Die Vertrauensstelle im Rahmen der Sekundärdatenforschung - Lösungsansätze zum Problem der Datenkonzentration

 

 Buy Article Permissions and Reprints

Zusammenfassung

Zur Umsetzung geltender datenschutzrechtlicher Bestimmungen und international anerkannter ethischer Forderungen benötigt die Forschung mit personenbezogenen Gesundheits- und Sozialdaten spezifische Konzepte zum sicheren Umgang mit diesen sensiblen Daten. Im Prozess des Datentransfers von den Leistungserbringern zu den auswertenden Stellen kommt einer Vertrauensstelle zur periodenübergreifenden Pseudonymisierung personen- und institutionsbezogener Kennzeichen eine besondere Bedeutung zu. Eine aus datenschutzrechtlicher Sicht bedenkliche Datenkonzentration in der Vertrauensstelle kann vermieden werden, indem die datenübermittelnde Stelle die Daten frühzeitig trennt: Die Vertrauensstelle erhält nur den für die Pseudonymisierung notwendigen Identifikationsteil, während die Leistungsdaten direkt an die Auswertungsstelle übermittelt und mit Hilfe einer eindeutigen Satznummer mit den in der Vertrauensstelle generierten Pseudonymen wieder zusammengeführt werden. Die vor allem in großen (pseudonymisierten) Datensammlungen bestehende Möglichkeit einer Re-Identifikation kann durch geeignete Pseudonymisierungsverfahren (z. B. die versichertenbezogene Pseudonymisierung von Leistungserbringern im Rahmen einer Versichertenstichprobe) verringert werden. Die beschriebenen Maßnahmen sind geeignet, den Persönlichkeitsschutz zu wahren und die Datensicherheit bei der Nutzung sensibler personen- und institutionsbezogener Daten weiter zu erhöhen.

Confidential Handling of Data in Secondary Data Research - Approaches to Solving Data Concentration and Data Security Problems

In order to implement general data protection requirements and internationally recognised ethical requirements, research with personal health and social data demands a specific framework for the secure handling of confidential data. In the process of transferring data from the health service providers to the place where they are analysed, an important role is played by a so-called trust centre, responsible for pseudonymisation of personal and institutional identifiers. An undesirable concentration of data in the trust centre can be avoided by early separation of data in the data transfer institution: the trust centre receives only the identifier to be pseudonymised, while the health provision data are sent direct to the analysing institution, where they can be matched with the pseudonyms from the trust centre, with the help of a unique case number. The possibility of reidentification, which exists mainly in large (pseudonymised) data sets, can be reduced by use of an appropriate pseudonymisation process (e. g. insuree-based pseudonymisation by health service providers for sampling of insurees). The measures described here are suitable for protecting confidentiality and for further improving data security in the handling of confidential personal and institutional data.

Literatur

• 1 Sozialgesetzbuch (SGB) Fünftes Buch (V) - Gesetzliche Krankenversicherung - vom 20.12.1988 (BGBl. I S. 2477, Artikel 1) zuletzt geändert durch Gesetz vom 21.7.1999 (BGBl. I S. 1648) und 22.12.1999 (BGBl. I S. 2534, 2626 und 2657); § 284f. 
  Google Scholar
• 2 Häufigkeit und Verteilung von Erkrankungen und ihre ärztliche Behandlung. v Ferber L Köln, Leipzig; ISAB 1994
  Google Scholar
• 3 Schubert I. Arzneimittelverbrauch der Bevölkerung als Gegenstand von Gesundheitsberichterstattung. Wissenschaftliches Institut der AOK Wieviel Arzneimittel (ver)braucht der Mensch? Arzneiverbrauch in der Bevölkerung: Behandlungshäufigkeit, Therapiedauer und Verordnungsanlässe Bonn; 1996: 9-62
  Google Scholar
• 4 Bundesdatenschutzgesetz (BDSG) vom 20. Dez. 1990 (BGBl. I, S.2954), zuletzt geändert durch Art. 2, Abs. 5 des Begleitgesetzes zum Telekommunikationsgesetz (BegleitG) vom 17. Dez. 1997 (BGBl. I S. 3108): § 14. 
  Google Scholar
• 5 Zentrale Ethikkommission . Stellungnahme „Zur Verwendung von patientenbezogenen Informationen für die Forschung in der Medizin und im Gesundheitswesen”.  Deutsches Ärzteblatt. 1999;  96 A3201-A3204 (49)
  PubMedGoogle Scholar
• 6 Swart E, Robra B P. Standardisierung von GKV-Routinedaten - notwendig, aber selten. Vortrag auf der Wissenschaftlichen Jahrestagung der DGSMP „Sozialmedizin für die Zukunft” vom 27. bis 30. September 2000 Universitätsklinikum Benjamin Franklin;
  Google Scholar
• 7 Krappweis H, Krappweis J, Kirch W. Gesundheitsberichterstattung: Datenschutz im Widerspruch zum Informationsbedarf.  Gesundh ökon Qual manag. 1997;  2 A157-A160
  PubMedGoogle Scholar
• 8 Public Health Forschung mit Gesundheits- und Sozialdaten - Stand und Perspektiven. v Ferber L, Behrens J St. Augustin; Asgard Verlag 1997
  Google Scholar
• 9 Europäische Richtlinien zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (EU-DSRL) EG 95/46. Amtsblatt der Europäischen Gemeinschaften Nr. L 281/31-50. 
  Google Scholar
• 10 v Ferber Ch. Schutz der Persönlichkeitssphäre bei der Datenverarbeitung im Gesundheitswesen und in der patientenorientierten Forschung - Worauf kann der Patient vertrauen?. Honnefelder L, Streffer C Jahrbuch für Wissenschaft und Ethik Berlin, New York; Walter de Gruyter 2000: 211-226
  Google Scholar
• 11 G+G Blickpunkt. Transparenz - Zweiter Anlauf für ein Gesetz Bonn; AOK Bundesverband 2000 12: 1
  Google Scholar
• 12 Pommerening K, Miller M, Schmidtmann I, Michaelis K. Pseudonyms for cancer registry.  Meth Inf Med. 1996;  35 112-121
  Article in Thieme ConnectPubMedGoogle Scholar
• 13 Pommerening K. Vorlesung Datenschutz und Datensicherheit. Sommersemester 1999, Fachbereich Mathematik. Johannes-Gutenberg-Universität Mainz. Version vom 31. März 1999; letzte Änderung: 22. Juni 1999. http://www.uni-mainz.de/∼pommeren/DSVorlesung/KryptoProt/ Krebsreg.html. 
  Google Scholar
• 14 Brenner H, Schmidtmann I. Determinants of Homonym and Synonym Rates of Record Linkage in Disease Registration.  Methods of Information in Medicine. 1996;  35 19-24
  PubMedGoogle Scholar
• 15 Wellmann I, Kieschke J, Hinrichs H. Nutzungsmöglichkeiten des Kontrollnummernkonzepts epidemiologischer Krebsregister für Kohortenstudien in Deutschland (Posterpräsentation). Proceedings DAE ‘99 (Deutsche Arbeitsgemeinschaft für Epidemiologie) Freiburg; 1999
  Google Scholar
• 16 Ihle P, Köster I, Schubert I, v Ferber Ch, v Ferber L. Versichertenstichprobe aus der Gesetzlichen Krankenversicherung.  Wirtschaft und Statistik. 1999;  9 742-794
  PubMedGoogle Scholar
• 17 Jeebe H J, Strobel W. Leistungsabrechnung und Datenaustausch mit Krankenkassen. 31. Nachtragslieferung Remagen; AOK Verlag GmbH 2000
  Google Scholar
• 18 Entwurf eines Gesetzes zur Reform der gesetzlichen Krankenversicherung ab dem Jahre 2000 (GKV-Gesundheitsreform 2000), Bundesdrucksache 14/1977 vom 3.11.1999; § 294(1). 
  Google Scholar
• 19 Schneier B. Angewandte Kryptographie. Protokolle, Algorithmen und Sourcecode in C Bonn [u. a.]; Addison Wesley 1996: 525-550
  Google Scholar
• 20 Selke G W. Kryptographie - Verfahren, Ziel, Einsatzmöglichkeiten. Köln; O’Reilly 2000: 164f
  Google Scholar
• 21 TeleTrusT .Kryptoreport - Kryptographische Verfahren im Gesundheits- und Sozialwesen in Deutschland (2. Auflage, Stand: 12. September 1999). TeleTrusT Deutschland e. V., Arbeitsgruppe 3: „Medizinische Anwendungen einer vertrauenswürdigen Informationstechnik”, Leiter: Sembritzki J, Redaktion: Goetz Ch FJ Erfurt; 1999 Kap. 3.8
  Google Scholar
• 22 Sozialgesetzbuch (SGB) Zehntes Buch (X) - Verwaltungsverfahren, Schutz der Sozialdaten, Zusammenarbeit der Leistungsträger und ihre Beziehungen zu Dritten vom 18.8.1980 (BGBl. I S. 1469, 2218) zuletzt geändert durch Gesetz vom 6.8.1998 (BGBl. I S. 2022); § 75. 
  Google Scholar

1 Nähere Informationen zu diesem Arbeitstreffen: Fraunhofer-Institut Software und Systemtechnik (ISST), Dr. med. Bernd Claßen, E-mail: bernd.classen@isst.fhg.de

2 In diesem Zusammenhang wird oft auf das Beispiel von versicherten Personen hingewiesen, die durch Heirat ihren Nachnamen, Wohnort und ihre Krankenversicherung und damit auch die Versichertennummer ändern. Nur die zusätzliche Einbeziehung von unveränderten Kennzeichen wie Geburtsdatum und Vorname oder auch Versicherungszeiten erlaubt es, den geforderten Personenbezug herzustellen.

3 Diese Vorgehensweise mit Vergabe einer nicht sprechenden laufenden Nummer als Identifikation eines Patienten/einer Institution wurde auf dem oben genannten Arbeitstreffen des Arbeitskreises „Wissenschaft” der Datenschutzbeauftragten der Länder und des Bundes nachdrücklich favorisiert.

4 Die beschriebene Trennung in Identifikations- und Datenbereich stellt den Regelfall dar. In Ausnahmefällen werden in der Vertrauensstelle neben den Personenangaben (z. B. Name, Geburtsdatum und Geschlecht) weitere Angaben (z. B. Diagnosedaten) benötigt, um in Zweifelsfällen den Versicherten eindeutig zu identifizieren. Hierfür kann der Identifikationsteil um die benötigten Angaben aus dem Leistungsbereich erweitert werden. Zu prüfen ist allerdings, ob dieser Abgleich auch durch die Auswertungsstelle geleistet werden kann.

5 Sollte die Praxisgröße als Einflussfaktor bei einer versichertenbezogenen Auswertung notwendig sein, so kann diese Information von den Kassenärztlichen Vereinigungen in Form eines Arztverzeichnisses (via Vertrauensstelle) geliefert werden. Hierbei muss im Einzelfall abhängig von der Fragestellung geprüft werden, welcher Aggregierungsgrad für die Auswertung ausreichend ist (z. B. eine Klassenbildung in „große Praxis”, „mittelgroße Praxis” und „kleine Praxis” ohne Offenlegung der absoluten Scheinzahl der jeweiligen Praxis).

Peter Ihle

Forschungsgruppe Primärmedizinische Versorgung (PMV)
Medizinische Einrichtungen der Universität zu Köln

Herderstraße 52-54

50931 Köln

Email: Peter.Ihle@medizin.uni-koeln.de