Pseudonymisierungin der medizinischen Forschungund Sekundärnutzung von Patientendaten
Klaus Pommerening, Mainz
Workshop AG DGI, 12. September 2006GMDS 2006, Leipzig
TMF = Telematikplattform für diemedizinischen Forschungsnetze
Pommerening, 12. September 2006 2
Inhalt
1. Grundlagen von Anonymisierung und Pseudonymisierung
2. Methoden und Szenarien
3. Die Pseudonymisierungsmodelle der TMF
4. Diskussion und Ausblick
Pommerening, 12. September 2006 3
Nutzung von Patientendaten• Primärnutzung: Behandlungskontext.• Sekundärnutzung:
– Versorgungsforschung, Qualitätssicherung, Gesundheitsökonomie,
– krankheitsspezifische klinische oder epidemiologische Studien,
– Aufbau von zentralen Datenpools und Biomaterialbanken.
Typische Aspekte der Sekundärnutzung:• Außerhalb des Behandlungskontexts und der
Schweigepflicht (des behandelnden Arztes);• die Identität des Patienten ist ohne Belang.
Pommerening, 12. September 2006 4
Behandlungskontext
Register/epidemiologische Forschung
klinische ForschungVersorgungsforschung
Export erlaubt, wenn- anonyme Daten,- Einwilligung,- Gesetzesvorschrift
Barriere: Ärztliche Schweigepflicht
direkteErfassung
[Sekundärnutzung/Forschungskontext]
[Primärnutzung]
Pommerening, 12. September 2006 5
BDSG §3 (6): Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.
[„faktische Anonymisierung“]
Pommerening, 12. September 2006 6
Für die Sekundärnutzung von Patientendaten (und Proben):
• Identität der Patienten schützen.– Keine unnötigen gesetzlichen Abschwächungen!
• Anonymisierung, wann immer möglich.Nachteile der Anonymisierung:– Keine Zusammenführung von Daten aus verschiedenen
Quellen
– ... oder von verschiedenen Zeitpunkten.
– Kein Weg zurück zum Patienten für Rückmeldungen
– ... oder zur Rekrutierung für neue Studien
– ... oder zum Rückruf von Proben/ Widerruf der Einwilligung.
Pommerening, 12. September 2006 7
BDSG §3 (6a): Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.
Pommerening, 12. September 2006 8
Pseudonyme
• Goldener Mittelweg zwischen Anonymität und Exposition der Identitäten („indirekter Personenbezug“).
• Je nach Kontext zu nutzen:– Einweg-Pseudonyme, die nicht aufgelöst werden können,
– reversible Pseudonyme die eine Rückidentifizierung ermöglichen.
• Pseudonymisierung ist rechtlich nicht äquivalent zur Anonymisierung,– sondern erfordert Zusatzüberlegungen und -maßnahmen;
– z. B. nur mit Einwilligung oder gesetzlicher Regelung erlaubt!
Pommerening, 12. September 2006 9
Die Rolle der Einwilligungserklärung• Königsweg zur Sekundärnutzung im Forschungskontext.
– Aber: Zweckbindung, Zeit- und Nutzerbeschränkung.
– Patientenaufklärung muss Zweck der Datensammlung oder Zweck und Adressaten einer Nutzung oder Weitergabe explizit (und abschließend) benennen,
– muss Datenverarbeitung und -verwendung transparent machen.
– Auch mit Einwilligung dürfen Identitätsdaten nicht unnötig verarbeitet oder gespeichert werden.
• Als Instrument der Gesundheitsforschung eher schwerfällig, daher gesetzliche Regelungen vorzuziehen– mit geringstmöglichem Eingriff in die Persönlichkeitsrechte!
Pommerening, 12. September 2006 10
Anonymisierung/Pseudonymisierung von Proben
• Anonymisierbarkeit noch anzunehmen.– und wenn möglich anzuwenden.
• Mittelfristig: Nur noch Pseudonymisierungslösungen –– Personenbezug inhärent,– Widerruf muss gewährleistet bleiben
(Persönlichkeitsrecht).
Pommerening, 12. September 2006 11
Inhalt
1. Grundlagen von Anonymisierung und Pseudonymisierung
2. Methoden und Szenarien
3. Die Pseudonymisierungsmodelle der TMF
4. Diskussion und Ausblick
Pommerening, 12. September 2006 12
Grundtyp 1 von Pseudonymen
Inhaber-erzeugte Pseudonyme (Chaum ca. 1980)• Erzeugung durch blinde digitale Signatur.• Kontrolle beim Besitzer.• Für Sekundärnutzung von Gesundheitsdaten
nicht geeignet.• Geeignet für E-Commerce.• Lüftbar im Betrugsfall. Rechtssicherer pseudonymer Handel.• Problem: Politisch nicht gewollt.
Pommerening, 12. September 2006 13
Grundtyp 2 von Pseudonymen
TTP-erzeugte Pseudonyme• Trusted Third Party = »Vertrauensstelle« oder
»Datentreuhänder« (z. B. ein Notar).• Beispiel: Krebsregister (Michaelis/Pomm.
1993).• Für Sekundärnutzung von Patientendaten besser
geeignet:– z. B. Rückmeldung über behandelnden Arzt,– z. B. Rekrutierung für neue Studien,
Pommerening, 12. September 2006 14
Grundtyp 2: Das Basismodell
Individuum TTP(PSN-
Erzeugung)
Datenbank
Schlüsseloder Referenzliste(»Codebuch«)[streng geheim]
... ...Maier, Johannes 6AZCB661Maier, Josef KY2P96WAMaier, Jupp L85FD23S... ...
Identität Pseudonym
L85FD23S
Angreifer
Datenleck
Nutzdatendurchreichen
Pommerening, 12. September 2006 15
Besser: Schlüssel statt Referenzliste• Pseudonym-Erzeugung durch kryptographische
Verschlüsselung;– garantierte Eindeutigkeit: Pseudonym = verschlüsselter
Personenidentifikator (PID).
• Die Zentralstelle speichert nichts außer ihrem geheimen Schlüssel (z. B. auf SmartCard).– »Schlanker« TTP-Service.
– Auch irreversible Pseudonyme möglich(durch Einweg-Verschlüsselung).
• Bei Wechsel des kryptographischen Verfahrens:– Um- oder Überverschlüsselung.
Pommerening, 12. September 2006 16
Szenario 1: Einzelne Datenquelle,Einmal-Sekundärnutzung
• Typischer Anwendungsfall für Anonymisierung.• Beispiel: Einfache statistische Auswertung
exportierter Datensätze.• AMG §40 (2a): ... die erhobenen Daten soweit
erforderlich ... pseudonymisiert an den Sponsor oder eine von diesem beauftragte Stelle zum Zwecke der wissenschaftlichen Auswertung weitergegeben werden ...– TMF-Rechtsgutachten steht noch aus.
Pommerening, 12. September 2006 17
Szenario 2: Mehrere Datenquellen mit Überschneidungen,
Einmal-Sekundärnutzung • Daten aus verschiedenen Quellen müssen
zusammengeführt werden.• Beispiele:
– multizentrische Studie,
– Follow-up-Daten.
• Typischer Anwendungsfall für Einweg-Pseudonyme.– Identität wird aufgehoben, Verknüpfbarkeit bleibt.
Pommerening, 12. September 2006 18
Pseudonymisierung für Einmal-Sekundärnutzung
MDAT = Medizinische DatenIDAT = Identitätsdaten
PID = Eindeutiger PatientenidentifikatorPSN = Pseudonym
IDAT
MDAT MDAT
PSNPID PSN
Pseudonymi-sierungsdienst
(TTP)Sekundärnutzung
PID
Nutzdatenverschlüsseltdurchreichen
Datenquelle(n)
Pommerening, 12. September 2006 19
Besonderheiten von Szenario 2• Medizinische Daten (MDAT) mit öffentlichem
Schlüssel des Sekundärnutzers verschlüsselt –– Die TTP kann die MDAT nicht lesen.– Nur der Sekundärnutzer kann sie entschlüsseln.
• Das Pseudonym (PSN) ist der verschlüsselte PID– mit einem geheimen Schlüssel, den nur die TTP hat,– durch eine Einweg-Funktion.
• Die TTP speichert nichts (außer dem Schlüssel).• Szenario 2 in Routinebetrieb seit 2002 in einem
Projekt der Versorgungsforschung der TMF.
Pommerening, 12. September 2006 20
Szenario 3: Einmalige Sekundär-Nutzung mit Rückidentifikationsmöglichkeit
• Verwendet wird das Modell von Szenario 2,– aber PSN-Dienst verschlüsselt umkehrbar,– Rückverknüpfbarkeit bleibt erhalten.
• Identitätsmanagement nötig:– Gebraucht wird ein (projekt-spezifischer) PID,– eine Patientenliste speichert die Zuordnung
zwischen IDAT und PID.
• Die Rückidentifikation läuft über PSN-Dienst und Patientenliste.
Pommerening, 12. September 2006 21
Inhalt
1. Grundlagen von Anonymisierung und Pseudonymisierung
2. Methoden und Szenarien
3. Die Pseudonymisierungsmodelle der TMF
4. Diskussion und Ausblick
Pommerening, 12. September 2006 22
Modell B: Pseudonymer Forschungs-Datenpool
• Datenfluss wie in Szenario 3,– aber der Sekundärnutzer baut ein (krankheitsspezifisches)
Register auf.• Die Langzeit-Datensammlung erfordert
– klar definierten organisatorischen Rahmen,– besondere technische Sicherheitsvorkehrungen,– zusätzlich zur entsprechenden Patientenaufklärung und
-einwilligung.• Identitätsmanagement (PID-Verwaltung) und
Qualitätssicherung der Daten (mit Rückfragen) müssen vor Pseudonymisierung erfolgen.
Pommerening, 12. September 2006 23
Pseudonymisierung mit möglicherRückidentifikation
MDAT = Medizinische DatenIDAT = Identitätsdaten
PID = PatientenidentifikatorPSN = Pseudonym
IDAT
MDAT MDAT
PSN
IDAT PID
PID PSN
Identitäts-management
(TTP)
Datenquelle(n)
Pseudonymi-sierungsdienst
(TTP)Nutzdatenverschlüsseltdurchreichen
Sekundärnutzung
Pommerening, 12. September 2006 24
Modell A: Zentrale klinische Datenbank, mehrfache Sekundärnutzung
• Datenpool = zentrale »klinische« Datenbank.– Zentral für Forschungsverbund.– Zugriff für behandelnden Arzt (dezentral).– Keine Identitätsdaten, nur PIDs in DB.– Zugriffsregelung über temporäre Token (tempID).
• Kein Online-Zugriff für Sekundärnutzer.– Für Sekundärnutzung wird jeweils ein Auszug der
Datenbank exportiert (anonymisiert oder ad hoc pseudonymisiert).
Pommerening, 12. September 2006 25
Die zentrale klinische Datenbank
MDAT = Medizinische DatenIDAT = Identitätsdaten
PID = PatientenidentifikatorPSN = Pseudonym
(TTP)
IDAT
MDAT
Lokale Datenbank
PID
MDAT
Zentrale Datenbank
IDAT PIDPID-Dienst
(TTP)
PID PSN
Pseudonymi-sierungsdienst
(TTP)
MDAT
PSNSekundärnutzung
Exportverschl.
Export
Pommerening, 12. September 2006 26
Besonderheiten von Modell A• Vorteile:
– Gut geeignet für multizentrische Studien.– Bessere Unterstützung für Langzeitbeobachtung von
Patienten mit chronischer Erkrankung.– Nützlich für den datenproduzierenden Arzt.– Gut an Patientenakten-Architektur mit zentraler DB
anpassbar.
• Nachteile:– Komplizierte Kommunikationsprozeduren.– Viele TTP-Dienste und geheime Schlüssel benötigt.
Pommerening, 12. September 2006 27
Ergebnisse I• TMF-Modelle A und B von den
Datenschutzbeauftragten positiv bewertet– (Arbeitskreis Wissenschaft und AK Gesundheit der
Datenschutzbeauftragten des Bundes und der Länder)
• Modell A in einem Forschungsnetz implementiert.– Weitere in Vorbereitung oder Einführung.
• Modell B von mehreren Netzen adaptiert;– Implementierungen in Arbeit.
Pommerening, 12. September 2006 28
Ergebnisse II
• Die TMF bietet Software-Tools für die TTP-Dienste.
• Zugehörige Policies, Musterverträge, Mustereinwilligungserklärungen von der TMF erhältlich (frei für Mitglieder).
• Buchveröffentlichung in TMF-Schriftenreihe:– Reng/Debold/Specker/Pommerening:
»Generische Lösungen zum Datenschutz für die Forschungsnetze in der Medizin«.
Pommerening, 12. September 2006 29
Pommerening, 12. September 2006 30
TMF-Schriftenreihe• Band 1: Generisches Datenschutzkonzept• Band 2: Rechtsgutachten Biomaterialbanken
(erschienen August 2006)• Band 3: Musterlösungen zur Patienteneinwilligung
(ca Oktober 2006)• Band 4: Datenschutzkonzept für Biomaterialbanken
(ca Dezember 2006)• Band 5: Qualitätsmanagement für Biomaterialbanken
(2007)• Band 6: Datenqualität in der medizinischen
Forschung (ca Dezember 2006)
Pommerening, 12. September 2006 31
Inhalt
1. Grundlagen von Anonymisierung und Pseudonymisierung
2. Methoden und Szenarien
3. Die Pseudonymisierungsmodelle der TMF
4. Diskussion und Ausblick
Pommerening, 12. September 2006 32
Diskussion (I)
• Die TMF-Modellarchitektur (Varianten A und B) bietet Möglichkeiten zum Aufbau zentraler Datenpools für medizinische Forschung und Versorgungsforschung, die– mit der deutschen und europäischen
Datenschutzgesetzgebung verträglich sind,– die Patientenrechte respektieren,– vielfältige Situationen abdecken.
• Die Pseudonymisierungsszenarien wirken komplex, aber funktionieren transparent, sobald sie etabliert sind.
Pommerening, 12. September 2006 33
Diskussion (II)• Der Transfer zu anderen Anwendungen im
Gesundheitswesen ist möglich und zu empfehlen.– Die TTP-Dienste für die Sekundärnutzung von
Gesundheitsdaten sollten in die Architektur des Gesundheitswesens eingebaut werden(geeignet angepasste Versionen der TMF-Modelle).
• TMF-Modell B für eine dezentrale Architektur des Gesundheitswesens eher geeignet.
• TMF-Modell A eher für eine zentrale Architektur.• Für Biomaterialbanken wurden analoge Modelle
entwickelt.
Pommerening, 12. September 2006 34
Anwendungserfahrungen
• Workshop 9. 9. 2005 mit 14 Netzen.• Ergebnisse:
– Begutachtung des Datenschutzkonzepts (meist) zügig und positiv.
– Anpassung an Modelle A/B oft schwierig, nicht alle Anforderungen abgedeckt.
– Implementierung oft langwierig und aufwendig.
• Fazit: Überarbeitung des generischen Datenschutzkonzepts bis Anfang 2007.
Pommerening, 12. September 2006 35
Revision des TMF-DatenschutzkonzeptsZiele:• Mehr Anwendungsszenarien explizit
beschreiben.• Bessere Skalierbarkeit,
Verhältnismäßigkeitskriterien.• Modularer Aufbau.• Verzahnung mit Versorgung und klinischen
Studien besser berücksichtigen.• Etablierung zentraler Dienstleistungen.Internationalisierung als separates Projekt.