Medizinische Daten in Forschungsprojekten datenschutzrechtlich konform erfassen – ein praktisches Beispiel (Teil 2/2)

  • Wednesday, Sep 11, 2019

Im ersten Teil unseres Blogs haben wir beschrieben welches Datenschutzkonzept bei den Projekten der Stiftung Präventivmedizin des Kuratoriums für Heimdialyse (KfH-Stiftung) seit 2009 zum Einsatz kommt. In diesem Teil möchten wir etwas genauer darstellen, wie der zentrale Pseudonymisierungsdienst arbeitet.
Prinzipiell muß festgehalten werden, dass an physikalisch unterschiedlichen Orten sowohl datenverarbeitende als auch datenspeichernde Systeme zum Einsatz kommen. Wir unterscheiden hier die Datenquellen, also handelsübliche PC-Systeme für die Dateneingabe und Datendarstellung, den zentralen Pseudonymisierungsdienst (einen Webserver) und den Anwendungsserver, auf dem die medizinischen Daten abgelegt werden (ein weiterer unabhängiger Server).
Der Pseudonymisierungsserver ist dem Anwendungsserver vorgeschaltet, so dass der Browser patientenbezogene Daten nur noch über den Pseudonymisierungsserver anfordern kann. HTML-Formulare ohne patientenbezogene Daten werden hingegen direkt vom Anwendungsserver angefordert, um größtmögliche Verarbeitungsgeschwindigkeit des Gesamtsystems zu erzielen.
Die erste Pseudonymisierung erfolgt im dokumentierenden Zentrum anhand einer Patientenliste. In dieser Liste wird eine für den zu pseudonymisierenden Patienten eindeutige, zentrumsspezifische Patienten-ID (PID) mit den patientenidentifizierenden Daten (IDAT) abgelegt. Diese PID wiederum wird in der Datenbank zusammen mit den medizinischen Daten (MDAT) dokumentiert.
Vor Speicherung der Daten wird dann durch die browserbasierte Applikation zunächst eine zufällige Zeichenkette generiert, mittels eines öffentlichen Schlüssels verschlüsselt, an den Datenbankserver gesendet und mit Hilfe des dort vorhandenen privaten Schlüssels entschlüsselt.
Diese Zeichenkette dient nun clientseitig dazu, den medizinischen Datensatz synchron zu verschlüsseln – es entsteht ein cryptifizierter medizinischer Datensatz (MDATcr) für den zu speichernden Patienten. Dieser MDATcr wird - mit der zugehörigen PID versehen - an einen zentralen Pseudonymisierungsserver übermittelt, der – wiederum synchron – die Umschlüsselung der PID zum Pseudonym (PSN) vornimmt. MDATcr und PSN werden danach an den zentralen Datenbankserver weiter geleitet. Dieser entschlüsselt mit Hilfe der vorher übersandten, zufällig generierten Zeichenkette den MDATcr und speichert die entschlüsselten medizinischen Daten in Verbindung mit dem PSN.
Die Darstellung der zentral gespeicherten medizinischen Daten findet durch einfaches „Zurücklaufen“ des Verschlüsselungsweges statt. Bei Aufruf eines Patienten durch Eingabe der PID in der browserbasierten Applikation wird die PID durch den Pseudonymisierungsdienst zunächst in ein PSN umgeschlüsselt. Anhand dieses PSN werden dann die medizinischen Daten in der zentralen Datenbank identifiziert, zusammengestellt, verschlüsselt und zurück an den Pseudonymisierungsdienst gesendet, der das PSN zur PID, nicht aber den medizinischen Datensatz entschlüsselt. Dieser wird erst lokal im Zentrum in ein lesbares Format umgewandelt und dargestellt.

Wer mehr über das Datenschutzkonzept B der TMF erfahren möchte, dem empfehlen wir die folgende Literatur:
1. Dtsch Arztebl 2003; 100: A 2134, 2137 Heft 33
2. Reng, Debold, Specker, Pommerening. Generische Lösungen zum Datenschutz für die Forschungsnetze in der Medizin. ISBN 978-3-939069-04-1