getestet werden, bevor sie für die Anwender freigeschaltet werden. Das getestete Studiensetup kann nach erfolgreichen Tests in den Produktivbereich übertragen werden. Die Änderungen werden stets mitversioniert. secutrial erfüllt alle regulatorischen Standards (CRF, GCP) und weist alle FDA konformen Funktionen wie AudiTrail, Rollen und Rechtekonzept und Elektronische Signatur auf. Zugleich Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 48

49 wurde secutrial mehrfach unabhängigen Benchmarking Audits unterzogen und die vollständige Compliance mit 21 CFR Part 11 und den darauf basierenden Bestimmungen attestiert. Interne Struktur der Anwendung Innerhalb von SecuTrial gibt es fünf verschiedene Tools, welche gewährleisten, dass spezifische Adminstrationsaufgaben vollständig von opeartiven Aufgaben der Datenerfasser gekapselt sind. Diesen modularen Aufbau verdeutlicht.abbildung 13. Abbildung 13: Modularer Aufbau von secutrial Das Gesamtsystem besteht aus folgenden einzelnen Modulen: 1. CustomerAdminTool Funktion: Verwaltung von Kunden und Administratoren, Anlage von Projekt Schemata (DB Bereiche), Generierung der Statistiken, gebündelter Nachrichtenversand, Kontrolle Dateisystem (verwaiste Bilder, temporäre Dateien), Archivierung und Löschung, DB Dokumenation Zugangsprüfung: User in Passwortdatei 2. FormBuilder Funktion: Anlage und Konfiguration von Projekten, Anlage der Formulare, Projekt Versionierung, interne Anpassung Datenbank Zugangsprüfung: Teilnehmer aus AdminTool Verwaltung 3. AdminTool Funktion: Teilnehmer und Patientenverwaltung, Rollen und Rechteverwaltung, Design Anpassung, Kundenspezifische Benutzerführung Zugangsprüfung: Administrator aus CustomerAdminTool Verwaltung Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 49

50 4. DataCapture Funktion: Anlage von Patienten, Datenerfassung, Datenübersicht (Reports und Statistiken), Querymanagement, Datenimport Zugangsprüfung: Teilnehmer oder Patienten (nur bei genutzter Patientenselbstdokumentation) aus AdminTool Verwaltung 5. ExportSearchTool Funktion: Suche nach Patienten, Export von Daten Zugangsprüfung: Teilnehmer aus AdminTool Verwaltung 7 Schutzbedarf In der medizinischen Forschung werden unterschiedliche Daten mit und ohne Personenbezug eines Patienten erfasst, verarbeitet und gespeichert. Um die Rechte des Patienten zu wahren, gilt es, verschiedene Vorbereitungen zu treffen. Als erster Schritt muss die Einwilligungserklärung des Patienten (ggf. auch von dessen gesetzlichem Betreuer) eingeholt werden. Willigt der Patient in die Verarbeitung und Weitergabe seiner Daten und/oder die Entnahme und Weitergabe von Biomaterial ein, dürfen die Daten bzw. das Biomaterial für die Forschung verwendet werden. In der Einwilligungserklärung ist auch der Zugriff auf die Krankenakten des Studienteilnehmers geregelt. Die für die Forschung erhobenen medizinischen Daten werden in pseudonymisierter Form organisatorisch und technisch getrennt von den personenbezogenen Daten verarbeitet. Die Verarbeitung der personenbezogenen Daten erfolgt durch einen Datentreuhänder, wohin gegen die pseudonymisierten medizinschen Forschungsdaten durch die Datenhaltung verarbeitet werden. Der Datenhaltung in Göttingen ist es mit legalen Mitteln nicht möglich, die pseudonymisierten medizinschen Forschungsdaten auf die personenbezogenen Daten des Patienten rückzuschließen. Die in 7 NDSG beschriebenen technischen und organisatorischen Maßnahmen zur Verarbeitung personenbezogener Daten werden auch für die Verarbeitung der pseudonymisieren medizinischen Daten angewandt. Dies erfolgt zum einen durch den Betrieb der Anwendung secutrial durch den Geschäftsbereich Informationstechnologie der Universitätsmedizin Göttingen, welcher ebenfalls für den Betrieb der Anwendungen in der Patientenversorgung zuständig ist. Zum anderen arbeitet das Institut für Medizinische Informatik der Universitätsmedizin Göttingen mit SOPs, welche den Umgang mit der Anwendung secutrial festlegen (vgl. Abschnitt 5). 7.1 Verarbeitete Datentypen Innerhalb der DH werden ausschließlich pseudoymisierte medizinische Daten verarbeitet. Identifizierende Daten werden architekturbedingt ausschließlich durch den Datentreuhänder verarbeitet. Die in der DH verarbeiteten medizinischen Daten beinhalten die Ergebnisse von Patienteninterviews in Form von ausgefüllten ecrfs. Diese ecrfs untergliedern sich in mehrere modulare Datensätze. Sie werden studienspezifisch festgelegt ausgefüllt. In ihrer Kernbeschaffenheit sind die Datensätze identisch. Die phänotypische Datenbank enthält im Rahmen von Interviews und verschiedener Selbstrating und Fremdratingskalen erhobenen Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 50

51 klinische Daten zu den einzelnen Studienteilnehmern. Die jeweils erfassten Daten bzw. Skalen sind den einzelnen Studiendesigns zu entnehmen. 7.2 Anzuwendende Rechtsgrundlagen Landesdatenschutzgesetz Niedersachsen (NDSG) Für die Datenhaltung findet 25 NDSG Verarbeitung personenbezogener Daten für Forschungsvorhaben Anwendung. Die dort genannten Punkte werden sämtlich berücksichtigt. So werden schriftliche Einwilligungen der Betroffenen eingeholt. Ferner werden die für das Forschungsvorhaben gespeicherten und übermittelten Daten nur für den Zweck der wissenschaftlichen Forschung verarbeitet. Ebenfalls werden die Merkmale, mit deren Hilfe ein Bezug auf eine bestimmte natürliche Person hergestellt werden kann, gesondert gespeichert. Eine Weitergabe der Daten ist zulässig, wenn der Empfänger die Daten ebenfalls nur für das bezeichnende Forschungsvorhaben verwendet, was in der Einwilligungserklärung entsprechend niedergeschrieben ist. Bundesdatenschutzgesetz (BDSG) Innerhalb der Datenhaltung werden alle relevanten Anforderungen des Bundesdatenschutzgesetzes berücksichtigt. Daten, die innerhalb der Studien erhoben werden, werden vertraulich behandelt und nur für den in der Einwilligungserklärung angegebenen Zweck genutzt. Die Daten können bei Bedarf in pseudonymisierter oder anonymisierter Form an Dritte weitergegeben werden. Lokal werden die Daten nur in pseudonymisierter Form gespeichert. [5] Die Probanden haben jederzeit das Recht, Auskunft über ihre Daten zu erhalten und ihre Einwilligung zurückzuziehen. Ziehen die Probanden ihre Einwilligung zurück, werden die Daten und das Biomaterial anonymisiert oder ggf. vernichtet, so dass eine Zuordnung zwischen den erhobenen und den identifizierenden Daten nicht mehr möglich ist. Alle Daten werden gemäß 3 Abs. 6a BDSG pseudonymisiert. Es werden also der Name und andere Identifikationsmerkmale des Probanden durch ein Kennzeichen ersetzt, zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Arzneimittelgesetz (AMG) Es ist der Zweck dieses Gesetzes, im Interesse einer ordnungsgemäßen Arzneimittelversorgung von Mensch und Tier für die Sicherheit im Verkehr mit Arzneimitteln, insbesondere für die Qualität, Wirksamkeit und Unbedenklichkeit der Arzneimittel nach Maßgabe der folgenden Vorschriften zu sorgen. [13] Die Anwendbarkeit dieses Gesetzes leitet sich aus den spezifisch durchgeführten Studien ab und kommt nur zum Tragen, wenn in diesen eine Arzneimittelprüfung stattfindet. Gesetz über Medizinprodukte (MPG) Zweck dieses Gesetzes ist es, den Verkehr mit Medizinprodukten zu regeln und dadurch für die Sicherheit, Eignung und Leistung der Medizinprodukte sowie die Gesundheit und den erforderlichen Schutz der Patienten, Anwender und Dritter zu sorgen. [14] Die Anwendbarkeit dieses Gesetzes leitet sich aus den spezifisch durchgeführten Studien ab und kommt nur zum Tragen, wenn in diesen eine Medizinprodukteprüfung stattfindet. Good Clinical Practice Verordnung (GCP V) Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 51

52 Die Planung, Durchführung, Dokumentation und Berichterstattung müssen innerhalb der Studien gemäß der Verordnung zur Good Clinical Practice durchgeführt werden. [15] Hiermit wird sichergestellt, dass die Rechte, die Sicherheit und das Wohl der Studienteilnehmer gemäß der Deklaration von Helsinki geschützt wird. 8 Technische und organisatorische Maßnahmen 8.1 Verwendete IT Infrastruktur Die für den Betrieb der Studiendatenbank secutrial benötigte Komponenten (Datenbanksystem und Anwendungssoftware) befinden sich auf virtuellen Maschinen auf Servern im zugangsgesicherten Serverraum des Geschäftsbereichs Informationstechnologie der Universitätsmedizin Göttingen unter der Geschäftsführung von Prof. Ulrich Sax. Dabei befinden sich die phänotypische Datenbank im Netzsegment WissLAN 17. Abbildung 14: Darstellung des derzeitigen Stands der Netzwerkinfrastruktur an der UMG: Die Trennung des inneren Segments für die Patientenversorgung (hier Intranet, PACS) von den übrigen Netzsegmenten hat sich bewährt und wird aus Sicherheitsgründen konsequent durchgeführt. Die Infrastruktur der Medizinischen Informatik befindet sich im Netzsegment 134er Wisslan. 17 Das WissLAN ist ein dediziert für wissenschaftliche Zwecke eingerichtetes Netzsegment innerhalb der UMG. Es grenzt sich insbesondere zum PatLAN ab, welches ausschließlich für die Patientenversorgung genutzt wird. Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 52

53 Innerhalb des WissLANs existiert eine dedizierte Forschungsinfrastruktur des Instituts für Medizinische Informatik. Diese ist durch eine zweistufige Firewall vom öffentlichen Teil des WissLANs getrennt und erfüllt damit die Anforderungen des IT Grundschutzes gemäß BSI Empfehlung [16]. Die BSI Maßname M Integration von Proxy Servern in das Sicherheitsgateway [17] wurde umgesetzt. Die dedizierte Forschungsinfrastruktur implementiert das Konstrukt des Reverse Proxys der BSI Maßname M findet Anwendung. Die Kommunikation innerhalb des geschützten Netzwerkes findet unverschlüsselt statt. Die äußere Firewall ist als Paketfilter konfiguriert. Der Reverseproxy verschlüsselt die gesamte Kommunikation mit allen öffentlichen Netzen. Die Architektur ist Abbildung 15 in dargestellt. Abbildung 15: Schematische Darstellung der dedizierte Forschungsinfrastruktur. Die Architektur folgt der BSI Maßname M [17]. 8.2 Servervirtualisierung Innerhalb des dedizierten Forschungsnetzes kommen Servervirtualisierungstechnologien zum Einsatz. Diese entsprechen den Empfehlungen des Arbeitskreises Technik der Konferenz der Datenschutzbeauftragten des Bundes und der Länder [18]. 8.3 Verfahrensbeschreibung gem. 8 NDSG Die mit dem betrieblichen Datenschutzbeauftragten der Universitätsmedizin abgestimmte Verfahrenbschreibung der in der Datenhaltung angewandten Verfahren befindet sich in den Anlagen. Dieses Dokument dient dazu, Transparenz und Auskunftsfähigkeit gegenüber Betroffenen sowie Revisionsfähigkeit zu erreichen. Daher ist darin zu dokumentieren, welche personenbezogenen Daten mit Hilfe welcher automatisierter Verfahren auf welche Weise verarbeitet werden und welche Datenschutzmaßnahmen dabei getroffen wurden. Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 53

54 C Anhang

55 1 Technische Abbildungen Abbildung 16 Studienteilnehmer anlegen (Technische Sicht) Abbildung 17 IC anlegen (Technische Sicht) Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 55

56 Abbildung 18 IDAT ändern (Technische Sicht) Abbildung 19 Widerruf (Technische Sicht) Version , (Havemann C, Bahls T, Bialke M, Hoffmann W, Quade M, Mauß T) 56