ArchivDeutsches Ärzteblatt3/2009Identitätsmanagement in der Medizin: Prozesse von hoher Komplexität

THEMEN DER ZEIT

Identitätsmanagement in der Medizin: Prozesse von hoher Komplexität

Krüger-Brand, Heike E.

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNSLNSLNS Verfahren zur Erstellung und Verwaltung von Patientenidentifikatoren in der medizinischen Forschung sind zwar vorhanden, jedoch schwierig umzusetzen.

Medizinische Kompetenznetze, Krebsregister, nationale und internationale Forschungsverbünde – sie alle erheben und speichern medizinische Daten und müssen sich dabei mit einer Fülle von rechtlichen und technisch-organisatorischen Anforderungen auseinandersetzen. Daten und Informationen von Forschungseinrichtungen einerseits und von patientennahen Versorgungseinrichtungen andererseits fließen in beide Richtungen: Daten aus dem Behandlungszusammenhang können für Forschungszwecke zur Verfügung gestellt werden. Umgekehrt sollen Forschungsergebnisse möglichst rasch und effektiv in die Versorgung der Patienten einfließen. Beim Einsatz von Pseudonymisierungslösungen, die für die Nutzung der sensiblen medizinischen Daten erforderlich sind, treffen zudem unterschiedliche IT-Systeme, Prozesse und Datenstandards aufeinander, auch wenn es – unabhängig vom jeweiligen Anwendungsfeld – um ähnliche Herausforderungen hinsichtlich Datenschutz und Datensicherheit geht. Das ergab ein von der TMF – Telematikplattform für Medizinische Forschungsnetze e.V., Berlin, im Dezember 2008 veranstalteter Workshop zum Identitätsmanagement in der Medizin. Die Empfehlung der Experten: Es ist sinnvoll, sich bei künftigen Projekten medizinischer Verbundforschung bereits im Vorfeld besser abzustimmen.

Generische Konzepte
In der TMF arbeiten derzeit rund 65 Forschungsnetze bereits seit mehreren Jahren an Lösungen, um die Zusammenarbeit klinischer Forschungseinrichtungen an verteilten Standorten zu unterstützen und zu optimieren. So hat die TMF in den Jahren 2000 bis 2003 bereits mehrere generische Datenschutzkonzepte entwickelt, die derzeit auf der Grundlage der bisherigen Erfahrungen der Forschungsnetze überarbeitet werden.

Zentrale Komponenten der Datenschutzkonzepte sind Verfahren der Anonymisierung und Pseudonymisierung mit dem Ziel, den Personenbezug zu entfernen (anonymisieren) oder zu erschweren (pseudonymisieren) (Kasten). „Letztlich geht es dabei stets um die Kontrolle der Herstellung des Personenbezugs“, so Marit Hansen, die Stellvertretende Landesbeauftragte für den Datenschutz Schleswig-Holstein. Dies erreicht man durch die Entkoppelung zwischen Person und Daten sowie zwischen verschiedenen Prozessen und Rollen im Workflow. Zu diesem Zweck werden Identifikatoren (IDs) umcodiert und gegebenenfalls vertrauenswürdige Instanzen (= Treuhänder) zur Entkoppelung eingeführt. Notwendig seien standardisierte und überprüfbare Lösungen für unterschiedliche Risikosphären, welche die Interessen aller Beteiligten berücksichtigten und einen angemessenen Umgang mit Langzeitrisiken ermöglichten, forderte die Datenschützerin.

Besonders hohe Anforderungen stellt die Pseudonymisierung in Biobanken als Vorgang mit Risikosphären unterschiedlicher „Beherrschbarkeit“. Diese betreffen nicht nur die Erhebung, Vorhaltung und Herausgabe von Daten, sondern auch von Proben, und erfordern die Generierung von Erhebungs-, Vorhaltungs- und Herausgabepseudonymen. „Wir sind noch weit davon entfernt, hierfür sichere Lösungen zu haben“, meinte Hansen.

Werkzeug PID-Generator
Im Kompetenznetz Pädiatrische Onkologie und Hämatologie werde seit 2002 erfolgreich mit dem PID (Patientenidentifikatoren)-Generator der TMF gearbeitet, berichtete Prof. Dr. Klaus Pommerening, Universität Mainz. Bislang seien damit rund 57 000 PID erzeugt worden. Der PID-Generator ist eine wesentliche Komponente des Pseudonymisierungsdienstes der TMF, mit der für jeden in eine Studie aufzunehmenden Patienten ein eineindeutiger Patientenidentifikator gebildet wird. Dieser kann als einstufiges Pseudonym verwendet werden und darüber hinaus als Eingangsparameter für eine zweite Pseudonymisierung zur langfristigen Datenspeicherung in zentralen Forschungsdatenbanken dienen. Damit lassen sich Patienten, auch wenn sie verschiedene Ärzte konsultieren, eindeutig unter dem gleichen Pseudonym zusammenführen. Ebenso können Daten aus verschiedenen Studien über das Pseudonym zusammengeführt werden, ohne dass die Identität des Patienten bekannt wird.

Für das zu überarbeitende Datenschutzkonzept sollen Bausteine wie die Patientenliste und die Umwandlung von Namen in Patientenidentifikatoren zwar erhalten bleiben, jedoch erweitert werden, erläuterte Pommerening. Künftig soll es etwa möglich sein, für unterschiedliche Anwendungsbereiche verschiedene IDs zu generieren und gegebenenfalls auch an Nutzer herauszugeben. In Forschungsnetzen, die sowohl behandeln als auch Studien durchführen, könnten Ärzte, die ausschließlich mit Studiendaten arbeiten, eine andere ID bekommen, als sie für die zentrale Speicherung der Daten behandelnder Klinikärzte genutzt wird. „Wichtig dabei ist, dass die Datenschutzkonzepte auch einen sicheren Weg beschreiben, wie solche Daten für langfristige Forschungsprojekte zusammengeführt werden können“, betonte Sebastian C. Semler, TMF-Geschäftsführer.

Das erweiterte Identitätsmanagementkonzept der TMF bezieht laut Pommerening drei Einsatzszenarien mit ein:
- Patientennahe Versorgungsdatenbanken enthalten Daten, die für die Versorgung der Patienten relevant sind, und stehen im unmittelbaren Behandlungszusammenhang. Sofern sie einrichtungsübergreifend konzipiert sind, werden sie pseudonym, mit PID, geführt. Die Ärzte haben einen personenbezogenen Zugriff auf die Daten ihrer Patienten. Sie greifen über Patientenlisten und mithilfe von Benutzerverzeichnisdiensten auf die Daten zu.
- Studiendatenbanken enthalten Patientendaten, die für klinische Studien relevant sind, und überschneiden sich in großen Teilen mit den Daten der Versorgungsdokumentation. Weil sie einrichtungsübergreifend arbeiten, werden sie ebenfalls pseudonym geführt. Sie stehen einerseits im unmittelbaren Behandlungskontext, soweit es um die Zugriffe der Prüfärzte geht, andererseits im Forschungskontext, wenn es um Zugriffe durch Studienleiter oder „Sponsoren“ geht. Prüfärzte haben einen personenbezogenen Zugriff auf die Daten ihrer Patienten und kennen den studienspezifischen Patientenidentifikator (bekannt als „Subject Identification Code“).
- Forschungsdatenbanken dienen zur Langzeitspeicherung pseudonymisierter medizinischer Daten für spätere Forschungsprojekte, etwa zur epidemiologischen Forschung, und ermöglichen den nochmals pseudonymisierten Export geeigneter Daten.
Das neue Datenschutzkonzept will die TMF 2009 veröffentlichen.
Heike E. Krüger-Brand

Anonymisieren, Pseudonymisieren
Anonymisieren: § 3 Abs. 6 Bundesdatenschutzgesetz
Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.
Pseudonymisieren: § 3 Abs. 6 a Bundesdatenschutzgesetz
Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.

Informationen im Internet:
www.tmf-ev.de
Anzeige

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Fachgebiet

Zum Artikel

Der klinische Schnappschuss

Anzeige

Alle Leserbriefe zum Thema

Stellenangebote