gms | German Medical Science

GMDS 2015: 60. Jahrestagung der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V. (GMDS)

Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie

06.09. - 09.09.2015, Krefeld

„Datenschutz inbegriffen“ – Umsetzung der Datenschutzanforderungen im OSSE-Registerbaukasten

Meeting Abstract

  • Marita Muscholl - Universitätsmedizin Mainz, Mainz, Deutschland
  • Dennis Kadioglu - Universitätsmedizin Mainz, Mainz, Deutschland
  • Martin Lablans - Universitätsmedizin Mainz, Mainz, Deutschland
  • Frank Ückert - Universitätsmedizin Mainz, Mainz, Deutschland

GMDS 2015. 60. Jahrestagung der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V. (GMDS). Krefeld, 06.-09.09.2015. Düsseldorf: German Medical Science GMS Publishing House; 2015. DocAbstr. 128

doi: 10.3205/15gmds063, urn:nbn:de:0183-15gmds0631

Veröffentlicht: 27. August 2015

© 2015 Muscholl et al.
Dieser Artikel ist ein Open-Access-Artikel und steht unter den Lizenzbedingungen der Creative Commons Attribution 4.0 License (Namensnennung). Lizenz-Angaben siehe http://creativecommons.org/licenses/by/4.0/.


Gliederung

Text

Einleitung: Vernetzte Forschung erfordert grundsätzlich eine Vielzahl von Überlegungen und Maßnahmen um dem Recht der Patienten auf informationelle Selbstbestimmung und dem daraus resultierenden Schutzbedarf der Daten gerecht zu werden. Konzepte für die Umsetzung existieren seit Jahren vor allem in Form der „generischen Datenschutzkonzepte“ bzw. des aktuellen „Leitfadens zum Datenschutz in medizinischen Forschungsprojekten“ der TMF [1]. Sie geben die konkreten Maßnahmen vor, die umzusetzen sind, wie Pseudonymisierung, informationelle Gewaltenteilung und die Umsetzung eines Berechtigungskonzepts. Der Aufbau der Infrastruktur und die Feinabstimmung mit den verantwortlichen Datenschützern bleibt nach wie vor eine aufwendige Aufgabe zu Beginn eines jeden vernetzten Forschungsvorhabens.

Der im Rahmen des vom BMG geförderten OSSE-Projektes (Open Source Register-System für Seltene Erkrankungen) entstandene Registerbaukasten für den Aufbau krankheitsbezogener Register beinhaltet Funktionen, Komponenten und Musterdokumente, die die datenschutzgerechte Implementierung eines vernetzten Registers für die Verbundforschung deutlich erleichtern [2].

Material und Methoden: Der OSSE-Registerbaukasten erlaubt den Aufbau krankheitsbezogener Register, wobei die Daten innerhalb jedes Verbunds zentral gespeichert, jedoch dezentral durch den jeweiligen Partnerstandort des Verbunds über eine webbasierte EDC-Anwendung (Electronic Data Capture) erfasst werden. Damit entspricht die OSSE-EDC-Komponente im Wesentlichen dem „Klinischen Modul“ gemäß TMF-Datenschutzmodell.

Folgende Verfahren zur Unterstützung einer datenschutz-gerechten Umsetzung von Registern wurden realisiert:

1. Pseudonymisierung: Das OSSE-Datenmanagement besitzt eine Schnittstelle zum Identitätsmanagement-System „Mainzelliste“ [3], das als eigenständiger Dienst von einer vertrauenswürdigen dritten Institution betrieben werden sollte. Beim Anlegen eines Patienten im Register wird der Benutzer auf den Server der zugehörigen Mainzelliste umgeleitet, wo er die identifizierenden Daten (IDAT) eingeben kann. Das Register erhält abschließend lediglich das erzeugte Pseudonym von der Mainzelliste und speichert es mit den medizinischen Daten (MDAT) des Patienten. Dieses Pseudonym wird dem Benutzer nicht angezeigt.

2. Anzeige von IDAT im Behandlungskontext: Um die Fehlzuordnung von Patientendaten bei der Erfassung zu vermeiden, können im Behandlungsumfeld IDAT der standorteigenen Patienten angezeigt werden. Diese werden aus der Mainzelliste nachgeladen und ausschließlich im Browser mit den MDAT des Patienten zusammengeführt. Ein Patientenidentifikator, der ebenfalls in der Mainzelliste erzeugt und nur dort gespeichert wird, wird bei allen Patienten angezeigt, auch bei den Patienten anderer Standorte.

3. Rollen- und Rechtesystem: Da die Datenerfassung und Datenhaltung für alle Standorte und alle Akteure eines Standorts zentral in einem OSSE-Register stattfindet, müssen die Zugriffsrechte unterschiedlicher Benutzergruppen feingranular festzulegen sein. Das OSSE-Register erlaubt die Definition von Zugriffsrechten auf der Basis von Systemaktionen und Datenklassen. Klassifizierungskriterien für Daten sind dabei insbesondere der Standort, an dem der Patient behandelt wird, und beispielsweise Formulartypen wie etwa Labor, Pathologie oder Therapie. Außerdem wird unterschieden, ob identifizierende Daten angezeigt werden dürfen. Zugriffsrechte können auch für konkrete Patientendatensätze definiert werden, um beispielsweise Patienten den Zugriff auf von diesen auszufüllende Patienten-Fragebögen zu ermöglichen. Sämtliche Rechte werden Rollen zugeordnet, die der Funktion einer Benutzergruppe entsprechen. Rollen sind an genau einen Standort gebunden; dadurch wird festgelegt, welchem Standort neu erfasste Datensätze zugehören.

4. Datenschutzkonforme Vernetzung mit der „dezentralen Suche“: Mit dem Ziel einer Datennutzung für übergeordnete Forschungsfragestellungen bzw. zum Auffinden geeigneter Patienten können OSSE-Register über die „dezentrale Suche“ [4] miteinander vernetzt werden. Die Infrastruktur der dezentralen Suche besteht aus einer zentralen Anfrage-Schnittstelle (Suchbroker) und Client-Schnittstellen (Teiler) an jedem Register. Wesentliches Prinzip des zweistufigen Verfahrens ist die „Anfrage“, die zentral hinterlegt und von den Teilern der Register abgeholt, als Abfrage im Register ausgeführt und einem Verantwortlichen des Registers angezeigt wird. Ob auf die Anfrage eine Weitergabe der Daten zu Forschungszwecken erfolgt, entscheiden die Verantwortlichen im Registerverbund fallweise. Die Datensätze erhalten dabei ein Exportpseudonym (i.a. nicht rückführbar), wobei jedoch insbesondere im Bereich der seltenen Erkrankungen eine wirkungsvolle faktische Anonymisierung kaum möglich ist. Deshalb wird das Vorliegen entsprechender Einwilligungserklärungen seitens der betroffenen Patienten immer vorausgesetzt.

5. Exportpseudonyme: Zur Auswertung exportierte Daten erhalten ein Exportpseudonym, das nicht identisch mit dem im Register gespeicherten Pseudonym ist. Je nach geplanter Nutzung der Daten werden je Exportvorgang unterschiedliche Pseudonyme erzeugt. Für den Export von Forschungsdaten, die mit Daten aus anderen Datenquellen, z.B. Biomaterialbanken, zusammengeführt werden sollen, werden auftragsbezogene Exportpseudonyme in der Mainzelliste erzeugt, deren Zuordnung zum Patienten für den notwendigen Zeitraum erhalten bleibt.

6. Pseudonymisierter Import: Ein OSSE-Register bietet eine Importschnittstelle, die bei Bedarf auch die Pseudonymisierung der zu importierenden Rohdaten unterstützt. Der Abruf der Pseudonyme findet im Datentransformationsschritt des ETL-Prozesses (Extract-Transform-Load) statt [5]. Da das für die Langzeitspeicherung im Register erzeugte Pseudonym außerhalb der Mainzelliste nicht bekannt und dem Patienten zugeordnet werden können soll, wird es von der Mainzelliste mit dem öffentlichen Schlüssel des OSSE-Registers verschlüsselt ausgeliefert. Im Import-Schritt des Registers wird das Pseudonym entschlüsselt.

7. Schablonen für die Erstellung eines Datenschutzkonzeptes: Der OSSE-Registerbaukasten beinhaltet eine Datenschutzkonzept-Schablone, die alle Softwarekomponenten des OSSE-Registersystems, sowie Datenflüsse und Pseudonymisierungsverfahren hinsichtlich ihrer datenschutzrelevanten Aspekte beschreibt. Dabei werden verschiedene Szenarien beschrieben, je nach Einsatz der Komponenten. Für die Erstellung eines konkreten Datenschutzkonzeptes müssen Informationen ergänzt, Alternativen ausgewählt und Textpassagen an die jeweiligen Gegebenheiten angepasst werden.

Ergebnisse: Anfang 2015 wurde die erste Fassung des OSSE Registerbaukastens freigegeben. Sie enthält die meisten der oben beschriebenen Funktionen. Die noch fehlenden Funktionen (die Schnittstelle zur dezentralen Suche, die Importfunktion und die rückführbaren Exportpseudonyme) folgen mit den nächsten Versionen im Laufe des Jahres. Die Schablone zum Datenschutzkonzept wurde bereits in 2014 veröffentlicht und erhielt ein positives Votum der TMF-AG Datenschutz.

Diskussion: Wie das positive Votum der TMF-AG Datenschutz ausführt, erfüllt die Architektur des OSSE-Registersystems die im Datenschutzleitfaden definierten Anforderungen an ein „Klinisches Modul“ zur längerfristigen Speicherung der Daten mit einem „weniger eng umrissenen Forschungsziel“, wie beispielsweise die strikte Trennung von IDAT und MDAT mit der Möglichkeit eines Zugriffs auf IDAT im Behandlungskontext, die Geheimhaltung des Pseudonyms im Register sowie die gezielte Autorisierung verschiedener Akteure im Verbund nach Standorten und Funktionen. Die Umsetzung der Pseudonymisierung bzw. des Zugriffs auf IDAT beinhaltet ein hohes Maß an Automatisierung, sodass der Aufwand für den Betrieb minimiert wird. Verschiedene Arten von Exportpseudonymen erlauben eine flexible Nutzung der Daten auch außerhalb des Registers bis hin zur kontrollierten Zusammenführung von Daten aus verschiedenen Quellen.

Mit der Datenschutzkonzept-Schablone erhält ein sich etablierender Verbund eine umfassende und geprüfte Anleitung sowie Vorlage, die den Aufwand für die Erstellung des Datenschutzkonzepts erheblich verringern.


Literatur

1.
Reng CM, Pommerening K, Specker C, Debold P. Generische Lösungen zum Datenschutz für die Forschungsnetze in der Medizin. Berlin: Medizinisch Wissenschaftliche Verlagsgesellschaft; 2006.
2.
Muscholl M, Lablans M, Wagner TO, Ückert F. OSSE – Open Source Registry Software Solution. Orphanet J Rare Dis. 2014;9(Suppl 1):O9.
3.
Lablans M, Borg A, Ückert F. A RESTful interface to pseudonymization services in modern web applications. BMC Med Inform Decis Mak. 2015 Feb 7;15(1):2.
4.
Lablans M, Kadioglu D, Muscholl M, Ückert F. Exploiting distributed, heterogeneous and sensitive data stocks while maintaining the owner’s data sovereignty. Methods Inf Med. (in review).
5.
Muscholl M, Lablans M, Borg A, Ückert F. Integration des Identitätsmanagements für Forschungsdatenbanken in ETL-Prozesse am Beispiel der Mainzer Patientenliste. In: GMDS 2013. 58. Jahrestagung der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V. (GMDS). Lübeck, 01.-05.09.2013. Düsseldorf: German Medical Science GMS Publishing House; 2013. DocAbstr.96. DOIi: 10.3205/13gmds052