gms | German Medical Science

GMDS 2014: 59. Jahrestagung der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V. (GMDS)

Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie

07. - 10.09.2014, Göttingen

Datenbrücken zwischen Forschungsinfrastrukturen: das Problem der legalen Interoperabilität

Meeting Abstract

Search Medline for

  • W. Kuchinke - Heinrich-Heine Universität Düsseldorf, Düsseldorf
  • T. Karakoyun - Heinrich-Heine-Universität Düsseldorf, Koordinierungszentrum für klinische Studien Düsseldorf, Düsseldorf

GMDS 2014. 59. Jahrestagung der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V. (GMDS). Göttingen, 07.-10.09.2014. Düsseldorf: German Medical Science GMS Publishing House; 2014. DocAbstr. 152

doi: 10.3205/14gmds114, urn:nbn:de:0183-14gmds1147

Published: September 4, 2014

© 2014 Kuchinke et al.
This is an Open Access article distributed under the terms of the Creative Commons Attribution License (http://creativecommons.org/licenses/by-nc-nd/3.0/deed.en). You are free: to Share – to copy, distribute and transmit the work, provided the original author and source are credited.


Outline

Text

Einleitung: Das Projekt BioMedBridges [1] verbindet zehn ESFRI-Forschungsinfrastrukturen (z.B. ELIXIR, BBMRI, EATRIS, ECRIN) [2] durch den Aufbau gemeinsamer sogenannter Datenbrücken. Dadurch sollen die Bedingungen für eine weitreichende und umfassende Datenintegrationen in der biologischen, medizinischen, translationaler und klinischen Forschung in Europa verbessert werden. Diese Zusammenführung von heterogenen Daten und Metadaten aus unterschiedlichen, international verteilten Datenbanken wirft ethische, rechtliche und regulatorische Fragen auf. So können öffentlich zugängliche biomolekulare Daten unter Umständen mit geschützten Patientendaten verlinkt und untersucht werden. Dadurch kann der Zugriff auf unterschiedliche Datenquellen zu einem erhöhten Risiko der Identifikation von Patienten führen [3], [4]. Aus diesem Grund muss sichergestellt werden, dass die Datenbrücken konform mit nationalen und europäischen Datenschutzvorschriften, Lizensierungsregeln und Good Practice-Richtlinien betrieben werden können.

Die Forschungsinfrastrukturen bestehen aus Mitgliedsinstitutionen, die Datenbanken betreiben und die jede in einem Rechtsrahmen („legal framework“) agieren. Diskrepanzen zwischen der Gesetzgebung in einzelnen Mitgliedstaaten können so Hindernisse für den internationalen Datenaustausch verursachen. Das Fehlen harmonisierter Rechtsvorschriften und Regeln, sowie die Zunahme an großen internationalen Forschungsprojekten und die wachsenden Bedeutung von „Big Data“ für die Forschung hat die Bedeutung der legalen Interoperabilität [5] für die Forschungskollaboration zu einem zentralen Anliegen werden lassen [6], [7]. Das wachsende Volumen der Daten lässt dabei die Frage aufkommen, ob und auf welcher Basis und mit welchen Einschränkungen, Forschungsdaten für die Gemeinschaft frei zur Verfügung gestellt werden sollen und können.

Damit stellte sich uns die Frage, wie die legale Interoperabilität der Datenbrücken gestaltet sein sollte um die Forschung nicht behindern und welche Anforderungen dabei bestehen.

Methoden: Konzepte aus dem IT-Bereich wurden auf legale Problemstellungen hin erweitert. Erstens, „legale Interoperabilität“ wird definiert als die Erweiterung des allgemeinen Konzeptes der Interoperabilität bezogen auf die rechtlichen Zugriffs- und Nutzungsbedingungen für die interagierenden Datenbanken. Zweitens, Datenbrücken werden als Interfaces interpretiert, also als Übergänge zwischen unterschiedlichen Datenbanken mit unterschiedlichen „Policies“ und Vereinbarungen. Eine Vielzahl von Datenbanken (z.B. AmiGO, ChEMBL, Genbank, Drugbank) wurde untersucht um die Bedingungen und Regeln für eine Nutzung zu sammeln. Gleichzeitig wurden die verschiedenen Rechtsrahmen der Forschungsinfrastrukturen darauf untersucht, inwieweit sie sicherstellen können dass Forschungsdaten von Forschern auch außerhalb der Infrastruktur weiterbenutzt werden können. Drittens, Konzepte aus dem Anforderungsmanagement, wie Domänenszenario, „Requirements Cluster“ und Abgleich von gesetzlichen Bestimmungen mit Anforderungen [8], [9] wurden eingesetzt um die notwendigen legalen Anforderungen für den Datentransfer an Hand von konkreten Forschungsszenarien herzuleiten. Hierbei wurden die rechtlichen und ethischen Regeln für den Austausch von Daten auf einen Datenfluß vom Datenanbieter zum Datenkonsument hin angewendet. Die Arten des Zugriffs, Rechte und Verpflichtungen, Regeln und Vereinbarungen und Lizenzbestimmungen der involvierten Datenquellen wurden untersucht und als Anforderungscluster dargestellt. Die Anforderungscluster definieren Bedingungen, unter denen die unterschiedlichen Datenbrücken regelkonform etabliert und eingesetzt werden können.

Ergebnisse: Alle Forschungsinfrastrukturen operieren in einem eigenen Rechtsrahmen, oder sind im Begriff einen zu erstellen. Für alle Datenquellen gibt es damit Zugriffsregeln, die von einem freien Zugang bis zu einem eingeschränkten Zugriff (Registrierung, Einverständniserklärung, Votum des Datenschutzkomitees, etc.) oder einem unerlaubten Zugriff (persönliche Daten im Krankenhaus) reichen können. Die vorhandenen Rechtsrahmen der Forschungsinfrastrukturen spiegeln die legale Vielfältigkeit für den Umgang mit persönlichen Daten auf lokaler und nationaler Ebene wieder [10]. Sie spezifizieren den Besitz von Daten, garantieren Sicherheit und Vertraulichkeit der Daten, und verwalten geistiges Eigentum und Copyright. Im allgemeinen gilt, dass der Status als „Public domain“ für den Forscher den größten Grad an Interoperabilität bietet. Begriffe wie „open data”, “offener Zugriff”, “freier Zugriff”, “public data“ haben aber je nach Datenbank unterschiedliche Bedeutungen. Das Fehlen von Einheitlichkeit in dem Gebrauch von Terminologien und der Art der Lizenzen, sowie in den vorhandenen Einschränkungen der Nutzungsbedingungen (z.B. nicht-kommerzielle Zwecke) durch die Betreiber der Datenbanken hat zu Verwirrung geführt [3]. Es fehlen einheitliche Maßnahmen (z.B. „Policies“ für die Regelung von: expliziter/offener Einverständniserklärung, opt-in / opt-out Verfahren, Definition von Anonymität, offene/nicht-offene Lizenzen). Die Art der Lizenzierung und der Nutzungsbedingungen (z.B. für nicht-kommerzielle Zwecke) für den Zugriff und die Verwendung der Daten [11] ist häufig nicht einfach bei den Datenbanken ersichtlich.

Sobald persönliche Daten und Gesundheitsdaten betroffen sind, spielen Datenschutz und Vertraulichkeit eine zentrale Rolle [12]. In dem untersuchten Szenarium für personalisierte Medizin wurden deshalb persönliche Daten (inklusive genetischer Sequenzdaten) im gesicherten Versorgungsbereich des Krankenhauses gehalten, aber mit anonymisierten Daten aus offenen Datenbanken angereichert. Anonymisierte medizinische Daten unterliegen nicht mehr dem Datenschutz, da sie nicht identifizierend sind.

Die entwickelten Anforderungscluster definieren Bedingungen in denen Systeme mit unterschiedlichen Datenschutzregeln ein legales Interface teilen können, das die Datenschutzregeln / Zugriffsregeln in einer vorschriftsmäßigen Art in Anwendungsrichtlinien übersetzt. Legal Interoperabilität impliziert, dass vom legalen Standpunkt aus gesehen, harmonisierte Regeln und „Policies“ (Nutzungsbedingungen, Zugriffsregeln) angewendet werden können. Da die Anforderungs-Cluster auf den bestehenden Datenschutzrahmen der Forschungsinfrastrukturen aufbauen, beschränken sie sich auf den Anwendungsbereich des Datenzugriffs oder der Datenverarbeitung in den Datenbrücken. Das Ziel sollte sein, harmonisierte Datenzugangregeln und einheitliche Lizensierungsbedingungen zu unterstützen. In diesem Zusammenhang können die Datenbrücken dazu beitragen, dass Regeln für den Datenzugriff, die Festlegung des Datenbesitzers, die richtigen offenen Lizenzbedingungen, die Rechten und Pflichten des Datenkonsumenten und die Einschränkungen in der Nutzung, explizit dem Nutzer dargestellt werden. Eventuell können Online-Vereinbarungen dazu angeboten werden um dadurch die Interoperabilität zu verbessern. Die Datenbrücken sollten Erhöhungen im Risiko der Patientenidentifikation durch das Verlinken und Bearbeiten von Datensätzen erkennen können. Zudem müssen vorbeugende Maßnahmen zum Datenschutz wie z.B. „Privacy Enhancing Technologies“ (Datenlöschung, Anonymisierung, Verschlüsselung, u.a.) oder besondere Vereinbarungen der Akteure für die Ermöglichung legaler Interoperabilität berücksichtigt werden.

Diskussion: Die Untersuchung über die legale Interoperabilität von Datenbrücken ermittelte den Stand und die Voraussetzungen für den Datenschutz, den Schutz der Privatsphäre, Schutz des geistigen Eigentums und die Garantie der Sicherheit der Daten, auch dann wenn große, heterogene Datenmengen einer Vielzahl von Datenbanken ausgetauscht, verlinkt, angereichert und analysiert werden. Rechtliche Interoperabilität im Kontext des Datenaustausches wird in Zukunft ein wichtiges zentrales Konzept für die Forschungszusammenarbeit zwischen Forschungsinfrastrukturen darstellen. Datenbrücken sollten zu einer Vereinfachung und Harmonisierung der Nutzungsbedingungen beitragen, das Risiko einer Identifizierbarkeit berücksichtigen und möglichst offene Lizenzen, wie z.B. Creative Commons, unterstützen.


Literatur

1.
Biomedbridges. http://www.biomedbridges.eu/ External link
2.
ESFRI: European Research Infrastructures with global impact. ESFRI brochure 113. EBrussels, Belgium: SFRI Secretariat; 2013.
3.
Fitzgerald B, ed. Legal framework for e-research: Realising the potential. Sydney: Sydney University Press; 2008.
4.
Fitzgerald AM, Pappalardo K. Building the infrastructure for data access and reuse in collaborative research. An Analysis of the Legal Context. The OAK Law Project. Canberra, Australia; 2007.
5.
Uhlir, PF. The Legal Interoperability of Data. NSGIC Conference, 24-27 Feb 2013, Annapolis, MD, USA. 2013. http://www.nsgic.org/public_resources/02_Uhlir_Legal-Interoperability-of-Data_NSGIC-Conf_Feb13.pdf External link
6.
Frankel F, Reid R. Big data: Distilling meaning from data. Nature. 2008;455:30.
7.
Schadt EE. The changing privacy landscape in the era of big data. Mol Syst Biology. 2012;8:612-615.
8.
Kiyavitskaya N, Zeni N, Breaux TD, et al. Automating the Extraction of Rights and Obligations for Regulatory Compliance. Lecture Notes in Computer Science. 2008;5231:154-68.
9.
Breaux TD, Vail MW, Anton AI. Towards regulatory compliance: Extracting rights and obligations to align requirements with regulations. In: Proc. of RE’06, Washington, DC, USA. IEEE Computer Society; 2006. p. 46–55.
10.
SMART2007/0059: Study on the legal framework for interoperable eHealth in Europe. Final report. Version 1.5. Brussels: European Commission; 2009.
11.
Morando F. Legal Interoperability: Making Open (Government) Data compatible with businesses and communities. Italian Journal Lib Inform Science. 2013;4(1):441-52.
12.
Rahmouni HB, Solomonides T, Mont MC, Shiu S. Privacy Compliance in European Healthgrid Domains: An Ontology-Based Approach. 22nd IEEE International Symposium on Computer-Based Medical Systems; CBMS 2-5 Aug 2009; Albuquerque, NM, USA. 2009. p. 1-8.