Von der Einwilligung bis zur Pseudonymisierung: die Arbeit der Treuhandstelle

Bereits seit zehn Jahren gibt es an der Unimedizin Greifswald eine unabhängige Treuhandstelle (THS). Während das Datenintegrationszentrum (DIZ) mit medizinischen Daten arbeitet, liegt der Schwerpunkt einer Treuhandstelle bei den identifizierenden Daten. Christopher Hampf ist Entwickler an der THS und erklärt, mit welchen Aufgaben sich eine klassische Treuhandstelle beschäftigt und wie sie eine vernetzte medizinische Forschung über mehrere Standorte in Deutschland ermöglichen wird.

Herr Hampf, wer arbeitet eigentlich in der Greifswalder Treuhandstelle?

Wir sind ein gemischtes Team aus Entwicklern und Datenprozessmanagern. Zu unseren Schwerpunkten gehört zum einen die Entwicklung spezialisierter Softwares, die dem besseren Schutz von Patientendaten dienen. Zum anderen sind wir an Forschungsprojekten wie medizinischen Studien beteiligt und übernehmen dort die Verwaltung von identifizierenden Daten, die Pseudonymisierung dieser und das elektronische Einwilligungsmanagement. Hier kommen dann unsere Softwarelösungen zum Einsatz. Die Datenprozessmanager prüfen die identifizierenden Daten und Einwilligungen der Patienten oder setzen Widerrufe um, zum Beispiel wenn bestimmte Daten gelöscht oder Datenverknüpfungen aufgehoben werden müssen. Wichtig zu betonen ist, dass wir nicht mit den medizinischen, sondern den identifizierenden Daten wie Vorname, Nachname, Geburtsdatum arbeiten. Wir haben also keine Diagnosedaten oder Blutwerte.

Kann das nicht auch der oder die Forschende selbst machen?

Die Gewaltenteilung sieht vor, dass identifizierende Daten von den medizinischen Daten getrennt verwaltet werden. Einsicht in alle Daten hat nur die behandelnde Ärztin oder der behandelnde Arzt. Die Pseudonymisierung dient gerade dazu, dass identifizierende Daten nicht neben den medizinischen Daten beim Forschenden liegen. Daher ist es wichtig, dass Derjenige, der die Pseudonyme vergibt, nicht auch Derjenige ist, der damit forscht. Deshalb läuft das über eine unabhängige Einrichtung wie der Treuhandstelle. Dabei pseudonymisieren wir nicht nur, sondern führen Daten mittels unterschiedlicher Verfahren zusammen – je nach Bedarf der Forschenden.

Können Sie ein solches Verfahren beispielhaft beschreiben?

Ein klassisches Verfahren ist das Record Linkage basierend auf den identifizierenden Daten. Dabei erkennen wir Datensätze, die zur selben Person gehören – selbst dann, wenn die Daten Unterschiede aufweisen, zum Beispiel durch unterschiedliche Schreibweisen, Tippfehler oder fehlende Angaben bei der Erfassung der Patientendaten. Mit dem Privacy-Preserving Record Linkage gehen wir noch einen Schritt weiter: Die Daten werden so codiert, dass sie nicht mehr direkt identifizierbar sind – man kann aber trotzdem Unterschiede feststellen und Vergleiche herstellen, weil man erkennt, welche von diesen Daten zur selben Person zugehörig sind. Dieses Verfahren kommt in übergreifenden Forschungsvorhaben zum Einsatz, in denen besondere Datenschutzvorgaben gemacht werden und regelhaft keine Klardaten den Standort verlassen sollen. Die Treuhandstelle erhält dann nur diese codierten Daten für den Abgleich.

Und das machen Sie mit den personenbezogenen Daten, die innerhalb unseres Krankenhauses erfasst werden?

Natürlich sind wir Ansprechpartner für die Institute und Kliniken, die die Daten aufnehmen oder die für Forschungsvorhaben eine datenschutzkonforme Speicherung und Nutzung personenidentifizierender Daten planen. Wir sind aber auch Partner in zahlreichen deutschlandweiten und einzelnen internationalen Projekten, zum Beispiel das Deutsche Zentrum für Herz-Kreislauf-Forschung, die NAKO Gesundheitsstudie oder das Baltic Fracture Competence Center. Ein wichtiger Player ist auch die Medizininformatik-Initiative, kurz MII. Das ist ein Zusammenschluss aller Universitätskliniken in Deutschland und weiteren Partnern wie Forschungseinrichtungen. Die große Idee der MII ist, dass an allen Unikliniken sowohl Datenintegrationszentren als auch unabhängige Treuhandstellen etabliert werden. Und wenn überall die gleichen Strukturen vorhanden sind, kann man perspektivisch auch standortübergreifend Daten zusammenführen. Dafür hat die MII Konzepte erarbeitet. Wir waren unter anderem bei der Konzeption von übergreifenden Treuhandstellen beteiligt und haben den Lösungsbaustein fTTP technisch entwickelt und mit unseren Softwarelösungen praktisch implementiert. 

Was soll das sein?

Es steht für federated Trusted Third Party. Es geht darum, ein Privacy-Preserving Record Linkage standortübergreifend zu ermöglichen – also Daten zu einer Person aus verschiedenen Krankenhäusern oder Projekten zusammenzuführen, ohne dass identifizierende Daten die Standorte verlassen müssen. Ein Patient kann durchaus in verschiedenen Einrichtungen in Behandlung sein. Und da ist es natürlich essenziell, möglichst alle Informationen zusammenzubringen.

Für welche Patientinnen und Patienten ist das besonders wichtig?

Menschen mit seltenen Erkrankungen sind beispielsweise bei verschiedenen Ärzten in Behandlung bis sie eine Diagnose bekommen. Die Daten werden dann über die jeweiligen Treuhandstellen, zum Beispiel an den verschiedenen Universitätskliniken, codiert und an die fTTP übermittelt. Diese führt dann den Abgleich der codierten Daten durch und vergibt entsprechende Pseudonyme – und zwar so, dass dieselbe Person immer dasselbe Pseudonym bekommt. Die Forschenden erhalten von den Kliniken die medizinischen Daten und die Pseudonyme, womit geforscht werden kann. Werden dabei Zufallsbefunde gemacht, so ermöglicht die Pseudonymisierung, dass mithilfe der lokalen und übergreifenden Treuhandstellen, wieder auf den Patienten geschlossen werden kann. Oder wenn eine Person für eine andere Studie infrage kommt, kann diese gezielt angesprochen werden.

Was bedeutet das für die Forschenden, die ein Interesse an diesen Daten haben?

Dass sie, wenn sie die Daten abrufen, nur medizinische Daten mit dem Pseudonym bekommen. Anhand des Pseudonyms werden sie aber sehen, dass mehrere Datensätze zur selben Person zugehörig sind. Dabei können die Datensätze aus verschiedenen Einrichtungen kommen. Andernfalls würde der Datensatz des Forschenden Dubletten enthalten, also Fragmente zur selben Person würden dem Forschenden als verschiedene Personen angezeigt werden.