gms | German Medical Science

Hintergrund: Das Projekt INDEED untersucht die sektorenübergreifende Inanspruchnahme von Notaufnahmepatienten in Deutschland. Dazu ist die Verknüpfung von Behandlungsdaten von Patienten aus den Notaufnahmepatienten der teilnehmenden Krankenhäuser mit deren ambulanten Behandlungsdaten der Kassenärztlichen Vereinigungen (KV) erforderlich. Die Verarbeitung wird etwa 680.000 Patientenentitäten umfassen. Um den hohen Schutzbedarf der Patientendaten zu wahren, insbesondere bei der Projektdurchführung ohne Einwilligung der Betroffenen, ist ein detailliertes Konzept für die Zusammenführung der Daten erforderlich, welches keine Reidentifizierung von Patienten erlaubt.

Stand der Wissenschaft: Die TMF-Schriftenreihe gibt den aktuellen Stand der Verarbeitung unter der Beachtung des Datenschutzes wieder [1], [2]. Die Kombination aus Record-Linkage von Behandlungs- und Sozialdaten ohne Einwillgiung wird von der Literatur bisher nicht abgedeckt.

Konzept: Die Grundidee ist die Routinedaten in den Notaufnahmen so aufzubereiten, pseudonymisieren und zu verschlüsseln, dass diese außerhalb des Krankenhauses mit den extrahierten Daten anderer teilnehmender Notaufnahmen und den entsprechenden Abrechnungsdaten der KV verlinkt werden können, so dass ein Record-Linkage und eine anschließende Datanalyse möglich ist, jedoch an keiner Stelle Identifzierende Daten und Daten einer anderen datenverarbeitenden Stelle offenbart werden.

Implementierung: Hierfür wird eine Software entwickelt, welche eine automatische Trennung der identifizierenden (IDAT) und medizinischen Daten (MDAT) sowie die Pseudonymisierung und hybride Verschlüsselung (RSA und AES) ermöglicht. Die Pseudonym-Bildung erfolgt innerhalb der Krankenhäuser anhand der IDAT eGK-Nummer sowie des Namen, Vornamen und Geburtsdatum (NVG). Damit die gebildeten Pseudonyme (SHA512) nicht depseudonymisiert werden können, wird den zu pseudonymisierenden Daten vor der Pseudonymisierung ein Geheimnis (Pepper) angehangen, welches von wenigen im Projekt bestimmten Geheimnisträgern generiert und verwaltet. (kein Mitglied der Treuhandstelle, Softwareentwicklung und des Datenmanagements).

Die Pseudonym-Bildung anhand der eGK-Nummer und des NVGs ist notwendig, um die Behandlungsdaten der Notaufnahmen und des ggf. anschließenden stationären Aufenthalts mit den Abrechnungsdaten der KV eindeutig verknüpfen zu können. Bei der Auswahl sämtlicher eingesetzter Pseudonymisierungs- und Verschlüsselungsverfahren wird die Empfehlung des Bundesamts für Sicherheit in der Informationstechnik (BSI) [3] berücksichtigt.

Vor der Weiterleitung der extrahierten Daten der Notaufnahmen sowie der KV mittels sFTP an das zentrale Datenmanagement wird in der Treuhandstelle anhand der eGK- und NVG-Pseudonyme das Record-Linkage durchgeführt. Dabei werden doppelte Fälle identifiziert und zusammengeführt. Das eGK-Pseudonym gilt als primärer Link der Daten, das NVG-Pseudonym dient in erster Linie der Qualitätssicherung und wird nur bei nicht vorhandenem eGK-Pseudonym, zur Verlinkung der Datensätze eingesetzt. Die verlinkten Pseudonyme werden im Anschluss durch eine zufällig generierte ID ersetzt, dies verhindert eine mögliche Rückverfolgbarkeit der Pseudonyme zum Ursprung der Patientendaten im Datenmanagement sowie auswertenden Stellen.

Lessons Learned und Ausblick: Das Datenschutzkonzept wurde der TMF-AG DAtenschutz vorgestellt und positiv votiert. Die Wirksamkeit der getroffenen technischen und organisatorischen Schutzmaßnahmen können als hinreichend angesehen werden. Die praktische Umsetzung des Konzepts im Projekt und die erreichte Verknüpfungsquote des eingesetzten Record-Linkage stehen für Ende 2018 aus.

Sollten die tatsächlichen Trefferquoten der gewählten Pseudonymisierung im Record-Linkage so ausfallen wie angenommen, könnte dieser Ansatz eine vielversprechende Ausgangslage und Lösung für eine sektorenübergreifende und datenschutzverträgliche Zusammenführung von Patientendaten darstellen. Dies würde eine Erweiterung der TMF-Datenschutzkonzepte [1], [2] um den Aspekt der Record Linkage darstellen.

Das Forschungsvorhaben wird durch den Innovationsfonds gefördert.

Die Autoren geben an, dass kein Ethikvotum erforderlich ist.