pseudonymisierung in der medizinischen forschung und sekundärnutzung von patientendaten klaus...
TRANSCRIPT
![Page 1: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/1.jpg)
Pseudonymisierungin der medizinischen Forschungund Sekundärnutzung von Patientendaten
Klaus Pommerening, Mainz
Workshop AG DGI, 12. September 2006GMDS 2006, Leipzig
TMF = Telematikplattform für diemedizinischen Forschungsnetze
![Page 2: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/2.jpg)
Pommerening, 12. September 2006 2
Inhalt
1. Grundlagen von Anonymisierung und Pseudonymisierung
2. Methoden und Szenarien
3. Die Pseudonymisierungsmodelle der TMF
4. Diskussion und Ausblick
![Page 3: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/3.jpg)
Pommerening, 12. September 2006 3
Nutzung von Patientendaten• Primärnutzung: Behandlungskontext.• Sekundärnutzung:
– Versorgungsforschung, Qualitätssicherung, Gesundheitsökonomie,
– krankheitsspezifische klinische oder epidemiologische Studien,
– Aufbau von zentralen Datenpools und Biomaterialbanken.
Typische Aspekte der Sekundärnutzung:• Außerhalb des Behandlungskontexts und der
Schweigepflicht (des behandelnden Arztes);• die Identität des Patienten ist ohne Belang.
![Page 4: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/4.jpg)
Pommerening, 12. September 2006 4
Behandlungskontext
Register/epidemiologische Forschung
klinische ForschungVersorgungsforschung
Export erlaubt, wenn- anonyme Daten,- Einwilligung,- Gesetzesvorschrift
Barriere: Ärztliche Schweigepflicht
direkteErfassung
[Sekundärnutzung/Forschungskontext]
[Primärnutzung]
![Page 5: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/5.jpg)
Pommerening, 12. September 2006 5
BDSG §3 (6): Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.
[„faktische Anonymisierung“]
![Page 6: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/6.jpg)
Pommerening, 12. September 2006 6
Für die Sekundärnutzung von Patientendaten (und Proben):
• Identität der Patienten schützen.– Keine unnötigen gesetzlichen Abschwächungen!
• Anonymisierung, wann immer möglich.Nachteile der Anonymisierung:– Keine Zusammenführung von Daten aus verschiedenen
Quellen
– ... oder von verschiedenen Zeitpunkten.
– Kein Weg zurück zum Patienten für Rückmeldungen
– ... oder zur Rekrutierung für neue Studien
– ... oder zum Rückruf von Proben/ Widerruf der Einwilligung.
![Page 7: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/7.jpg)
Pommerening, 12. September 2006 7
BDSG §3 (6a): Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.
![Page 8: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/8.jpg)
Pommerening, 12. September 2006 8
Pseudonyme
• Goldener Mittelweg zwischen Anonymität und Exposition der Identitäten („indirekter Personenbezug“).
• Je nach Kontext zu nutzen:– Einweg-Pseudonyme, die nicht aufgelöst werden können,
– reversible Pseudonyme die eine Rückidentifizierung ermöglichen.
• Pseudonymisierung ist rechtlich nicht äquivalent zur Anonymisierung,– sondern erfordert Zusatzüberlegungen und -maßnahmen;
– z. B. nur mit Einwilligung oder gesetzlicher Regelung erlaubt!
![Page 9: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/9.jpg)
Pommerening, 12. September 2006 9
Die Rolle der Einwilligungserklärung• Königsweg zur Sekundärnutzung im Forschungskontext.
– Aber: Zweckbindung, Zeit- und Nutzerbeschränkung.
– Patientenaufklärung muss Zweck der Datensammlung oder Zweck und Adressaten einer Nutzung oder Weitergabe explizit (und abschließend) benennen,
– muss Datenverarbeitung und -verwendung transparent machen.
– Auch mit Einwilligung dürfen Identitätsdaten nicht unnötig verarbeitet oder gespeichert werden.
• Als Instrument der Gesundheitsforschung eher schwerfällig, daher gesetzliche Regelungen vorzuziehen– mit geringstmöglichem Eingriff in die Persönlichkeitsrechte!
![Page 10: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/10.jpg)
Pommerening, 12. September 2006 10
Anonymisierung/Pseudonymisierung von Proben
• Anonymisierbarkeit noch anzunehmen.– und wenn möglich anzuwenden.
• Mittelfristig: Nur noch Pseudonymisierungslösungen –– Personenbezug inhärent,– Widerruf muss gewährleistet bleiben
(Persönlichkeitsrecht).
![Page 11: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/11.jpg)
Pommerening, 12. September 2006 11
Inhalt
1. Grundlagen von Anonymisierung und Pseudonymisierung
2. Methoden und Szenarien
3. Die Pseudonymisierungsmodelle der TMF
4. Diskussion und Ausblick
![Page 12: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/12.jpg)
Pommerening, 12. September 2006 12
Grundtyp 1 von Pseudonymen
Inhaber-erzeugte Pseudonyme (Chaum ca. 1980)• Erzeugung durch blinde digitale Signatur.• Kontrolle beim Besitzer.• Für Sekundärnutzung von Gesundheitsdaten
nicht geeignet.• Geeignet für E-Commerce.• Lüftbar im Betrugsfall. Rechtssicherer pseudonymer Handel.• Problem: Politisch nicht gewollt.
![Page 13: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/13.jpg)
Pommerening, 12. September 2006 13
Grundtyp 2 von Pseudonymen
TTP-erzeugte Pseudonyme• Trusted Third Party = »Vertrauensstelle« oder
»Datentreuhänder« (z. B. ein Notar).• Beispiel: Krebsregister (Michaelis/Pomm.
1993).• Für Sekundärnutzung von Patientendaten besser
geeignet:– z. B. Rückmeldung über behandelnden Arzt,– z. B. Rekrutierung für neue Studien,
![Page 14: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/14.jpg)
Pommerening, 12. September 2006 14
Grundtyp 2: Das Basismodell
Individuum TTP(PSN-
Erzeugung)
Datenbank
Schlüsseloder Referenzliste(»Codebuch«)[streng geheim]
... ...Maier, Johannes 6AZCB661Maier, Josef KY2P96WAMaier, Jupp L85FD23S... ...
Identität Pseudonym
L85FD23S
Angreifer
Datenleck
Nutzdatendurchreichen
![Page 15: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/15.jpg)
Pommerening, 12. September 2006 15
Besser: Schlüssel statt Referenzliste• Pseudonym-Erzeugung durch kryptographische
Verschlüsselung;– garantierte Eindeutigkeit: Pseudonym = verschlüsselter
Personenidentifikator (PID).
• Die Zentralstelle speichert nichts außer ihrem geheimen Schlüssel (z. B. auf SmartCard).– »Schlanker« TTP-Service.
– Auch irreversible Pseudonyme möglich(durch Einweg-Verschlüsselung).
• Bei Wechsel des kryptographischen Verfahrens:– Um- oder Überverschlüsselung.
![Page 16: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/16.jpg)
Pommerening, 12. September 2006 16
Szenario 1: Einzelne Datenquelle,Einmal-Sekundärnutzung
• Typischer Anwendungsfall für Anonymisierung.• Beispiel: Einfache statistische Auswertung
exportierter Datensätze.• AMG §40 (2a): ... die erhobenen Daten soweit
erforderlich ... pseudonymisiert an den Sponsor oder eine von diesem beauftragte Stelle zum Zwecke der wissenschaftlichen Auswertung weitergegeben werden ...– TMF-Rechtsgutachten steht noch aus.
![Page 17: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/17.jpg)
Pommerening, 12. September 2006 17
Szenario 2: Mehrere Datenquellen mit Überschneidungen,
Einmal-Sekundärnutzung • Daten aus verschiedenen Quellen müssen
zusammengeführt werden.• Beispiele:
– multizentrische Studie,
– Follow-up-Daten.
• Typischer Anwendungsfall für Einweg-Pseudonyme.– Identität wird aufgehoben, Verknüpfbarkeit bleibt.
![Page 18: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/18.jpg)
Pommerening, 12. September 2006 18
Pseudonymisierung für Einmal-Sekundärnutzung
MDAT = Medizinische DatenIDAT = Identitätsdaten
PID = Eindeutiger PatientenidentifikatorPSN = Pseudonym
IDAT
MDAT MDAT
PSNPID PSN
Pseudonymi-sierungsdienst
(TTP)Sekundärnutzung
PID
Nutzdatenverschlüsseltdurchreichen
Datenquelle(n)
![Page 19: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/19.jpg)
Pommerening, 12. September 2006 19
Besonderheiten von Szenario 2• Medizinische Daten (MDAT) mit öffentlichem
Schlüssel des Sekundärnutzers verschlüsselt –– Die TTP kann die MDAT nicht lesen.– Nur der Sekundärnutzer kann sie entschlüsseln.
• Das Pseudonym (PSN) ist der verschlüsselte PID– mit einem geheimen Schlüssel, den nur die TTP hat,– durch eine Einweg-Funktion.
• Die TTP speichert nichts (außer dem Schlüssel).• Szenario 2 in Routinebetrieb seit 2002 in einem
Projekt der Versorgungsforschung der TMF.
![Page 20: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/20.jpg)
Pommerening, 12. September 2006 20
Szenario 3: Einmalige Sekundär-Nutzung mit Rückidentifikationsmöglichkeit
• Verwendet wird das Modell von Szenario 2,– aber PSN-Dienst verschlüsselt umkehrbar,– Rückverknüpfbarkeit bleibt erhalten.
• Identitätsmanagement nötig:– Gebraucht wird ein (projekt-spezifischer) PID,– eine Patientenliste speichert die Zuordnung
zwischen IDAT und PID.
• Die Rückidentifikation läuft über PSN-Dienst und Patientenliste.
![Page 21: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/21.jpg)
Pommerening, 12. September 2006 21
Inhalt
1. Grundlagen von Anonymisierung und Pseudonymisierung
2. Methoden und Szenarien
3. Die Pseudonymisierungsmodelle der TMF
4. Diskussion und Ausblick
![Page 22: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/22.jpg)
Pommerening, 12. September 2006 22
Modell B: Pseudonymer Forschungs-Datenpool
• Datenfluss wie in Szenario 3,– aber der Sekundärnutzer baut ein (krankheitsspezifisches)
Register auf.• Die Langzeit-Datensammlung erfordert
– klar definierten organisatorischen Rahmen,– besondere technische Sicherheitsvorkehrungen,– zusätzlich zur entsprechenden Patientenaufklärung und
-einwilligung.• Identitätsmanagement (PID-Verwaltung) und
Qualitätssicherung der Daten (mit Rückfragen) müssen vor Pseudonymisierung erfolgen.
![Page 23: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/23.jpg)
Pommerening, 12. September 2006 23
Pseudonymisierung mit möglicherRückidentifikation
MDAT = Medizinische DatenIDAT = Identitätsdaten
PID = PatientenidentifikatorPSN = Pseudonym
IDAT
MDAT MDAT
PSN
IDAT PID
PID PSN
Identitäts-management
(TTP)
Datenquelle(n)
Pseudonymi-sierungsdienst
(TTP)Nutzdatenverschlüsseltdurchreichen
Sekundärnutzung
![Page 24: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/24.jpg)
Pommerening, 12. September 2006 24
Modell A: Zentrale klinische Datenbank, mehrfache Sekundärnutzung
• Datenpool = zentrale »klinische« Datenbank.– Zentral für Forschungsverbund.– Zugriff für behandelnden Arzt (dezentral).– Keine Identitätsdaten, nur PIDs in DB.– Zugriffsregelung über temporäre Token (tempID).
• Kein Online-Zugriff für Sekundärnutzer.– Für Sekundärnutzung wird jeweils ein Auszug der
Datenbank exportiert (anonymisiert oder ad hoc pseudonymisiert).
![Page 25: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/25.jpg)
Pommerening, 12. September 2006 25
Die zentrale klinische Datenbank
MDAT = Medizinische DatenIDAT = Identitätsdaten
PID = PatientenidentifikatorPSN = Pseudonym
(TTP)
IDAT
MDAT
Lokale Datenbank
PID
MDAT
Zentrale Datenbank
IDAT PIDPID-Dienst
(TTP)
PID PSN
Pseudonymi-sierungsdienst
(TTP)
MDAT
PSNSekundärnutzung
Exportverschl.
Export
![Page 26: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/26.jpg)
Pommerening, 12. September 2006 26
Besonderheiten von Modell A• Vorteile:
– Gut geeignet für multizentrische Studien.– Bessere Unterstützung für Langzeitbeobachtung von
Patienten mit chronischer Erkrankung.– Nützlich für den datenproduzierenden Arzt.– Gut an Patientenakten-Architektur mit zentraler DB
anpassbar.
• Nachteile:– Komplizierte Kommunikationsprozeduren.– Viele TTP-Dienste und geheime Schlüssel benötigt.
![Page 27: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/27.jpg)
Pommerening, 12. September 2006 27
Ergebnisse I• TMF-Modelle A und B von den
Datenschutzbeauftragten positiv bewertet– (Arbeitskreis Wissenschaft und AK Gesundheit der
Datenschutzbeauftragten des Bundes und der Länder)
• Modell A in einem Forschungsnetz implementiert.– Weitere in Vorbereitung oder Einführung.
• Modell B von mehreren Netzen adaptiert;– Implementierungen in Arbeit.
![Page 28: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/28.jpg)
Pommerening, 12. September 2006 28
Ergebnisse II
• Die TMF bietet Software-Tools für die TTP-Dienste.
• Zugehörige Policies, Musterverträge, Mustereinwilligungserklärungen von der TMF erhältlich (frei für Mitglieder).
• Buchveröffentlichung in TMF-Schriftenreihe:– Reng/Debold/Specker/Pommerening:
»Generische Lösungen zum Datenschutz für die Forschungsnetze in der Medizin«.
![Page 29: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/29.jpg)
Pommerening, 12. September 2006 29
![Page 30: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/30.jpg)
Pommerening, 12. September 2006 30
TMF-Schriftenreihe• Band 1: Generisches Datenschutzkonzept• Band 2: Rechtsgutachten Biomaterialbanken
(erschienen August 2006)• Band 3: Musterlösungen zur Patienteneinwilligung
(ca Oktober 2006)• Band 4: Datenschutzkonzept für Biomaterialbanken
(ca Dezember 2006)• Band 5: Qualitätsmanagement für Biomaterialbanken
(2007)• Band 6: Datenqualität in der medizinischen
Forschung (ca Dezember 2006)
![Page 31: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/31.jpg)
Pommerening, 12. September 2006 31
Inhalt
1. Grundlagen von Anonymisierung und Pseudonymisierung
2. Methoden und Szenarien
3. Die Pseudonymisierungsmodelle der TMF
4. Diskussion und Ausblick
![Page 32: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/32.jpg)
Pommerening, 12. September 2006 32
Diskussion (I)
• Die TMF-Modellarchitektur (Varianten A und B) bietet Möglichkeiten zum Aufbau zentraler Datenpools für medizinische Forschung und Versorgungsforschung, die– mit der deutschen und europäischen
Datenschutzgesetzgebung verträglich sind,– die Patientenrechte respektieren,– vielfältige Situationen abdecken.
• Die Pseudonymisierungsszenarien wirken komplex, aber funktionieren transparent, sobald sie etabliert sind.
![Page 33: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/33.jpg)
Pommerening, 12. September 2006 33
Diskussion (II)• Der Transfer zu anderen Anwendungen im
Gesundheitswesen ist möglich und zu empfehlen.– Die TTP-Dienste für die Sekundärnutzung von
Gesundheitsdaten sollten in die Architektur des Gesundheitswesens eingebaut werden(geeignet angepasste Versionen der TMF-Modelle).
• TMF-Modell B für eine dezentrale Architektur des Gesundheitswesens eher geeignet.
• TMF-Modell A eher für eine zentrale Architektur.• Für Biomaterialbanken wurden analoge Modelle
entwickelt.
![Page 34: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/34.jpg)
Pommerening, 12. September 2006 34
Anwendungserfahrungen
• Workshop 9. 9. 2005 mit 14 Netzen.• Ergebnisse:
– Begutachtung des Datenschutzkonzepts (meist) zügig und positiv.
– Anpassung an Modelle A/B oft schwierig, nicht alle Anforderungen abgedeckt.
– Implementierung oft langwierig und aufwendig.
• Fazit: Überarbeitung des generischen Datenschutzkonzepts bis Anfang 2007.
![Page 35: Pseudonymisierung in der medizinischen Forschung und Sekundärnutzung von Patientendaten Klaus Pommerening, Mainz Workshop AG DGI, 12. September 2006 GMDS](https://reader036.vdocuments.pub/reader036/viewer/2022062622/55204d6549795902118bae39/html5/thumbnails/35.jpg)
Pommerening, 12. September 2006 35
Revision des TMF-DatenschutzkonzeptsZiele:• Mehr Anwendungsszenarien explizit
beschreiben.• Bessere Skalierbarkeit,
Verhältnismäßigkeitskriterien.• Modularer Aufbau.• Verzahnung mit Versorgung und klinischen
Studien besser berücksichtigen.• Etablierung zentraler Dienstleistungen.Internationalisierung als separates Projekt.