gms | German Medical Science

MAINZ//2011: 56. GMDS-Jahrestagung und 6. DGEpi-Jahrestagung

Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V.
Deutsche Gesellschaft für Epidemiologie e. V.

26. - 29.09.2011 in Mainz

Integration von HL7-Nachrichten unter Berücksichtigung des Datenschutzes

Meeting Abstract

  • Tony Hoffmann - Fachbereich Informatik und Medien, Fachhochschule Brandenburg, Brandenburg
  • Friedrich Zizmann - Fachbereich Informatik und Medien, Fachhochschule Brandenburg, Brandenburg
  • Sabine Hanß - Institut für Medizinische Informatik, Charité - Universitätsmedizin Berlin, Berlin
  • Thomas Weckend - Geschäftsbereich IT, Charité - Universitätsmedizin Berlin, Berlin
  • Thomas Schrader - Fachbereich Informatik und Medien, Fachhochschule Brandenburg, Brandenburg

Mainz//2011. 56. Jahrestagung der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie (gmds), 6. Jahrestagung der Deutschen Gesellschaft für Epidemiologie (DGEpi). Mainz, 26.-29.09.2011. Düsseldorf: German Medical Science GMS Publishing House; 2011. Doc11gmds508

doi: 10.3205/11gmds508, urn:nbn:de:0183-11gmds5087

Published: September 20, 2011

© 2011 Hoffmann et al.
This is an Open Access article distributed under the terms of the Creative Commons Attribution License (http://creativecommons.org/licenses/by-nc-nd/3.0/deed.en). You are free: to Share – to copy, distribute and transmit the work, provided the original author and source are credited.


Outline

Text

Einleitung: Das von der DFG geförderte Projekt Open European Nephrology Science Center (OpEN.SC) integriert anonymisierte Patientendaten aus verschiedenen Krankenhausinformationssystemen der Charité Campi [1] und stellt sie für Forschungszwecke zur Verfügung. Im Rahmen einer Erweiterung wurde eine zusätzliche HL7-Schnittstelle entwickelt, um weitere Quellen zu erschließen. Da die Patientendaten auch für prospektive Studien genutzt werden sollen, muss die Rückführbarkeit trotz des Schutzes der persönlichen Daten [2] gewährleistet bleiben. Die Pseudonymisierung von Daten entsprechend des Datenschutzes sowie unter Berücksichtigung der Rückführung stellt ein großes Problem im elektronischen Austausch von Patientendaten dar [3]. Um die resultierenden Anforderungen zu lösen, schufen wir eine Architektur, die es ermöglicht, HL7 Nachrichten zu anonymisieren bevor sie zu OpEN.SC verschickt werden.

Methode: Zusammen mit Experten des IT-Systems der Charité wurde eine Analyse der internen Arbeitsabläufe des Kommunikationsservers vorgenommen. Die Umsetzung der daraus resultierenden Ergebnisse erfolgte mit Hilfe des Open Source Servers Mirth [4], eine HL7 interface engine, die nicht nur HL7-Nachrichten empfangen, sondern auch weiter versenden und in unterschiedliche Datenbanken speichern kann.

Ergebnisse: Um die Anforderungen des Datenschutzes zu erfüllen und trotzdem Rückführbarkeit zu garantieren, erfolgte eine physische Trennung zwischen dem empfangenden System und dem schreibenden System. In dem ersten Server werden aus den Patientendaten alle personenbezogenen Daten gelöscht, das Geburtsdatum bearbeitet und die Patienten-IDs verschlüsselt, um danach an einen zweiten Server geschickt zu werden, der als eine zweite Schicht die Daten in das OpEN.SC Datawarehouse integriert und keine personenbezogenen Daten mehr speichert. Die verschlüsselten Patienten-IDs werden in einer - in der ersten Schicht angelegten - seperaten Datenbank gespeichert, um eine Rückführung zu ermöglichen. Die erste Schicht übernimmt alle Aufgaben der Pseudonymisierung, während die zweite Schicht ankommende Daten überprüft und in eine Datenbank schreibt. Dieses Modell ermöglicht dem Datenhalter volle Kontrolle über den Prozess und seine Daten, während die Daten rückführbar bleiben, da die zweite Schicht die Quelle kennt und somit auf der Seite des Datenhalters (auf der der Server der ersten Schicht steht) die Daten de-anonymisieren kann.

Schlussfolgerung: Das Zweischichtenmodell bedient zum einen den Datenschutz, indem nur anonymisierte Daten zur zweiten Schicht gelangen und auch nur anonymisierte Daten gespeichert werden. Des weiteren wird Sicherheit garantiert, da durch die physische Trennung der beiden Schichten auch bei Problemen im System von OpEN.SC keine Gefahr besteht, dass personenbezogene Daten abhanden kommen. Dadurch bleibt die Sicherheitsverantwortung beim Datenhalter, der jederzeit die Möglichkeit hat, den Datenimport zu stoppen. Die Verschlüsselung der Patienten-ID's ermöglicht zudem eine gute Rückführbarkeit der Patientendaten zu den jeweiligen Patienten.


Literatur

1.
Hanß S, Schaaf T, Wetzel T, Hahn C, Schrader T, Tolxdorff T. Integration of decentralized clinical data in a data-warehouse, Methods of Information in Medicine 2009. Stuttgart: Schattauer; 2009.
2.
Mand E. Datenschutz in Medizinnetzen. MedR Medizinrecht. 21(7):393-400.
3.
Neubauer T, Heurix J. A methodology for the pseudonymization of medical data. Elsevier Ireland Ltd; 2010.
4.
http://www.mirthcorp.com/community/overview, letzter Zugriff 13.04.2011 External link