Klaus Pommerening, Mainz

Slides:



Advertisements
Ähnliche Präsentationen
Projektvorstellung „Sport-Kindertagesstätte CHAMPINI“ in Nürnberg
Advertisements

Datenschutz im IT-Grundschutz
Das SalesPoint-Framework v3.2 Einführung und Überblick
EMB-Ausschuss Unternehmenspolitik
Projektumfeld Gesellschaftliche Strömungen Strukturen/ Gliederung
3rd Wednesday, 18. Januar Wettbewerb Breitband Ruhr – Mit neuen Technologien Zukunft sichern 29. 3rd Wednesday, 18. Januar 2006 Ulrike Langer, Projekt.
Dienstbesprechung der Fachbereichsleiter AWT am Dienstag, 21
Biomaterialbanken Datenschutz und Pseudonymisierung
Patientenidentifikation in medizinischen Forschungsverbünden
NGFN-Qualitätsmanagement-Workshop Heidelberg, 9. November 2007
Berlin, 11. Dezember 2006 Prof. Dr. Klaus Pommerening
Datenschutz-Unterweisung
Der Testprozess als Bestandteil des SE Prozesses:
Hauptseminar Verteilte Systeme im Gesundheitswesen - Gesundheitstelematik Sommersemester 2007 Telematik im Gesundheitswesen: Überblick und Entwicklungsperspektiven.
Online-Börse für regionale Kooperation Schule - Wirtschaft Juni 2004Wirtschaft im Dialog im Bildungswerk der Bayerischen Wirtschaft e.V.; Pia Schwarz Online-Börse.
Access 2000 Datenbanken.
Taschenrechner im Mathematikunterricht Stephan Damp
Datenschutz 99.
Grundlagen für die Teilnahme an G8GTS Die Pflichtstunden in G8GTS
Vortrag zur Verteidigung der Diplomarbeit von Oliver Schäfer
Barrierefreiheit ( Accessibility ).
Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)
Anonymität contra Straftatverfolgung im Internet
Datenschutz in the small
Spezifikation von Anforderungen
Prof. Dr. Gerhard Schmidt pres. by H.-J. Steffens Software Engineering WS 2006 / 2007Folie 1 Agile Vorgehensweisen Hintergrund –in den letzten Jahren hat.
Auch der Tod nimmt Einzug in unsere digitale Welt
Wie E-Health & ELGA unser Leben verändern APA E-Business-Community 25. Juli 2013 Susanne Herbek, ELGA GmbH.
Bewertung von Cloud-Anbietern aus Sicht eines Start-ups
Morbach, den Morbach, den Gemeinsam statt einsam - Neue Wohnformen im Dorf Barrierefreie Wohnungen Angepasste Wohnungen Betreutes.
BMU – KI III 1 Stand: März 2007 Entwicklung erneuerbarer Energien in Deutschland im Jahr Erneuerbare Energien in Deutschland im Jahr 2006.
Herzlich Willkommen! CDISC User Group – konstituierendes Treffen, Berlin, Vorstellung der TMF, ihrer Arbeitsgruppen und Arbeitsweise Sebastian.
KErnDOkumentation Gemeinsamer Datensatz für die spezialisierte Schmerztherapie Grundlage ist der überarbeitete Deutsche Schmerzfragebogen DSF und Verlaufsfragebogen.
Erste Hilfe Praktikumsunterlage
Warum brauche ich ein CMS – Content Management System?
Datenschutz und Datensicherheit
Zweck des Datenschutzgesetzes
Datenschutz?!?!.
Inhalt (2) Atmung Kreislauf (AED) Erste Hilfe 2006.
Datenschutz als Grundrecht
Deutsche Digitale Bibliothek Ein großes Vorhaben nimmt Gestalt an 1.
Universität Zürich Informatikdienste GoKoordinatorenmeeting 27. April UZH Global Storage Projekt.
Der deutsche Arbeitsmarkt seit 1945
CGI (Common Gateway Interface)
Allgemeines zu Datenbanken
Berufs- und Laufbahnberatende
BEM aus Datenschutzsicht
Datenschutz und Datensicherheit
Prävention im Einsatzwesen
Telematikplattform für Medizinische Forschungsnetze (TMF) e.V. Herzlich Willkommen! 1. deutschsprachiges CDISC User Group Meeting, Berlin, Vorstellung.
ppt, ©Robert Wolff, Presenting PowerPoint.
Datenschutz und Datensicherheit
Datenschutz - Datensicherheit
EU-Netz Berlin-Brandenburg 25. September Inhalt I. Optimierung der Website II. Erweitung des EU-Netzes um vier polnische Wojewodschaften III. Aufbau.
Dr. Emanuel Ingenhoven 2010 BVASK und QUALIS ® Dr. Emanuel Ingenhoven 2010 BVASK und QUALIS ®
Eike Schallehn, Martin Endig
Bundesdatenschutzgesetz (BDSG)
Rechtliche Rahmenfaktoren der Netzwerksicherheit
HRM-Systeme und Arbeitnehmerdatenschutz Folie 0 © BayME, Human-Resources-Managemnt-Systeme und Arbeitnehmerdatenschutz: Ein Widerspruch? BUSINESS.
Bundesärztekammer Arbeitsgemeinschaft der deutschen Ärztekammern 6. Mai 2005 TOP VIII Tätigkeitsbericht Elektronischer Arztausweis (HPC) und elektronische.
Institut für Medizinische Biometrie, Epidemiologie und Informatik Datenschutz-unterstützende Techniken Klaus Pommerening Workshop „Impact der Medizinischen.
Kann die Freiheit im Netz grenzenlos sein – Datenschutz und Digitalisierung des Lebens Netzpolitische Konferenz DIE LINKE 7. Juli 2015, Schwerin.
Asymmetrische Kryptographie
Data Governance/Privacy/Security Dr. Gottfried Endel Hauptverband der Österreichischen Sozialversicherungsträger.
Spine Tango, das Wirbelsäulenregister der Eurospine 3. nationales Symposium für Qualitätsmanagement im Gesundheitswesen C. Röder Institut für Evaluative.
Rechtliche Grundlagen der Pseudonymisierung/Anonymisierung Berlin, 23. Mai 2016Dr. Bernd Schütze.
Umsetzungskonzepte und Möglichkeiten der Pseudonymisierung
Datenschutz im Arbeitsalltag Arbeitsmaterialien
 Präsentation transkript:

Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS 2006, Leipzig TMF = Telematikplattform für die medizinischen Forschungsnetze

Pommerening, 12. September 2006 Inhalt Grundlagen von Anonymisierung und Pseudonymisierung Methoden und Szenarien Die Pseudonymisierungsmodelle der TMF Diskussion und Ausblick Pommerening, 12. September 2006

Nutzung von Patientendaten Primärnutzung: Behandlungskontext. Sekundärnutzung: Versorgungsforschung, Qualitätssicherung, Gesundheitsökonomie, krankheitsspezifische klinische oder epidemiologische Studien, Aufbau von zentralen Datenpools und Biomaterialbanken. Typische Aspekte der Sekundärnutzung: Außerhalb des Behandlungskontexts und der Schweigepflicht (des behandelnden Arztes); die Identität des Patienten ist ohne Belang. Pommerening, 12. September 2006

Barriere: Ärztliche Schweigepflicht Behandlungskontext [Primärnutzung] Barriere: Ärztliche Schweigepflicht [Sekundärnutzung/Forschungskontext] klinische Forschung Versorgungsforschung direkte Erfassung Export erlaubt, wenn - anonyme Daten, - Einwilligung, - Gesetzesvorschrift Register/ epidemiologische Forschung Pommerening, 12. September 2006

Pommerening, 12. September 2006 BDSG §3 (6): Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. [„faktische Anonymisierung“] Pommerening, 12. September 2006

Für die Sekundärnutzung von Patientendaten (und Proben): Identität der Patienten schützen. Keine unnötigen gesetzlichen Abschwächungen! Anonymisierung, wann immer möglich. Nachteile der Anonymisierung: Keine Zusammenführung von Daten aus verschiedenen Quellen ... oder von verschiedenen Zeitpunkten. Kein Weg zurück zum Patienten für Rückmeldungen ... oder zur Rekrutierung für neue Studien ... oder zum Rückruf von Proben/ Widerruf der Einwilligung. Pommerening, 12. September 2006

Pommerening, 12. September 2006 BDSG §3 (6a): Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Pommerening, 12. September 2006

Pommerening, 12. September 2006 Pseudonyme Goldener Mittelweg zwischen Anonymität und Exposition der Identitäten („indirekter Personenbezug“). Je nach Kontext zu nutzen: Einweg-Pseudonyme, die nicht aufgelöst werden können, reversible Pseudonyme die eine Rückidentifizierung ermöglichen. Pseudonymisierung ist rechtlich nicht äquivalent zur Anonymisierung, sondern erfordert Zusatzüberlegungen und -maßnahmen; z. B. nur mit Einwilligung oder gesetzlicher Regelung erlaubt! Pommerening, 12. September 2006

Die Rolle der Einwilligungserklärung Königsweg zur Sekundärnutzung im Forschungskontext. Aber: Zweckbindung, Zeit- und Nutzerbeschränkung. Patientenaufklärung muss Zweck der Datensammlung oder Zweck und Adressaten einer Nutzung oder Weitergabe explizit (und abschließend) benennen, muss Datenverarbeitung und -verwendung transparent machen. Auch mit Einwilligung dürfen Identitätsdaten nicht unnötig verarbeitet oder gespeichert werden. Als Instrument der Gesundheitsforschung eher schwerfällig, daher gesetzliche Regelungen vorzuziehen mit geringstmöglichem Eingriff in die Persönlichkeitsrechte! Pommerening, 12. September 2006

Anonymisierung/Pseudonymisierung von Proben Anonymisierbarkeit noch anzunehmen. und wenn möglich anzuwenden. Mittelfristig: Nur noch Pseudonymisierungslösungen – Personenbezug inhärent, Widerruf muss gewährleistet bleiben (Persönlichkeitsrecht). Pommerening, 12. September 2006

Pommerening, 12. September 2006 Inhalt Grundlagen von Anonymisierung und Pseudonymisierung Methoden und Szenarien Die Pseudonymisierungsmodelle der TMF Diskussion und Ausblick Pommerening, 12. September 2006

Grundtyp 1 von Pseudonymen Inhaber-erzeugte Pseudonyme (Chaum ca. 1980) Erzeugung durch blinde digitale Signatur. Kontrolle beim Besitzer. Für Sekundärnutzung von Gesundheitsdaten nicht geeignet. Geeignet für E-Commerce. Lüftbar im Betrugsfall. Rechtssicherer pseudonymer Handel. Problem: Politisch nicht gewollt. Pommerening, 12. September 2006

Grundtyp 2 von Pseudonymen TTP-erzeugte Pseudonyme Trusted Third Party = »Vertrauensstelle« oder »Datentreuhänder« (z. B. ein Notar). Beispiel: Krebsregister (Michaelis/Pomm. 1993). Für Sekundärnutzung von Patientendaten besser geeignet: z. B. Rückmeldung über behandelnden Arzt, z. B. Rekrutierung für neue Studien, Pommerening, 12. September 2006

Grundtyp 2: Das Basismodell Nutzdaten durchreichen TTP (PSN- Erzeugung) Individuum Datenbank Identität Pseudonym Datenleck Schlüssel oder Referenzliste (»Codebuch«) [streng geheim] L85FD23S ... ... Maier, Johannes 6AZCB661 Maier, Josef KY2P96WA Maier, Jupp L85FD23S Angreifer Pommerening, 12. September 2006

Besser: Schlüssel statt Referenzliste Pseudonym-Erzeugung durch kryptographische Verschlüsselung; garantierte Eindeutigkeit: Pseudonym = verschlüsselter Personenidentifikator (PID). Die Zentralstelle speichert nichts außer ihrem geheimen Schlüssel (z. B. auf SmartCard). »Schlanker« TTP-Service. Auch irreversible Pseudonyme möglich (durch Einweg-Verschlüsselung). Bei Wechsel des kryptographischen Verfahrens: Um- oder Überverschlüsselung. Pommerening, 12. September 2006

Szenario 1: Einzelne Datenquelle, Einmal-Sekundärnutzung Typischer Anwendungsfall für Anonymisierung. Beispiel: Einfache statistische Auswertung exportierter Datensätze. AMG §40 (2a): ... die erhobenen Daten soweit erforderlich ... pseudonymisiert an den Sponsor oder eine von diesem beauftragte Stelle zum Zwecke der wissenschaftlichen Auswertung weitergegeben werden ... TMF-Rechtsgutachten steht noch aus. Pommerening, 12. September 2006

Pommerening, 12. September 2006 Szenario 2: Mehrere Datenquellen mit Überschneidungen, Einmal-Sekundärnutzung Daten aus verschiedenen Quellen müssen zusammengeführt werden. Beispiele: multizentrische Studie, Follow-up-Daten. Typischer Anwendungsfall für Einweg-Pseudonyme. Identität wird aufgehoben, Verknüpfbarkeit bleibt. Pommerening, 12. September 2006

Pseudonymi- sierungsdienst (TTP) Pseudonymisierung für Einmal-Sekundärnutzung Pseudonymi- sierungsdienst (TTP) Nutzdaten verschlüsselt durchreichen Sekundärnutzung Datenquelle(n) MDAT MDAT IDAT PID PID PSN PSN MDAT = Medizinische Daten IDAT = Identitätsdaten PID = Eindeutiger Patientenidentifikator PSN = Pseudonym Pommerening, 12. September 2006

Besonderheiten von Szenario 2 Medizinische Daten (MDAT) mit öffentlichem Schlüssel des Sekundärnutzers verschlüsselt – Die TTP kann die MDAT nicht lesen. Nur der Sekundärnutzer kann sie entschlüsseln. Das Pseudonym (PSN) ist der verschlüsselte PID mit einem geheimen Schlüssel, den nur die TTP hat, durch eine Einweg-Funktion. Die TTP speichert nichts (außer dem Schlüssel). Szenario 2 in Routinebetrieb seit 2002 in einem Projekt der Versorgungsforschung der TMF. Pommerening, 12. September 2006

Pommerening, 12. September 2006 Szenario 3: Einmalige Sekundär-Nutzung mit Rückidentifikationsmöglichkeit Verwendet wird das Modell von Szenario 2, aber PSN-Dienst verschlüsselt umkehrbar, Rückverknüpfbarkeit bleibt erhalten. Identitätsmanagement nötig: Gebraucht wird ein (projekt-spezifischer) PID, eine Patientenliste speichert die Zuordnung zwischen IDAT und PID. Die Rückidentifikation läuft über PSN-Dienst und Patientenliste. Pommerening, 12. September 2006

Pommerening, 12. September 2006 Inhalt Grundlagen von Anonymisierung und Pseudonymisierung Methoden und Szenarien Die Pseudonymisierungsmodelle der TMF Diskussion und Ausblick Pommerening, 12. September 2006

Modell B: Pseudonymer Forschungs-Datenpool Datenfluss wie in Szenario 3, aber der Sekundärnutzer baut ein (krankheitsspezifisches) Register auf. Die Langzeit-Datensammlung erfordert klar definierten organisatorischen Rahmen, besondere technische Sicherheitsvorkehrungen, zusätzlich zur entsprechenden Patientenaufklärung und -einwilligung. Identitätsmanagement (PID-Verwaltung) und Qualitätssicherung der Daten (mit Rückfragen) müssen vor Pseudonymisierung erfolgen. Pommerening, 12. September 2006

Pseudonymi- sierungsdienst (TTP) Identitäts- management Pseudonymisierung mit möglicher Rückidentifikation Pseudonymi- sierungsdienst (TTP) Nutzdaten verschlüsselt durchreichen Datenquelle(n) Sekundärnutzung MDAT MDAT IDAT PID PSN PSN IDAT PID MDAT = Medizinische Daten IDAT = Identitätsdaten Identitäts- management (TTP) PID = Patientenidentifikator PSN = Pseudonym Pommerening, 12. September 2006

Modell A: Zentrale klinische Datenbank, mehrfache Sekundärnutzung Datenpool = zentrale »klinische« Datenbank. Zentral für Forschungsverbund. Zugriff für behandelnden Arzt (dezentral). Keine Identitätsdaten, nur PIDs in DB. Zugriffsregelung über temporäre Token (tempID). Kein Online-Zugriff für Sekundärnutzer. Für Sekundärnutzung wird jeweils ein Auszug der Datenbank exportiert (anonymisiert oder ad hoc pseudonymisiert). Pommerening, 12. September 2006

Pseudonymi- sierungsdienst (TTP) Die zentrale klinische Datenbank Pseudonymi- sierungsdienst (TTP) (TTP) Zentrale Datenbank Export verschl. MDAT Lokale Datenbank PID PID PSN MDAT Export IDAT IDAT PID MDAT PID-Dienst (TTP) PSN MDAT = Medizinische Daten IDAT = Identitätsdaten Sekundärnutzung PID = Patientenidentifikator PSN = Pseudonym Pommerening, 12. September 2006

Besonderheiten von Modell A Vorteile: Gut geeignet für multizentrische Studien. Bessere Unterstützung für Langzeitbeobachtung von Patienten mit chronischer Erkrankung. Nützlich für den datenproduzierenden Arzt. Gut an Patientenakten-Architektur mit zentraler DB anpassbar. Nachteile: Komplizierte Kommunikationsprozeduren. Viele TTP-Dienste und geheime Schlüssel benötigt. Pommerening, 12. September 2006

Pommerening, 12. September 2006 Ergebnisse I TMF-Modelle A und B von den Datenschutzbeauftragten positiv bewertet (Arbeitskreis Wissenschaft und AK Gesundheit der Datenschutzbeauftragten des Bundes und der Länder) Modell A in einem Forschungsnetz implementiert. Weitere in Vorbereitung oder Einführung. Modell B von mehreren Netzen adaptiert; Implementierungen in Arbeit. Pommerening, 12. September 2006

Pommerening, 12. September 2006 Ergebnisse II Die TMF bietet Software-Tools für die TTP-Dienste. Zugehörige Policies, Musterverträge, Mustereinwilligungserklärungen von der TMF erhältlich (frei für Mitglieder). Buchveröffentlichung in TMF-Schriftenreihe: Reng/Debold/Specker/Pommerening: »Generische Lösungen zum Datenschutz für die Forschungsnetze in der Medizin«. Pommerening, 12. September 2006

Pommerening, 12. September 2006

Pommerening, 12. September 2006 TMF-Schriftenreihe Band 1: Generisches Datenschutzkonzept Band 2: Rechtsgutachten Biomaterialbanken (erschienen August 2006) Band 3: Musterlösungen zur Patienteneinwilligung (ca Oktober 2006) Band 4: Datenschutzkonzept für Biomaterialbanken (ca Dezember 2006) Band 5: Qualitätsmanagement für Biomaterialbanken (2007) Band 6: Datenqualität in der medizinischen Forschung (ca Dezember 2006) Pommerening, 12. September 2006

Pommerening, 12. September 2006 Inhalt Grundlagen von Anonymisierung und Pseudonymisierung Methoden und Szenarien Die Pseudonymisierungsmodelle der TMF Diskussion und Ausblick Pommerening, 12. September 2006

Pommerening, 12. September 2006 Diskussion (I) Die TMF-Modellarchitektur (Varianten A und B) bietet Möglichkeiten zum Aufbau zentraler Datenpools für medizinische Forschung und Versorgungsforschung, die mit der deutschen und europäischen Datenschutzgesetzgebung verträglich sind, die Patientenrechte respektieren, vielfältige Situationen abdecken. Die Pseudonymisierungsszenarien wirken komplex, aber funktionieren transparent, sobald sie etabliert sind. Pommerening, 12. September 2006

Pommerening, 12. September 2006 Diskussion (II) Der Transfer zu anderen Anwendungen im Gesundheitswesen ist möglich und zu empfehlen. Die TTP-Dienste für die Sekundärnutzung von Gesundheitsdaten sollten in die Architektur des Gesundheitswesens eingebaut werden (geeignet angepasste Versionen der TMF-Modelle). TMF-Modell B für eine dezentrale Architektur des Gesundheitswesens eher geeignet. TMF-Modell A eher für eine zentrale Architektur. Für Biomaterialbanken wurden analoge Modelle entwickelt. Pommerening, 12. September 2006

Anwendungserfahrungen Workshop 9. 9. 2005 mit 14 Netzen. Ergebnisse: Begutachtung des Datenschutzkonzepts (meist) zügig und positiv. Anpassung an Modelle A/B oft schwierig, nicht alle Anforderungen abgedeckt. Implementierung oft langwierig und aufwendig. Fazit: Überarbeitung des generischen Datenschutzkonzepts bis Anfang 2007. Pommerening, 12. September 2006

Revision des TMF-Datenschutzkonzepts Ziele: Mehr Anwendungsszenarien explizit beschreiben. Bessere Skalierbarkeit, Verhältnismäßigkeitskriterien. Modularer Aufbau. Verzahnung mit Versorgung und klinischen Studien besser berücksichtigen. Etablierung zentraler Dienstleistungen. Internationalisierung als separates Projekt. Pommerening, 12. September 2006

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2024 SlidePlayer.org Inc. All rights reserved.