Biomaterialbanken Datenschutz und Pseudonymisierung

Slides:

Advertisements

Ähnliche Präsentationen

UIC-Verladerichtlinien

Advertisements

Datenschutz im IT-Grundschutz

Arbeitskreis Medizin und Ethik in der DGHO Dr. Eva Winkler. / Dr

Datenschutz am Mittag Videoüberwachung

Rechtliche Aspekte der Veröffentlichungen in Manuscripta Mediaevalia

Ulrich Kähler, DFN-Verein

Eigenschaften und Pflichten vertrauenswürdiger digitaler Archive

Klaus Pommerening, Mainz

Patientenidentifikation in medizinischen Forschungsverbünden

NGFN-Qualitätsmanagement-Workshop Heidelberg, 9. November 2007

Berlin, 11. Dezember 2006 Prof. Dr. Klaus Pommerening

Einführung in die Ausbildung

Workshop: Qualifizierung für Groupware 7. September 1999 Dortmund Herzlich willkommen zum.

Datenschutz? Unwissenheit schützt vor Strafe nicht!

Der „virtuell cube“ : Die drei Bewegungen

Integrierte Versorgung im Kontext Gemeindepsychiatrischer Verbünde

Gesundes Führen lohnt sich !

Versand der Arzneimittel

Elektronische Signatur

Branchennetz Gesundheitswesen IT Grundlagen der

Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)

Anonymität contra Straftatverfolgung im Internet

Datenschutz in the small

Warum das Ganze? Weil es nicht anders geht…und auch nicht alleine!

Die neue europäische Datenschutzverordnung

Nestor Workshop im Rahmen der GES 2007 Digitale Langzeitarchivierung und Grid: Gemeinsam sind wir stärker? Anforderungen von eScience und Grid-Technologie.

Herzlich Willkommen! CDISC User Group – konstituierendes Treffen, Berlin, Vorstellung der TMF, ihrer Arbeitsgruppen und Arbeitsweise Sebastian.

Steuergruppenarbeit - Grundprinzipien

Rechtssicherheit und aktuelle Fachkunde für Datenschutzbeauftragte! Ich bin dabei !

Datenschutz und Datensicherheit

Datenschutz?!?!.

UNIV.-KLINIK FÜR BLUTGRUPPENSEROLOGIE UND TRANSFUSIONSMEDIZIN, GRAZ UNIV.-KLINIK FÜR BLUTGRUPPENSEROLOGIE UND TRANSFUSIONSMEDIZIN, GRAZ RICHTLINIE 2002/98/EG.

Fokus Führungskräfte – Gesundheit zum Thema machen

Telematikplattform für Medizinische Forschungsnetze (TMF) e.V. Clinical Metadata Repository 4th German CDISC User Group Berlin, Thursday, 19 February 2009.

Datenschutz als Grundrecht

Dienstordnung – Knackpunkt des Entwurfs Entwurf März 2011

Gibt es einen Zusammenhang zwischen Mitarbeiter-Zufriedenheit und Mitarbeiter-Leistung? Was wir alle aus der Erfahrung wissen, ist schwierig wissenschaftlich.

BEM aus Datenschutzsicht

Wertemanagement Die Übergänge zwischen den Wertesystemen.

Faire und vertrauensvolle Zusammenarbeit an der

Hilfe oder Hemmnis beim Kinderschutz

Datenschutz und Datensicherheit

Datenschutz und Datensicherheit

Datenschutz und Datensicherheit

Telematikplattform für Medizinische Forschungsnetze (TMF) e.V. Herzlich Willkommen! 1. deutschsprachiges CDISC User Group Meeting, Berlin, Vorstellung.

Datenschutz und Datensicherheit

Datenschutz - Datensicherheit

Datenschutz im Cyberspace Rechtliche Pflichten für Treuhänder Mathias Kummer Weblaw GmbH Laupenstrasse Bern Mathias.

Ablauf einer Mediation

Urheberrecht und Schule

Grundkurs praktische Philosophie 21. November 2005 Angewandte Ethik Text: James Rachels, The End of Life. Euthanasia and Morality, Oxford University Press.

Ist das DANRW vertrauenswürdig? Manfred Thaller Universität zu Köln Köln, Die Herausforderung der Elektronischen Archivierung 16. Januar 2013.

Datenschutz im betrieblichen Kontext – Ein praxisorientierter Ansatz in einem multinationalem Unternehmen Bachelorarbeit MIS.

Datenschutz X 1. Was ist Datenschutz? 2. Datenschutzgesetze?

Rechtliche Rahmenfaktoren der Netzwerksicherheit

Datenschutz und Internetrecht für Pädagogen. Datenschutz  Sicherheit im Umgang mit Daten  Grundrecht: Informationelle Selbstbestimmung  Schutz vor.

Kann die Freiheit im Netz grenzenlos sein – Datenschutz und Digitalisierung des Lebens Netzpolitische Konferenz DIE LINKE 7. Juli 2015, Schwerin.

DatenschutzManagement mit Verinice

ResA am Arbeitsplatz Das Vorgehen ist angelehnt an „5 S“ und bietet Ihnen die Möglichkeit das Konzept der 5 Disziplinen ressourcenschonenden Arbeitens.

Warum Schulung jetzt? - Neuer DSB

Was sind Verbesserungs-Workshops?

European Patients’ Academy on Therapeutic Innovation Die Brustkrebsbiobank PATH: Kooperation und Initiative zwischen Patientinnen und Universitäten Doris.

Alles mit rechten Dingen − juristische Fragen rund ums eLearning Impulsreferat lernPause 11. Oktober 2011 Andreas Brennecke (IMT)

BMBF-Projekt: Qualitätsmanagement für Hochdurchsatz-Genotypisierung Konsentierter Katalog von Fluoreszenz-Cluster-Typen Abgeleitet aus Daten von 980 Proben,

Forum 3: Instrumente Wie kontrolliert man vertrauensvoll? Zur Eignung von Instrumenten der Qualitätsbewertung und -sicherung Impulsreferat Dr. Peter Heil.

Data Governance/Privacy/Security Dr. Gottfried Endel Hauptverband der Österreichischen Sozialversicherungsträger.

5. Brandenburger Nephrologie Kolleg Patientenverfügungen - Auswirkungen auf die tägliche Praxis RA Dr. Martin Nanzka, Berlin 5. Brandenburger.

Datenschutz u. -sicherheit. Datenschutz Die Datenschutzrichtlinien der Europäi- schen Gesellschaft beschäftigt sich mit personenbezogenen Daten. Mit diesen.

Rechtliche Grundlagen der Pseudonymisierung/Anonymisierung Berlin, 23. Mai 2016Dr. Bernd Schütze.

und wer darf darüber verfügen?

Präsentation transkript:

Biomaterialbanken Datenschutz und Pseudonymisierung Informationsveranstaltung Biomaterialbanken, Berlin, 14. September 2009 Prof. Dr. Klaus Pommerening Universität Mainz + KN Pädiatrische Onkologie und Hämatologie + TMF-AG Datenschutz gefördert vom

Spezifika von Biomaterialbanken 27.03.2017 Spezifika von Biomaterialbanken Sammlung von Biomaterialien für Forschungsprojekte für unbestimmte Zeit, nicht immer vorher bestimmten Zweck, nicht immer vorher bekannten Anwenderkreis. Drei datenschutzrechtliche Hindernisse (sogar bei Einwilligung) besondere Schutzmaßnahmen nötig. Genetische Informationen in Materialien stets personenbeziehbar. Informationsdichte nicht verringerbar (im Sinne der „Datensparsamkeit“). Verknüpfung der Proben mit krankheitsbezogenen, soziodemographischen und anderen Daten – über Referenzproben unbefugte Rückidentifizierung möglich.

TMF-Datenschutzkonzept 27.03.2017 TMF-Datenschutzkonzept Datenschutzkonzept der TMF für Biomaterialbanken liegt vor. Buchpublikation in Vorbereitung (TMF-Schriftenreihe) Wichtigste Grundlagen: Generisches DS-Konzept der TMF, Stellungnahme des Nationalen Ethikrates zu Biobanken, Konsens der Datenschutzbeauftragten (AK Wissenschaft). Bereits publiziert in TMF-Schriftenreihe: Rechtliche Rahmenbedingungen, Leitfaden zur Einwilligung.

Datenschutzkonzept BMB Ausgangspunkte Rechtliche Rahmenbedingungen Das Ausbalancieren der Grundrechte „Forschungsfreiheit“ und „informationelle Selbstbestimmung“/ Persönlichkeitsrechte erfordert die Ausgestaltung von Regelungen nach dem Prinzip der Verhältnismäßigkeit. Organisatorisches und technisches Umfeld z. B. datenschutzrelevante Angriffsszenarien auf BMB: unbefugter Zugriff auf Daten, unbefugte Rückidentifizierung, Zugriff auf Proben. Wesentliches Ziel eines Datenschutzkonzepts: Das Rückidentifizierungsrisiko muss minimiert und kontrolliert werden.

Datenschutzkonzept BMB Rechtliche Rahmenbedingungen Persönlichkeitsrecht ... verhindert beliebige Nutzung von Proben und ist unveräußerbar. [BGH] Proband muss Kontrolle über seine „abgetrennten Körperteile“ behalten. Datenschutzrecht ... sichert die informationelle Selbstbestimmung über personenbeziehbare Informationen. Strenge Regeln des Arztrechts (Schweigepflicht). Eigentumsrecht (folgt) Umgang mit „Altproben“ in rechtlicher Grauzone.

Eigentumsrecht Eine Probe befindet sich, vorbehaltlich anderer Übereinkünfte, im Eigentum des Probanden. Das Eigentumsrecht kann abgetreten werden. Aber: Der Eigentumsübertrag einer Probe an eine BMB bedarf einer ausdrücklichen Vereinbarung zwischen BMB und Proband. Eine BMB kann eine Probe an einen Dritten übergeben, sofern sie Eigentümer der Probe ist, aber nur, soweit das Persönlichkeitsrecht des Probanden nicht verletzt wird. Das Persönlichkeitsrecht kann nicht abgetreten werden.

Einwilligungserklärung Grundsätze Die verbindliche a-priori-Festlegung von Zweck, Zeitraum, Nutzerkreis gehört zu einer wirksamen Einwilliguungserklärung, Widerspricht aber dem Nutzen einer BMB. Daher Abschwächung: Als Standardvorgabe sind Zweck und Nutzungsdauer der Probe so konkret wie möglich benennen. Der Forschungszweck kann aber offen formuliert werden. Der Patient behält dabei durch sein Widerrufsrecht angemessene Kontrolle über seine Proben und Daten. Adäquate Aufklärung und abgestufte Vorlage zur Einwilligung – soweit im Kontext sinnvoll machbar – erlauben dem Patienten individuelle Festlegung der Reichweite als Ausdruck des Rechts auf informationelle Selbstbestimmung.

Einwilligungserklärung Wissen/Nichtwissen Das Auskunftsrecht (nach BDSG) muss der Patient aktiv wahrnehmen. Es besteht von Seiten der Forscher keine datenschutz-rechtliche Mitteilungspflicht über die in der Einwilligungserklärung vereinbarte Vorgehensweise hinaus. Das in einer Einwilligung vereinbarte Recht auf Nichtwissen bedarf im Einzelfall einer (ethischen) Prüfung. Auch das Vorgehen bei „Zufallsbefunden“ bedarf einer eingehenden ethischen Erörterung.

Aufklärung und Einwilligungserklärung Umfang Eigentums- und Nutzungsübertragung Träger und Rechtsnachfolge der BMB Verantwortliche, Ansprechpartner Reichweite der Einwilligung (Zweck, Nutzungsdauer) vorgesehene oder mögliche Weitergabe an Dritte geplante Anonymisierung oder Pseudonymisierung Mitteilungspflichten, Auskunftsrecht, Wissen versus Nichtwissen Widerruf und Löschung Regelung für den Todesfall Materialgewinnung und -handhabung mögliche Zusatzerhebungen, „Rekrutierung“ für künftige Studien

Anonymisierung Absolute Anonymisierung von Proben ist nicht möglich. Die Rückidentifizierung ist noch sehr aufwendig. Anonymisierbarkeit (de facto) z. Z. noch angenommen. „Der Erhalt des Persönlichkeitsrechts auf Verfügung über eigenes Körpermaterial kann einen Verzicht auf sonst mögliche Anonymisierung nicht rechtfertigen.“ [AK Wissenschaft] Wirksamkeit der Anonymisierung muss immer wieder neu nach dem aktuellen Stand bewertet werden (z. B. bei Weitergabe). Für eine langfristige Nutzung von Biomaterialien sollte die Einwilligung eine pseudonymisierte Verarbeitung vereinbart werden. Eine geplanten Anonymisierung der Materialien bzw. Daten ist mitzuteilen. Der Patient ist darauf hinzuweisen, dass er bestimmte Rechte nach Anonymisierung nicht mehr wahrnehmen kann: das Recht auf Mitteilung individueller Ergebnisse, das Recht auf Berichtigung/Löschung/Vernichtung, das Recht auf Widerruf der Verarbeitung.

Datenschutzkonzept BMB einige Grundsätze Offene Konzeption (Dauer, Zweck, Anwender) muss durch strengen organisatorischen Rahmen und besondere Sicherheitsmaßnahmen kompensiert werden. Einwilligung allein reicht nicht. Verbindliche und nachprüfbare Regel- und Vertragswerke. Satzung der BMB, Policies Nennung der Verantwortlichen für Probenlagerung und Datenspeicherung/ -verarbeitung Prüfung und Genehmigung von Projekten, Durch öffentliche Bekanntmachung Vereinfachung der Aufklärung. Übergang in Forschungskontext nur anonymisiert oder pseudonymisiert. Minimierung und Kontrolle der Zugriffe.

Datenschutzkonzept BMB Methoden Minimierung des Angriffspotenzials durch technische Maßnahmen/ Sicherheitsdienste: Verschlüsselung, Firewalls, Zugangs- und Zugriffskontrolle, Überwachung, ... organisatorische Maßnahmen: getrennte Speicherung / Lagerung Trennung der Verantwortlichkeiten („Mehraugenprinzip“) Verpflichtungen, Selbstverpflichtungen, vertragliche Regelungen, verbindliche SOPs, Einwilligungserklärung Werkzeuge: Informationsteilung mit Kommunikationskontrolle Zugriffskontrolle Identitätsmanagement mit Pseudonymisierung (und Anonymisierung) für Personen und Proben/ Material

Informationsarten ProbDAT MDAT OrgDATLab OrgDATOrder OrgDATProb IDAT Analysedaten aus der Verarbeitung der Probe medizinische Kontextdaten zum Probanden organisatorische Daten zur Verwaltung und Lagerung der Probe, auch zum aktuellen Auftrag zur Analyse oder Weitergabe eindeutige Identifikatoren des Probanden, der Probe, der beteiligten Institutionen und Ärzte / Forscher probandenidentifizierende Daten, weitere soziodemographische Daten zum Probanden

Informationstrennung Prinzipieller Ansatz: Verteilte Architektur, Kommunikation über Treuhänderdienste (TTP = Trusted Third Party) – Evtl. Vereinfachungen nach Verhältnismäßigkeit getrennte Speicherung / getrennte Verantwortung IDAT – MDAT – Probe/OrgDAT – ProbDAT Zuordnung über verschiedene Pseudonyme („Identitätsmanagement“) PID – PSN – LabID – LabIDtr Anonymisierung oder zusätzliche Pseudonymisierung beim Übergang BMB  Forschungsprojekt Nur benötigte Daten herausgeben („Datensparsamkeit“). Angestrebter Regelfall: Statt Proben Analysedaten herausgeben.

Informationsfluss und -verteilung in BMB („Maximalmodell“) (entspricht „TMF-Modell B“: MDAT in patientenferner „Forschungsdatenbank“)

Eindeutige Kennzeichnung der Probe Die LabID Eindeutige Kennzeichnung der Probe als Aufkleber (Barcode) und Teil der OrgDAT nicht-sprechend (pseudonym) Erzeugung bei probengewinnender Stelle Zuordnung zum Patienten nur dort möglich. Erzeugung dezentral oder durch zentrales Online-Verfahren analog zur PID-Erzeugung Probenbank (oder ID-Management-TTP) erzeugt LabIDtr: kryptographisch oder über Zuordnungstabelle, Zuordnung zu LabID nur in Probenbank möglich. Forschungsdatenbank erhält nur LabIDtr. Bei Anforderung von ProbDAT Mitarbeit der Probenbank nötig (bei Proben sowieso).

Redundanzen der Sicherheitsmaßnahmen Wichtiges Grundprinzip bei Sicherheitskonzepten: Mehrfachabsicherung: Was passiert, wenn eine Sicherheitskomponente ausfällt? Was passiert, wenn ein Teilnehmer nicht regelkonform agiert? Verhältnismäßigkeit: (bedeutet selten: Anpassung eines kontinuierlichen Parameters, sondern meistens ...) Verzicht auf einige Redundanzen oder Ersetzung durch „einfachere“ Vorkehrungen Beispiel: Verlass auf ärztliche Schweigepflicht im Behandlungszusammenhang statt Einsatz einer unabhängigen TTP.

Beispiele für Verhältnismäßigkeit abhängig von Kriterien und Einzelfall-Bewertung Verhältnismäßigkeit Aufbewahrung ProbDAT zu MDAT? Möglich, wenn: ProbDAT enthält keine probenidentifizierenden Informationen. ProbDAT enthält keine personenidentifizierenden Informationen. MDAT, Probe, ProbDAT in der gleichen Institution? Wenn: Verschiedene Fachaufsicht gegeben, kein gegenseitiger Zugriff. Daten dürfen keinen unmittelbaren Rückschluss auf Identität zulassen. Ansiedlung von TTP-Diensten Pseudonymisierung „an der Quelle“, wenn Behandlungskontext und einmalige Probenentnahme. Im „großen“ Forschungsverbund TTP-Dienste bei verschiedenen Kliniks-Rechenzentren wenn diese ansonsten am Forschungsprojekt unbeteiligt sind.  vereinfachte Modellvarianten

Proben aus dem Behandlungszusammenhang Für eine langfristige Nutzung von Biomaterialien sollte die Einwilligung in eine pseudonymisierte Aufbewahrung vereinbart werden. Saubere Lösung für Eigentumsverhältnisse notwendig. Altproben: anonymisiert für die Forschung verwenden. (Rechtlich problematisch wegen Persönlichkeitsrecht und Eigentumsrecht.) Neuproben: Klausel im Behandlungsvertrag vorsehen. Beispiel: „Ich willige ein, dass meine Proben nach Löschung der identifizierenden Daten (bzw. Pseudonymisierung) zu Forschungszwecken (...) genutzt werden, und übertrage das Eigentum an ihnen dem QQQ-Klinikum.“ Getrennte Lagerung für Forschungszwecke rechtlich nicht notwendig, aber entsprechende Kennzeichnung in OrgDAT und adäquate Umgangsregeln.

Wichtige Grundlagen dafür: Zusammenfassung Rechtlich einwandfreier Umgang mit Biomaterialien und Aufbau von Biomaterialbanken ist möglich. Wichtige Grundlagen dafür: ordnungsgemäßer Betrieb der BMB mit klaren Verantwortlichkeiten, sorgfältige Aufklärung und Einwilligungserklärung, hoher Sicherheitsstandard, Informationstrennung und Identitätsmanagement mit Pseudonymen, Einsatz von Treuhänderdiensten.