Sie druckt unser Geld und unsere Ausweise, was aber macht die Bundesdruckerei bei einem medizinischen Fachkongress? Eine interessante Frage, die Dr. Hilgers, Jurist und Informatiker, in seinem Vortrag bei DiaTec beantwortete, indem er einen Service vorstellte, den die Abteilung „Trusted Data Solutions“ der Bundesdruckerei seit einiger Zeit anbietet.
Die Bundesdruckerei gilt als höchste Institution in Deutschland, wenn es um Sicherheit bei der Erstellung von Dokumenten geht. Durch diese Expertise und die unmittelbare Zugehörigkeit zur Bundesregierung kann die Bundesdruckerei als Treuhänder zwischen Datenlieferant, z.B. ein Krankenhaus oder eine Arztpraxis, und dem Datenabnehmer, z.B. eine bundesnahe Gesundheitsstiftung wie das Robert-Koch-Institut, fungieren und sicherstellen, dass Daten, insbesondere Gesundheitsdaten, sicher transportiert, gelagert und wieder zur Verfügung gestellt werden.
Grundsätzlich gilt dabei: Big Data Analysen und andere Auswertungen personenbezogener Daten sind nur dann rechtskonform, wenn sie pseudonymisiert werden. Pseudonymisierung in der medizinischen Forschung ist im Gegensatz zur Anonymisierung deshalb notwendig, um eine Rückverfolgbarkeit sicherzustellen. Das Leistungsspektrum der Bundesdruckerei und im speziellen der Trusted Data Abteilung umfasst deshalb neben der grundsätzlichen Funktion als Vertrauensstelle auch einen Pseudonymisierungsdienst (PSN), d.h. ein Verschlüsselungsverfahren, bei dem Identifikationsdaten durch ein Kennzeichen (Pseudonym) ersetzt werden, weiterhin die Filterung und Validierung der Datensätze (juristisch, technisch und nach Empfänger), dann die sichere Verwahrung und das Verwaltung der personenbezogenen Daten und schließlich eine gesicherte Weitergabe der PSN an den Datenempfänger. Auch die gesicherte Re-Identifizierung der Daten ist gewährleistet und wenn keine Re-Identifizierung gewünscht ist, werden die Datensätze unwiederbringlich gelöscht.
Der Datenempfänger ist durch die Entkopplung persönlicher Daten von inhaltlichen Daten (= funktionale Trennung) nicht in der Lage, einen Personenbezug herzustellen – dies gewährleistet die Vertrauensstelle. Grundsätzlich gilt: In der gesamten Kette werden die Rechte der Betroffenen entsprechend der DSGVO gewahrt durch Etablierung eines technisch, prozessual und juristisch transparenten Verfahrens. Natürlich gibt es auch Herausforderungen beim Datentransfer und der Datennutzung: Das Quellsystem muss Datensätze mit identifizierbaren und sachlichen Daten liefern – hört sich einfach an, ist aber bei der Heterogenität der verwendeten Softwaresysteme nicht immer gegeben.
Zukünftig sollen, wie im DVS-Gesetz vorgesehen, die Gesundheitsdaten aller Versicherten in Deutschland an eine vertrauenswürdige Stelle geliefert werden (voraussichtlich wird dies das BfArM sein), um sie im Sinne von Versorgungsforschung auswerten zu können. Da sind Trusted Data Solutions gefragt, interessant dürfte dieser Service auch für die Diabetologie werden, denn die DDG arbeitet an einer elektronischen Diabetesakte (eDA), zu der Prof. Rose von der Charité Details vorstellte. Auch dabei geht es vor allem darum, wie und wo die Daten transportiert und gelagert werden, um gezielt für die diabetologische Forschung auswerten zu können.
Unser Fazit: Digitale Technologien im Gesundheitswesen haben die Anforderungen an den Umgang mit Patientendaten verändert, sie müssen schnell, dezentral, sicher und datenschutzkonform für alle Beteiligten verfügbar sein. Als Sicherheitsunternehmen des Bundes sorgt die Bundesdruckerei mit ihren Dienstleistungen und Technologien für den Schutz sensibler Daten und Infrastrukturen.
DiaTec weekly – Feb 7, 20