Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Klaus Pommerening, Mainz

Veröffentlicht von:Helfried Heidebrink Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Klaus Pommerening, Mainz"—  Präsentation transkript:

1 Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten
Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS 2006, Leipzig TMF = Telematikplattform für die medizinischen Forschungsnetze

2 Pommerening, 12. September 2006
Inhalt Grundlagen von Anonymisierung und Pseudonymisierung Methoden und Szenarien Die Pseudonymisierungsmodelle der TMF Diskussion und Ausblick Pommerening, 12. September 2006

3 Nutzung von Patientendaten
Primärnutzung: Behandlungskontext. Sekundärnutzung: Versorgungsforschung, Qualitätssicherung, Gesundheitsökonomie, krankheitsspezifische klinische oder epidemiologische Studien, Aufbau von zentralen Datenpools und Biomaterialbanken. Typische Aspekte der Sekundärnutzung: Außerhalb des Behandlungskontexts und der Schweigepflicht (des behandelnden Arztes); die Identität des Patienten ist ohne Belang. Pommerening, 12. September 2006

4 Barriere: Ärztliche Schweigepflicht
Behandlungskontext [Primärnutzung] Barriere: Ärztliche Schweigepflicht [Sekundärnutzung/Forschungskontext] klinische Forschung Versorgungsforschung direkte Erfassung Export erlaubt, wenn - anonyme Daten, - Einwilligung, - Gesetzesvorschrift Register/ epidemiologische Forschung Pommerening, 12. September 2006

5 Pommerening, 12. September 2006
BDSG §3 (6): Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. [„faktische Anonymisierung“] Pommerening, 12. September 2006

6 Für die Sekundärnutzung von Patientendaten (und Proben):
Identität der Patienten schützen. Keine unnötigen gesetzlichen Abschwächungen! Anonymisierung, wann immer möglich. Nachteile der Anonymisierung: Keine Zusammenführung von Daten aus verschiedenen Quellen ... oder von verschiedenen Zeitpunkten. Kein Weg zurück zum Patienten für Rückmeldungen ... oder zur Rekrutierung für neue Studien ... oder zum Rückruf von Proben/ Widerruf der Einwilligung. Pommerening, 12. September 2006

7 Pommerening, 12. September 2006
BDSG §3 (6a): Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Pommerening, 12. September 2006

8 Pommerening, 12. September 2006
Pseudonyme Goldener Mittelweg zwischen Anonymität und Exposition der Identitäten („indirekter Personenbezug“). Je nach Kontext zu nutzen: Einweg-Pseudonyme, die nicht aufgelöst werden können, reversible Pseudonyme die eine Rückidentifizierung ermöglichen. Pseudonymisierung ist rechtlich nicht äquivalent zur Anonymisierung, sondern erfordert Zusatzüberlegungen und -maßnahmen; z. B. nur mit Einwilligung oder gesetzlicher Regelung erlaubt! Pommerening, 12. September 2006

9 Die Rolle der Einwilligungserklärung
Königsweg zur Sekundärnutzung im Forschungskontext. Aber: Zweckbindung, Zeit- und Nutzerbeschränkung. Patientenaufklärung muss Zweck der Datensammlung oder Zweck und Adressaten einer Nutzung oder Weitergabe explizit (und abschließend) benennen, muss Datenverarbeitung und -verwendung transparent machen. Auch mit Einwilligung dürfen Identitätsdaten nicht unnötig verarbeitet oder gespeichert werden. Als Instrument der Gesundheitsforschung eher schwerfällig, daher gesetzliche Regelungen vorzuziehen mit geringstmöglichem Eingriff in die Persönlichkeitsrechte! Pommerening, 12. September 2006

10 Anonymisierung/Pseudonymisierung von Proben
Anonymisierbarkeit noch anzunehmen. und wenn möglich anzuwenden. Mittelfristig: Nur noch Pseudonymisierungslösungen – Personenbezug inhärent, Widerruf muss gewährleistet bleiben (Persönlichkeitsrecht). Pommerening, 12. September 2006

11 Pommerening, 12. September 2006
Inhalt Grundlagen von Anonymisierung und Pseudonymisierung Methoden und Szenarien Die Pseudonymisierungsmodelle der TMF Diskussion und Ausblick Pommerening, 12. September 2006

12 Grundtyp 1 von Pseudonymen
Inhaber-erzeugte Pseudonyme (Chaum ca. 1980) Erzeugung durch blinde digitale Signatur. Kontrolle beim Besitzer. Für Sekundärnutzung von Gesundheitsdaten nicht geeignet. Geeignet für E-Commerce. Lüftbar im Betrugsfall. Rechtssicherer pseudonymer Handel. Problem: Politisch nicht gewollt. Pommerening, 12. September 2006

13 Grundtyp 2 von Pseudonymen
TTP-erzeugte Pseudonyme Trusted Third Party = »Vertrauensstelle« oder »Datentreuhänder« (z. B. ein Notar). Beispiel: Krebsregister (Michaelis/Pomm. 1993). Für Sekundärnutzung von Patientendaten besser geeignet: z. B. Rückmeldung über behandelnden Arzt, z. B. Rekrutierung für neue Studien, Pommerening, 12. September 2006

14 Grundtyp 2: Das Basismodell
Nutzdaten durchreichen TTP (PSN- Erzeugung) Individuum Datenbank Identität Pseudonym Datenleck Schlüssel oder Referenzliste (»Codebuch«) [streng geheim] L85FD23S Maier, Johannes 6AZCB661 Maier, Josef KY2P96WA Maier, Jupp L85FD23S Angreifer Pommerening, 12. September 2006

15 Besser: Schlüssel statt Referenzliste
Pseudonym-Erzeugung durch kryptographische Verschlüsselung; garantierte Eindeutigkeit: Pseudonym = verschlüsselter Personenidentifikator (PID). Die Zentralstelle speichert nichts außer ihrem geheimen Schlüssel (z. B. auf SmartCard). »Schlanker« TTP-Service. Auch irreversible Pseudonyme möglich (durch Einweg-Verschlüsselung). Bei Wechsel des kryptographischen Verfahrens: Um- oder Überverschlüsselung. Pommerening, 12. September 2006

16 Szenario 1: Einzelne Datenquelle, Einmal-Sekundärnutzung
Typischer Anwendungsfall für Anonymisierung. Beispiel: Einfache statistische Auswertung exportierter Datensätze. AMG §40 (2a): ... die erhobenen Daten soweit erforderlich ... pseudonymisiert an den Sponsor oder eine von diesem beauftragte Stelle zum Zwecke der wissenschaftlichen Auswertung weitergegeben werden ... TMF-Rechtsgutachten steht noch aus. Pommerening, 12. September 2006

17 Pommerening, 12. September 2006
Szenario 2: Mehrere Datenquellen mit Überschneidungen, Einmal-Sekundärnutzung Daten aus verschiedenen Quellen müssen zusammengeführt werden. Beispiele: multizentrische Studie, Follow-up-Daten. Typischer Anwendungsfall für Einweg-Pseudonyme. Identität wird aufgehoben, Verknüpfbarkeit bleibt. Pommerening, 12. September 2006

18 Pseudonymi- sierungsdienst (TTP)
Pseudonymisierung für Einmal-Sekundärnutzung Pseudonymi- sierungsdienst (TTP) Nutzdaten verschlüsselt durchreichen Sekundärnutzung Datenquelle(n) MDAT MDAT IDAT PID PID PSN PSN MDAT = Medizinische Daten IDAT = Identitätsdaten PID = Eindeutiger Patientenidentifikator PSN = Pseudonym Pommerening, 12. September 2006

19 Besonderheiten von Szenario 2
Medizinische Daten (MDAT) mit öffentlichem Schlüssel des Sekundärnutzers verschlüsselt – Die TTP kann die MDAT nicht lesen. Nur der Sekundärnutzer kann sie entschlüsseln. Das Pseudonym (PSN) ist der verschlüsselte PID mit einem geheimen Schlüssel, den nur die TTP hat, durch eine Einweg-Funktion. Die TTP speichert nichts (außer dem Schlüssel). Szenario 2 in Routinebetrieb seit 2002 in einem Projekt der Versorgungsforschung der TMF. Pommerening, 12. September 2006

20 Pommerening, 12. September 2006
Szenario 3: Einmalige Sekundär-Nutzung mit Rückidentifikationsmöglichkeit Verwendet wird das Modell von Szenario 2, aber PSN-Dienst verschlüsselt umkehrbar, Rückverknüpfbarkeit bleibt erhalten. Identitätsmanagement nötig: Gebraucht wird ein (projekt-spezifischer) PID, eine Patientenliste speichert die Zuordnung zwischen IDAT und PID. Die Rückidentifikation läuft über PSN-Dienst und Patientenliste. Pommerening, 12. September 2006

21 Pommerening, 12. September 2006
Inhalt Grundlagen von Anonymisierung und Pseudonymisierung Methoden und Szenarien Die Pseudonymisierungsmodelle der TMF Diskussion und Ausblick Pommerening, 12. September 2006

22 Modell B: Pseudonymer Forschungs-Datenpool
Datenfluss wie in Szenario 3, aber der Sekundärnutzer baut ein (krankheitsspezifisches) Register auf. Die Langzeit-Datensammlung erfordert klar definierten organisatorischen Rahmen, besondere technische Sicherheitsvorkehrungen, zusätzlich zur entsprechenden Patientenaufklärung und -einwilligung. Identitätsmanagement (PID-Verwaltung) und Qualitätssicherung der Daten (mit Rückfragen) müssen vor Pseudonymisierung erfolgen. Pommerening, 12. September 2006

23 Pseudonymi- sierungsdienst (TTP) Identitäts- management
Pseudonymisierung mit möglicher Rückidentifikation Pseudonymi- sierungsdienst (TTP) Nutzdaten verschlüsselt durchreichen Datenquelle(n) Sekundärnutzung MDAT MDAT IDAT PID PSN PSN IDAT PID MDAT = Medizinische Daten IDAT = Identitätsdaten Identitäts- management (TTP) PID = Patientenidentifikator PSN = Pseudonym Pommerening, 12. September 2006

24 Modell A: Zentrale klinische Datenbank, mehrfache Sekundärnutzung
Datenpool = zentrale »klinische« Datenbank. Zentral für Forschungsverbund. Zugriff für behandelnden Arzt (dezentral). Keine Identitätsdaten, nur PIDs in DB. Zugriffsregelung über temporäre Token (tempID). Kein Online-Zugriff für Sekundärnutzer. Für Sekundärnutzung wird jeweils ein Auszug der Datenbank exportiert (anonymisiert oder ad hoc pseudonymisiert). Pommerening, 12. September 2006

25 Pseudonymi- sierungsdienst (TTP)
Die zentrale klinische Datenbank Pseudonymi- sierungsdienst (TTP) (TTP) Zentrale Datenbank Export verschl. MDAT Lokale Datenbank PID PID PSN MDAT Export IDAT IDAT PID MDAT PID-Dienst (TTP) PSN MDAT = Medizinische Daten IDAT = Identitätsdaten Sekundärnutzung PID = Patientenidentifikator PSN = Pseudonym Pommerening, 12. September 2006

26 Besonderheiten von Modell A
Vorteile: Gut geeignet für multizentrische Studien. Bessere Unterstützung für Langzeitbeobachtung von Patienten mit chronischer Erkrankung. Nützlich für den datenproduzierenden Arzt. Gut an Patientenakten-Architektur mit zentraler DB anpassbar. Nachteile: Komplizierte Kommunikationsprozeduren. Viele TTP-Dienste und geheime Schlüssel benötigt. Pommerening, 12. September 2006

27 Pommerening, 12. September 2006
Ergebnisse I TMF-Modelle A und B von den Datenschutzbeauftragten positiv bewertet (Arbeitskreis Wissenschaft und AK Gesundheit der Datenschutzbeauftragten des Bundes und der Länder) Modell A in einem Forschungsnetz implementiert. Weitere in Vorbereitung oder Einführung. Modell B von mehreren Netzen adaptiert; Implementierungen in Arbeit. Pommerening, 12. September 2006

28 Pommerening, 12. September 2006
Ergebnisse II Die TMF bietet Software-Tools für die TTP-Dienste. Zugehörige Policies, Musterverträge, Mustereinwilligungserklärungen von der TMF erhältlich (frei für Mitglieder). Buchveröffentlichung in TMF-Schriftenreihe: Reng/Debold/Specker/Pommerening: »Generische Lösungen zum Datenschutz für die Forschungsnetze in der Medizin«. Pommerening, 12. September 2006

29 Pommerening, 12. September 2006

30 Pommerening, 12. September 2006
TMF-Schriftenreihe Band 1: Generisches Datenschutzkonzept Band 2: Rechtsgutachten Biomaterialbanken (erschienen August 2006) Band 3: Musterlösungen zur Patienteneinwilligung (ca Oktober 2006) Band 4: Datenschutzkonzept für Biomaterialbanken (ca Dezember 2006) Band 5: Qualitätsmanagement für Biomaterialbanken (2007) Band 6: Datenqualität in der medizinischen Forschung (ca Dezember 2006) Pommerening, 12. September 2006

31 Pommerening, 12. September 2006
Inhalt Grundlagen von Anonymisierung und Pseudonymisierung Methoden und Szenarien Die Pseudonymisierungsmodelle der TMF Diskussion und Ausblick Pommerening, 12. September 2006

32 Pommerening, 12. September 2006
Diskussion (I) Die TMF-Modellarchitektur (Varianten A und B) bietet Möglichkeiten zum Aufbau zentraler Datenpools für medizinische Forschung und Versorgungsforschung, die mit der deutschen und europäischen Datenschutzgesetzgebung verträglich sind, die Patientenrechte respektieren, vielfältige Situationen abdecken. Die Pseudonymisierungsszenarien wirken komplex, aber funktionieren transparent, sobald sie etabliert sind. Pommerening, 12. September 2006

33 Pommerening, 12. September 2006
Diskussion (II) Der Transfer zu anderen Anwendungen im Gesundheitswesen ist möglich und zu empfehlen. Die TTP-Dienste für die Sekundärnutzung von Gesundheitsdaten sollten in die Architektur des Gesundheitswesens eingebaut werden (geeignet angepasste Versionen der TMF-Modelle). TMF-Modell B für eine dezentrale Architektur des Gesundheitswesens eher geeignet. TMF-Modell A eher für eine zentrale Architektur. Für Biomaterialbanken wurden analoge Modelle entwickelt. Pommerening, 12. September 2006

34 Anwendungserfahrungen
Workshop mit 14 Netzen. Ergebnisse: Begutachtung des Datenschutzkonzepts (meist) zügig und positiv. Anpassung an Modelle A/B oft schwierig, nicht alle Anforderungen abgedeckt. Implementierung oft langwierig und aufwendig. Fazit: Überarbeitung des generischen Datenschutzkonzepts bis Anfang 2007. Pommerening, 12. September 2006

35 Revision des TMF-Datenschutzkonzepts
Ziele: Mehr Anwendungsszenarien explizit beschreiben. Bessere Skalierbarkeit, Verhältnismäßigkeitskriterien. Modularer Aufbau. Verzahnung mit Versorgung und klinischen Studien besser berücksichtigen. Etablierung zentraler Dienstleistungen. Internationalisierung als separates Projekt. Pommerening, 12. September 2006

Herunterladen ppt "Klaus Pommerening, Mainz"

Ähnliche Präsentationen

Projektvorstellung „Sport-Kindertagesstätte CHAMPINI“ in Nürnberg

Projektvorstellung „Sport-Kindertagesstätte CHAMPINI“ in Nürnberg
Datenschutz im IT-Grundschutz

Datenschutz im IT-Grundschutz
Das SalesPoint-Framework v3.2 Einführung und Überblick

Das SalesPoint-Framework v3.2 Einführung und Überblick
EMB-Ausschuss Unternehmenspolitik

EMB-Ausschuss Unternehmenspolitik
Projektumfeld Gesellschaftliche Strömungen Strukturen/ Gliederung

Projektumfeld Gesellschaftliche Strömungen Strukturen/ Gliederung
3rd Wednesday, 18. Januar 20061 Wettbewerb Breitband Ruhr – Mit neuen Technologien Zukunft sichern 29. 3rd Wednesday, 18. Januar 2006 Ulrike Langer, Projekt.

3rd Wednesday, 18. Januar Wettbewerb Breitband Ruhr – Mit neuen Technologien Zukunft sichern 29. 3rd Wednesday, 18. Januar 2006 Ulrike Langer, Projekt.
Dienstbesprechung der Fachbereichsleiter AWT am Dienstag, 21

Dienstbesprechung der Fachbereichsleiter AWT am Dienstag, 21
Biomaterialbanken Datenschutz und Pseudonymisierung

Biomaterialbanken Datenschutz und Pseudonymisierung
Patientenidentifikation in medizinischen Forschungsverbünden

Patientenidentifikation in medizinischen Forschungsverbünden
NGFN-Qualitätsmanagement-Workshop Heidelberg, 9. November 2007

NGFN-Qualitätsmanagement-Workshop Heidelberg, 9. November 2007
Berlin, 11. Dezember 2006 Prof. Dr. Klaus Pommerening

Berlin, 11. Dezember 2006 Prof. Dr. Klaus Pommerening
Datenschutz-Unterweisung

Datenschutz-Unterweisung
Der Testprozess als Bestandteil des SE Prozesses:

Der Testprozess als Bestandteil des SE Prozesses:
Hauptseminar Verteilte Systeme im Gesundheitswesen - Gesundheitstelematik Sommersemester 2007 Telematik im Gesundheitswesen: Überblick und Entwicklungsperspektiven.

Hauptseminar Verteilte Systeme im Gesundheitswesen - Gesundheitstelematik Sommersemester 2007 Telematik im Gesundheitswesen: Überblick und Entwicklungsperspektiven.
Online-Börse für regionale Kooperation Schule - Wirtschaft Juni 2004Wirtschaft im Dialog im Bildungswerk der Bayerischen Wirtschaft e.V.; Pia Schwarz Online-Börse.

Online-Börse für regionale Kooperation Schule - Wirtschaft Juni 2004Wirtschaft im Dialog im Bildungswerk der Bayerischen Wirtschaft e.V.; Pia Schwarz Online-Börse.
Access 2000 Datenbanken.

Access 2000 Datenbanken.
Taschenrechner im Mathematikunterricht Stephan Damp

Taschenrechner im Mathematikunterricht Stephan Damp
Datenschutz 99.

Datenschutz 99.
Grundlagen für die Teilnahme an G8GTS Die Pflichtstunden in G8GTS

Grundlagen für die Teilnahme an G8GTS Die Pflichtstunden in G8GTS
Vortrag zur Verteidigung der Diplomarbeit von Oliver Schäfer

Vortrag zur Verteidigung der Diplomarbeit von Oliver Schäfer

Ähnliche Präsentationen

Google-Anzeigen