RSS-Feed abonnieren
DOI: 10.1055/s-2001-12105
Die Vertrauensstelle im Rahmen der Sekundärdatenforschung - Lösungsansätze zum Problem der Datenkonzentration
Publikationsverlauf
Publikationsdatum:
31. Dezember 2001 (online)
Zusammenfassung
Zur Umsetzung geltender datenschutzrechtlicher Bestimmungen und international anerkannter ethischer Forderungen benötigt die Forschung mit personenbezogenen Gesundheits- und Sozialdaten spezifische Konzepte zum sicheren Umgang mit diesen sensiblen Daten. Im Prozess des Datentransfers von den Leistungserbringern zu den auswertenden Stellen kommt einer Vertrauensstelle zur periodenübergreifenden Pseudonymisierung personen- und institutionsbezogener Kennzeichen eine besondere Bedeutung zu. Eine aus datenschutzrechtlicher Sicht bedenkliche Datenkonzentration in der Vertrauensstelle kann vermieden werden, indem die datenübermittelnde Stelle die Daten frühzeitig trennt: Die Vertrauensstelle erhält nur den für die Pseudonymisierung notwendigen Identifikationsteil, während die Leistungsdaten direkt an die Auswertungsstelle übermittelt und mit Hilfe einer eindeutigen Satznummer mit den in der Vertrauensstelle generierten Pseudonymen wieder zusammengeführt werden. Die vor allem in großen (pseudonymisierten) Datensammlungen bestehende Möglichkeit einer Re-Identifikation kann durch geeignete Pseudonymisierungsverfahren (z. B. die versichertenbezogene Pseudonymisierung von Leistungserbringern im Rahmen einer Versichertenstichprobe) verringert werden. Die beschriebenen Maßnahmen sind geeignet, den Persönlichkeitsschutz zu wahren und die Datensicherheit bei der Nutzung sensibler personen- und institutionsbezogener Daten weiter zu erhöhen.
Confidential Handling of Data in Secondary Data Research - Approaches to Solving Data Concentration and Data Security Problems
In order to implement general data protection requirements and internationally recognised ethical requirements, research with personal health and social data demands a specific framework for the secure handling of confidential data. In the process of transferring data from the health service providers to the place where they are analysed, an important role is played by a so-called trust centre, responsible for pseudonymisation of personal and institutional identifiers. An undesirable concentration of data in the trust centre can be avoided by early separation of data in the data transfer institution: the trust centre receives only the identifier to be pseudonymised, while the health provision data are sent direct to the analysing institution, where they can be matched with the pseudonyms from the trust centre, with the help of a unique case number. The possibility of reidentification, which exists mainly in large (pseudonymised) data sets, can be reduced by use of an appropriate pseudonymisation process (e. g. insuree-based pseudonymisation by health service providers for sampling of insurees). The measures described here are suitable for protecting confidentiality and for further improving data security in the handling of confidential personal and institutional data.
Key words
Trust Centre - Confidentiality - Data Protection Requirement - Pseudonymisation Process - Public Health Research
Literatur
- 1 Sozialgesetzbuch (SGB) Fünftes Buch (V) - Gesetzliche Krankenversicherung - vom 20.12.1988 (BGBl. I S. 2477, Artikel 1) zuletzt geändert durch Gesetz vom 21.7.1999 (BGBl. I S. 1648) und 22.12.1999 (BGBl. I S. 2534, 2626 und 2657); § 284f.
- 2 Häufigkeit und Verteilung von Erkrankungen und ihre ärztliche Behandlung. v Ferber L Köln, Leipzig; ISAB 1994
- 3 Schubert I. Arzneimittelverbrauch der Bevölkerung als Gegenstand von Gesundheitsberichterstattung. Wissenschaftliches Institut der AOK Wieviel Arzneimittel (ver)braucht der Mensch? Arzneiverbrauch in der Bevölkerung: Behandlungshäufigkeit, Therapiedauer und Verordnungsanlässe Bonn; 1996: 9-62
- 4 Bundesdatenschutzgesetz (BDSG) vom 20. Dez. 1990 (BGBl. I, S.2954), zuletzt geändert durch Art. 2, Abs. 5 des Begleitgesetzes zum Telekommunikationsgesetz (BegleitG) vom 17. Dez. 1997 (BGBl. I S. 3108): § 14.
- 5 Zentrale Ethikkommission . Stellungnahme „Zur Verwendung von patientenbezogenen Informationen für die Forschung in der Medizin und im Gesundheitswesen”. Deutsches Ärzteblatt. 1999; 96 A3201-A3204 (49)
- 6 Swart E, Robra B P. Standardisierung von GKV-Routinedaten - notwendig, aber selten. Vortrag auf der Wissenschaftlichen Jahrestagung der DGSMP „Sozialmedizin für die Zukunft” vom 27. bis 30. September 2000 Universitätsklinikum Benjamin Franklin;
- 7 Krappweis H, Krappweis J, Kirch W. Gesundheitsberichterstattung: Datenschutz im Widerspruch zum Informationsbedarf. Gesundh ökon Qual manag. 1997; 2 A157-A160
- 8 Public Health Forschung mit Gesundheits- und Sozialdaten - Stand und Perspektiven. v Ferber L, Behrens J St. Augustin; Asgard Verlag 1997
- 9 Europäische Richtlinien zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (EU-DSRL) EG 95/46. Amtsblatt der Europäischen Gemeinschaften Nr. L 281/31-50.
- 10 v Ferber Ch. Schutz der Persönlichkeitssphäre bei der Datenverarbeitung im Gesundheitswesen und in der patientenorientierten Forschung - Worauf kann der Patient vertrauen?. Honnefelder L, Streffer C Jahrbuch für Wissenschaft und Ethik Berlin, New York; Walter de Gruyter 2000: 211-226
- 11 G+G Blickpunkt. Transparenz - Zweiter Anlauf für ein Gesetz Bonn; AOK Bundesverband 2000 12: 1
- 12 Pommerening K, Miller M, Schmidtmann I, Michaelis K. Pseudonyms for cancer registry. Meth Inf Med. 1996; 35 112-121
- 13 Pommerening K. Vorlesung Datenschutz und Datensicherheit. Sommersemester 1999, Fachbereich Mathematik. Johannes-Gutenberg-Universität Mainz. Version vom 31. März 1999; letzte Änderung: 22. Juni 1999. http://www.uni-mainz.de/∼pommeren/DSVorlesung/KryptoProt/ Krebsreg.html.
- 14 Brenner H, Schmidtmann I. Determinants of Homonym and Synonym Rates of Record Linkage in Disease Registration. Methods of Information in Medicine. 1996; 35 19-24
- 15 Wellmann I, Kieschke J, Hinrichs H. Nutzungsmöglichkeiten des Kontrollnummernkonzepts epidemiologischer Krebsregister für Kohortenstudien in Deutschland (Posterpräsentation). Proceedings DAE ‘99 (Deutsche Arbeitsgemeinschaft für Epidemiologie) Freiburg; 1999
- 16 Ihle P, Köster I, Schubert I, v Ferber Ch, v Ferber L. Versichertenstichprobe aus der Gesetzlichen Krankenversicherung. Wirtschaft und Statistik. 1999; 9 742-794
- 17 Jeebe H J, Strobel W. Leistungsabrechnung und Datenaustausch mit Krankenkassen. 31. Nachtragslieferung Remagen; AOK Verlag GmbH 2000
- 18 Entwurf eines Gesetzes zur Reform der gesetzlichen Krankenversicherung ab dem Jahre 2000 (GKV-Gesundheitsreform 2000), Bundesdrucksache 14/1977 vom 3.11.1999; § 294(1).
- 19 Schneier B. Angewandte Kryptographie. Protokolle, Algorithmen und Sourcecode in C Bonn [u. a.]; Addison Wesley 1996: 525-550
- 20 Selke G W. Kryptographie - Verfahren, Ziel, Einsatzmöglichkeiten. Köln; O’Reilly 2000: 164f
- 21 TeleTrusT .Kryptoreport - Kryptographische Verfahren im Gesundheits- und Sozialwesen in Deutschland (2. Auflage, Stand: 12. September 1999). TeleTrusT Deutschland e. V., Arbeitsgruppe 3: „Medizinische Anwendungen einer vertrauenswürdigen Informationstechnik”, Leiter: Sembritzki J, Redaktion: Goetz Ch FJ Erfurt; 1999 Kap. 3.8
- 22 Sozialgesetzbuch (SGB) Zehntes Buch (X) - Verwaltungsverfahren, Schutz der Sozialdaten, Zusammenarbeit der Leistungsträger und ihre Beziehungen zu Dritten vom 18.8.1980 (BGBl. I S. 1469, 2218) zuletzt geändert durch Gesetz vom 6.8.1998 (BGBl. I S. 2022); § 75.
1 Nähere Informationen zu diesem Arbeitstreffen: Fraunhofer-Institut Software und Systemtechnik (ISST), Dr. med. Bernd Claßen, E-mail: bernd.classen@isst.fhg.de
2 In diesem Zusammenhang wird oft auf das Beispiel von versicherten Personen hingewiesen, die durch Heirat ihren Nachnamen, Wohnort und ihre Krankenversicherung und damit auch die Versichertennummer ändern. Nur die zusätzliche Einbeziehung von unveränderten Kennzeichen wie Geburtsdatum und Vorname oder auch Versicherungszeiten erlaubt es, den geforderten Personenbezug herzustellen.
3 Diese Vorgehensweise mit Vergabe einer nicht sprechenden laufenden Nummer als Identifikation eines Patienten/einer Institution wurde auf dem oben genannten Arbeitstreffen des Arbeitskreises „Wissenschaft” der Datenschutzbeauftragten der Länder und des Bundes nachdrücklich favorisiert.
4 Die beschriebene Trennung in Identifikations- und Datenbereich stellt den Regelfall dar. In Ausnahmefällen werden in der Vertrauensstelle neben den Personenangaben (z. B. Name, Geburtsdatum und Geschlecht) weitere Angaben (z. B. Diagnosedaten) benötigt, um in Zweifelsfällen den Versicherten eindeutig zu identifizieren. Hierfür kann der Identifikationsteil um die benötigten Angaben aus dem Leistungsbereich erweitert werden. Zu prüfen ist allerdings, ob dieser Abgleich auch durch die Auswertungsstelle geleistet werden kann.
5 Sollte die Praxisgröße als Einflussfaktor bei einer versichertenbezogenen Auswertung notwendig sein, so kann diese Information von den Kassenärztlichen Vereinigungen in Form eines Arztverzeichnisses (via Vertrauensstelle) geliefert werden. Hierbei muss im Einzelfall abhängig von der Fragestellung geprüft werden, welcher Aggregierungsgrad für die Auswertung ausreichend ist (z. B. eine Klassenbildung in „große Praxis”, „mittelgroße Praxis” und „kleine Praxis” ohne Offenlegung der absoluten Scheinzahl der jeweiligen Praxis).
Peter Ihle
Forschungsgruppe Primärmedizinische Versorgung (PMV)
Medizinische
Einrichtungen der Universität zu Köln
Herderstraße 52-54
50931 Köln
eMail: Peter.Ihle@medizin.uni-koeln.de