TMF Pseudonymisierungsdienst für medizinische Forschungsnetze
Sebastian Claudius Semler (1), Andreas Lux (2), Wilhelm Dolle (3), Michael Reng (4), Klaus Pommerening (5)
1 Telematikplattform für Medizinische Forschungsnetze e.V. (TMF), Berlin 2 Debold & Lux GmbH, Hamburg 3 interActive Systems GmbH, Berlin 4 Klinik und Poliklinik für Innere Medizin I der Universität Regensburg 5 Institut für Medizinische Biometrie, Epidemologie und Informatik der Johannes Gutenberg-Universität Mainz
Was ist Pseudonymisierung?
In medizinischen Einrichtungen werden grundsätzlich personenbezogene Daten der Patienten, im Folgenden als Patientendaten subsumiert, erhoben, gespeichert und verwaltet. Unter diesen Daten sind die einen Patienten identifi zierenden Daten zu unterscheiden von den sonstigen medizinischen Daten. Hierbei handelt es sich meistens um die klassischen administrativen Daten einer Person wie z. B. Name, Vorname, Geburtsdatum, Geschlecht, Versicherungsnummer. Zuweilen, in bestimmtem klinischem Kontext oder in speziellen Datensammlungen, können aber auch klinische Parameter wie eine sehr seltene Diagnose in Verbindung mit der Wohnregion oder eine bestimmte genetische Konstellation indirekt „Patienten identifi zierend“ sein.
Datenschutzrechtlich sind der Gebrauch und die Speicherung von klinischen Daten gemeinsam mit den Patienten identifi zierenden Daten unbedenklich, so lange ein direkter Behandlungsbezug besteht.
Ohne direkten Behandlungsbezug ist ein Zugriff auf die Patientendaten für Dritte grundsätzlich nicht erlaubt – dies ist eine zentrale Anforderung an die Berechtigungskonzepte und Sicherheitssysteme jeder Softwarelösung im Gesundheitswesen.
Um klinische Daten für Zwecke der Forschung, der Epidemiologie und der Gesundheitsfürsorge nutzen zu können, ist es grundsätzlich erforderlich, dass diese anonymisiert zur Verfügung gestellt werden. Anonymisierung bedeutet, dass eine Zuordnung der Daten zu einer Person technisch und inhaltlich nicht mehr möglich ist – die medizinischen Daten liegen dann entkoppelt von den Patienten identifi zierenden Daten vor.
Anonymisierung ist ein gängiges Verfahren, wann immer Daten aus der behandelnden Klink bzw. der behandelnden Praxis in andere Forschungseinrichtungen oder zentrale Forschungsdatenbanken transferiert werden sollen – Diagnosen, Symptome und Daten zum Krankheitsverlauf und zur Therapie können dergestalt gespeichert und verfügbar gemacht werden, ohne dass die sich dahinter verbergende Person zu ermitteln ist. Der technische Exportvorgang ist vergleichsweise simpel – es können schlichtweg die Personen identifi zierenden Items fortgelassen bzw. durch Platzhalter ersetzt werden. Verfahren wie diese können für bestimmte Formen der epidemiologischen Patientenregister zufriedenstellend angewendet werden.
Aus wissenschaftlicher und medizinischer Sicht ist das Verfahren der Anonymisierung jedoch in drei grundlegenden Fällen unbefriedigend:
- wenn Forschungsvorgänge und Behandlungsvorgänge parallel laufen,
- wenn eine langfristige Beobachtung des Patienten mit entsprechend longitudinaler Fortschreibung der Forschungsdaten gewünscht ist und dies mehrzeitige Datenexportvorgänge oder Behandlungsschritte an unterschiedlichen Institutionen erfordert,
- wenn sich aus einer Analyse der Forschungsdaten (durch nicht behandelnde Ärzte und Wissenschaftler) mögliche neue und bessere Behandlungsoptionen ergeben können, die man dem Patienten zukommen lassen muss – dies ist ein Anrecht des Patienten, das sich aus der Teilnahme an Studien und Forschungsprojekten ergibt.
Für den ersten und zweiten Fall ist die Fortschreibung des „anonymen“ Falls in den Forschungsdatenbanken oder Registern erforderlich. Es muss demnach gewährleistet sein, dass trotz Auslassung Patienten identifi zierender Merkmale die Daten immer derselben Person zugeordnet werden können.
Im dritten Fall ist zusätzlich eine Rückermittlung der dahinter stehenden Person anhand eines primär „anonymen“ Falls erforderlich.
In diesen Fällen ist eine reine Anonymisierung unzureichend, da weder eine Fallfortschreibung noch eine Re-Identifi - kation der Person möglich ist. Daher muss bei diesen Anforderungslagen, wie sie bei einer Vielzahl von Forschungsdatenbanken und Registern, aber auch beim Aufbau von elektronischen Patientenakten im Rahmen der „vertikalen Vernetzung“ und integrierten Versorgung gegeben sind, mit einer Pseudonymisierung operiert werden.
Unter Pseudonymisierung versteht man sinngemäß eine eingeschränkte Anonymisierung – ein klarer Personenbezug auch in der longitudinalen Fortschreibung muss gewährleistet sein. Zugleich ist aber im pseudonymisierten Zustand keinerlei direkte Möglichkeit der Identifi kation der sich hinter dem Pseudonym verbergenden natürlichen Person gegeben.
Als Defi nition führt das Bundesdatenschutzgesetz (BDSG) an: „Pseudonymisieren ist das Ersetzen des Namens und anderer Identifi kationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.“ [1]
Eine Verwaltungsvorschrift zur Durchführung des Brandenburgischen Datenschutzgesetzes führt hierzu näher aus [2]: - wenn Forschungsvorgänge und Behandlungsvorgänge parallel laufen,
- wenn eine langfristige Beobachtung des Patienten mit entsprechend longitudinaler Fortschreibung der Forschungsdaten gewünscht ist und dies mehrzeitige Datenexportvorgänge oder Behandlungsschritte an unterschiedlichen Institutionen erfordert,
- wenn sich aus einer Analyse der Forschungsdaten (durch nicht behandelnde Ärzte und Wissenschaftler) mögliche neue und bessere Behandlungsoptionen ergeben können, die man dem Patienten zukommen lassen muss – dies ist ein Anrecht des Patienten, das sich aus der Teilnahme an Studien und Forschungsprojekten ergibt.
Für den ersten und zweiten Fall ist die Fortschreibung des „anonymen“ Falls in den Forschungsdatenbanken oder Registern erforderlich. Es muss demnach gewährleistet sein, dass trotz Auslassung Patienten identifi zierender Merkmale die Daten immer derselben Person zugeordnet werden können.
Im dritten Fall ist zusätzlich eine Rückermittlung der dahinter stehenden Person anhand eines primär „anonymen“ Falls erforderlich.
In diesen Fällen ist eine reine Anonymisierung unzureichend, da weder eine Fallfortschreibung noch eine Re-Identifi - kation der Person möglich ist. Daher muss bei diesen Anforderungslagen, wie sie bei einer Vielzahl von Forschungsdatenbanken und Registern, aber auch beim Aufbau von elektronischen Patientenakten im Rahmen der „vertikalen Vernetzung“ und integrierten Versorgung gegeben sind, mit einer Pseudonymisierung operiert werden.
Unter Pseudonymisierung versteht man sinngemäß eine eingeschränkte Anonymisierung – ein klarer Personenbezug auch in der longitudinalen Fortschreibung muss gewährleistet sein. Zugleich ist aber im pseudonymisierten Zustand keinerlei direkte Möglichkeit der Identifi kation der sich hinter dem Pseudonym verbergenden natürlichen Person gegeben.
Als Defi nition führt das Bundesdatenschutzgesetz (BDSG) an: „Pseudonymisieren ist das Ersetzen des Namens und anderer Identifi kationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.“ [1]
Eine Verwaltungsvorschrift zur Durchführung des Brandenburgischen Datenschutzgesetzes führt hierzu näher aus [2]:
Dokumentinformationen zum Volltext-Download Titel: | Pseudonymisierung für Forschungsdatenbanken und Register
| Artikel ist erschienen in: | Telemedizinführer Deutschland, Ausgabe 2005
| Kontakt/Autor(en): | Sebastian Claudius Semler Wissenschaftlicher Geschäftsführer Telematikplattform für Medizinische Forschungsnetze e.V. (TMF) Neustädtische Kirchstr. 6 10177 Berlin
Diese E-Mail Adresse ist gegen Spam Bots geschützt, Sie müssen Javascript aktivieren, damit Sie es sehen können
www.tmf-ev.de
| Seitenzahl: | 5,5
| Sonstiges | 2 Abb. | Dateityp/ -größe: | PDF / 255 kB | Click&Buy-Preis in Euro: | kostenlos
| Rechtlicher Hinweis: Ein Herunterladen des Dokuments ist ausschließlich zum persönlichen Gebrauch erlaubt. Jede Art der Weiterverbreitung oder Weiterverarbeitung ist untersagt. |