Nutzung von Patientendaten im Rahmen von AKIM

cemsiis.akim.meduniwien.ac.at

Nutzung von Patientendaten im Rahmen von AKIM

Rahmenbedingungenfür die Nutzung von Patientendatenim Rahmen der AKIM-WissenschaftsplattformenVersion 1.2Datum: 22. Juni 2009


Rahmenbedingungen für die Nutzung von Patientendaten im Rahmen der AKIM-WissenschaftsplattformenPräambelIn den AKIM-Wissenschaftsplattformen werden neben medizinischen Daten und Administrativdatenauch Patientenstammdaten verfügbar sein. Je nach Verwendungssituation und Zugriffsberechtigungwerden die Datensätze in den AKIM-Wissenschaftsplattformen entweder mit vollem Personenbezug(insbes. mit dem Namen der/des Patientin/Patienten), pseudonymisiert oder anonymisiert verwendetwerden können. Im Interesse der Datenschutzrechte der PatientInnen ist ein strengerMaßstab bei der Beurteilung der Erforderlichkeit der Verwendung von Daten mit vollemPersonenbezug oder in pseudonymisierter Form, anzulegen. Insbesondere dann, wenn die wissenschaftlichtätigen MitarbeiterInnen nicht in die ärztliche Behandlung von PatientInnen eingebundensind und diese daher nicht namentlich kennen (z.B. im Rahmen von multizentrischen Studien). Indiesem Fall sollten Daten nur pseudonymisiert zur Verfügung stehen.In jenen AKIM-Wissenschaftsplattformen, in denen kein Personenbezug zur Verfügung stehen solloder darf (z.B. das multizentrische Studiensystem), werden die Daten nur mit indirektem Personenbezuggespeichert.Durch die folgenden Rahmenbedingungen soll der datenschutzrechtskonforme Umgang mitpersonenbezogenen Gesundheitsdaten für den Bereich der AKIM-Wissenschaftsplattformen nähergeregelt und sichergestellt werden.TerminologieIm Sinne des DSG 2000 bedeuten folgende Begriffe: Personenbezogene Daten, § 4 Z 1Dabei handelt es sich um Angaben über Betroffene, deren Identität bestimmt oder bestimmbarist; Indirekt personenbezogen Daten, § 4 Z 1Nur indirekt personenbezogen sind Daten dann, wenn für einen Auftraggebern, Dienstleisternoder Empfänger einer Übermittlung, der Personenbezug der Daten derart ist, dass diese/r dieIdentität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann.Es handelt sich somit um pseudonymisierte Daten, welche die/der jeweilige Verwender/in nichtre-identifizieren darf und es plausibel ist, dass diese eine Re-Identifizierung auch nicht versuchenwerden, da dies für den Verwendungszweck in keiner Weise erforderlich ist und faktisch (z.B.aufgrund der verwendeten Mechanismen) auch sehr schwer möglich wäre. Sensible Daten (besonders schutzwürdige Daten), § 4 Z 2Das sind Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politischeMeinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheitoder ihr Sexualleben. Auftraggeber, § 4 Z 4Sind natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft(…), wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffenhaben, Daten für einen bestimmten Zweck zu verarbeiten, und zwar unabhängig davon, ob siedie Verarbeitung selbst durchführen oder hiezu einen anderen heranziehen. (…)Version 1.2 Prinz / Wrba Seite 2 von 7


Rahmenbedingungen für die Nutzung von Patientendaten im Rahmen der AKIM-Wissenschaftsplattformen Dienstleister, § 4 Z 5Sind natürliche oder juristische Personen, Personengemeinschaften oder Organe einerGebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten,die ihnen zur Herstellung eines aufgetragenen Werkes überlassen wurden, verwenden. Datei, § 4 Z 6Strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind. Verarbeiten von Daten, § 4 Z 9Das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen,Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen, Sperren, Löschen, Vernichten oderjede andere Art der Handhabung von Daten einer Datenanwendung durch den Auftraggeber.Unabhängig von der tatsächlich genutzten Speicherform, werden die in den AKIM-Wissenschaftsplattformengehaltenen Daten sprachlich wie folgt unterschieden:PatientenstammdatenDarunter versteht man jene traditionellen Identifikationen der/des Patientin/Patienten, mithilfederer eine Person üblicherweise eindeutig beschrieben wird. Das sind bei PatientInnen vor allemVornamen, Geburtsdatum, Geschlecht, usw.Die Patientenstammdaten sind für sich allein genommen noch keine „sensiblen Daten“ (Datenüber die religiöse Überzeugung, Gesundheit, Gewerkschaftszugehörigkeit, etc.). Erst gemeinsammit weiteren Administrativdaten oder medizinischen Daten können sie insgesamt „sensibleDaten“ darstellen.Administrative DatenDarunter versteht man jene Daten, die durch administrative Vorgänge entstehen (z.B. Aufnahme,Entlassung) und bereits sensible Daten im Sinne des DSG 2000 enthalten können, wenn sieHinweise auf einen Krankenhausaufenthalt bieten (z.B. Aufnahmezahl, aufnehmende Klinik bzw.Abteilung, Entlassungscode).Medizinische DatenDarunter versteht man jene multimedialen Daten, die im Zuge der Aufnahme, Behandlung oderBetreuung der PatientInnen entstehen. Dabei ist irrelevant, ob die Daten im Zuge einer„Behandlungs-“ oder „Wissenschaftstätigkeit“ erhoben werden. Medizinische Daten sind so abzuspeichern,dass alleine über deren Inhalt kein Patientenbezug hergestellt werden kann.Auch ohne die zugehörigen Stammdaten können medizinische Daten einen direkten Personenbezugaufweisen (z.B. Patientenangaben am Bild, Nennung des Patientennamens im Befundtext).Diesfalls muss die Applikation die/den Benutzer/in, welche zur Datenaufnahme in die Plattformberechtigt ist, in geeigneter Form darauf aufmerksam machen, dass ein derartiger Patientenbezugzu entfernen ist.Voll personenbezogene PatientendatenMedizinische und/oder administrative Daten einer/eines Patientin/Patienten samt seinenStammdaten.Version 1.2 Prinz / Wrba Seite 3 von 7


Rahmenbedingungen für die Nutzung von Patientendaten im Rahmen der AKIM-WissenschaftsplattformenAnonymisierte Patientendaten:Medizinische und/oder administrative Daten einer/eines Patientin/Patienten ohne Stammdaten.Dazu müssen jene Daten der PatientInnen entfernt oder derart verändert werden, dass dieEinzelangaben über persönliche oder sachliche Verhältnisse nicht mehr (oder nur mit einemunverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft) einer bestimmten oderbestimmbaren Person zugeordnet werden können.Pseudonymisierte Patientendaten:Anonymisierte medizinische und/oder administrative Patientendaten, die zusätzlich durch einPseudonym gekennzeichnet werden. Das Pseudonym selbst darf keine Angaben zur Identitätder/des Patientin/Patienten enthalten. Im Gegensatz zu anonymisierten Patientendaten kannaber das Pseudonym durch befugte Personen wieder aufgelöst werden und somit der eindeutigePatientenbezug wieder hergestellt werden.Gesetzliche RahmenbedingungenIm Wesentlich ist hier das Datenschutzgesetz (DSG 2000) anzuwenden.Patientendaten fallen als Gesundheitsdaten unter „besonders schutzwürdige“ Daten, zu derenNutzung im DSG 2000 u.a. folgendes angeführt wird:§ 46. (1) Für Zwecke wissenschaftlicher oder statistischer Untersuchungen, die keine personenbezogenenErgebnisse zum Ziel haben, darf der Auftraggeber der Untersuchung alle Datenverwenden, die …1. öffentlich zugänglich sind oder2. der Auftraggeber für andere Untersuchungen oder auch andere Zwecke zulässigerweiseermittelt hat oder …3. für den Auftraggeber nur indirekt personenbezogen sind.(5) Auch in jenen Fällen, in welchen … die Verwendung von Daten für Zwecke der wissenschaftlichenForschung oder Statistik in personenbezogener Form zulässig ist, ist der direktePersonsbezug unverzüglich zu verschlüsseln, wenn in einzelnen Phasen der wissenschaftlichenoder statistischen Arbeit mit nur indirekt personenbezogenen Daten das Auslangengefunden werden kann. … der Personsbezug der Daten ist gänzlich zu beseitigen, sobald erfür die wissenschaftliche oder statistische Arbeit nicht mehr notwendig ist.Dabei gilt:§ 46 Z 8 "Verwenden von Daten": jede Art der Handhabung von Daten einer Datenanwendung, alsosowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten;§ 46 Z 9 "Verarbeiten von Daten": das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen,Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen(Z 11), Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von Dateneiner Datenanwendung durch den Auftraggeber oder Dienstleister mit Ausnahme desÜbermittelns (Z 12) von Daten;Version 1.2 Prinz / Wrba Seite 4 von 7


Rahmenbedingungen für die Nutzung von Patientendaten im Rahmen der AKIM-Wissenschaftsplattformen§ 46 Z 10 "Ermitteln von Daten": das Erheben von Daten in der Absicht, sie in einer Datenanwendungzu verwenden;§ 46 Z 11 "Überlassen von Daten": die Weitergabe von Daten vom Auftraggeber an einen Dienstleister;§ 46 Z 12 "Übermitteln von Daten": die Weitergabe von Daten einer Datenanwendung an andereEmpfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister, insbesondereauch das Veröffentlichen solcher Daten; darüber hinaus auch die Verwendung von Daten fürein anderes Aufgabengebiet des Auftraggebers;Organisatorische RahmenbedingungenAlle Angehörigen der Medizinischen Universität Wien (MUW), die über eine gültige MUW-Benutzer-ID verfügen, haben die Möglichkeit, die AKIM-Wissenschaftsplattformen nach Maßgabe der ihnenerteilten Zugriffsberechtigungen zu nutzen. Darunter sind jene Personen zu verstehen die ein aktivesBeschäftigungsverhältnis zur MUW aufweisen, einschließlich jene Personen, die über Drittmittel ander MUW angestellt sind, sowie Studierende der MUW.Während die individuellen, plattformspezifischen Berechtigungen in den jeweiligen Plattformenfestgelegt werden, darf der Zugriff auf Patientendaten mit vollem Personenbezug in den Applikationennur jenen Personen gewährt werden, die diese im Rahmen von wissenschaftlichen Projektenoder statistischen Untersuchungen benötigen und in einem Dienstverhältnis zur MUW stehen. Diesgilt insbesonders für ÄrztInnen, die in die Behandlung der jeweiligen PatientInnen eingebunden sind.Sobald der Personenbezug jedoch nicht mehr notwendig ist, ist mit pseudonymisierten Daten weiterzu arbeiten.Teilweise ist es auch erforderlich, dass Personen externer Einrichtungen z.B. im Rahmen vonmultizentrischen Forschungsprojekten Zugriff auf die AKIM-Wissenschaftsplattformen erhalten.Personen externer Einrichtungen ist der Zugang zu medizinischen Daten samt Patientenstammdatenaber nur dann zu gewähren, wenn sie in einem Forschungsprojekt als Dienstleister/in der MUWagieren. In allen anderen Fällen ist Sorge zu tragen, dass ihnen nur medizinische Daten in indirektpersonenbezogener Form zugänglich gemacht werden. Dies ist z.B. dann der Fall, wenn die Daten nurmehr ausschließlich für statistische Auswertungen verwendet werden.Nutzungsbedingungen1. Da in den Wissenschaftsplattformen sensible Daten gespeichert werden, sind jedenfalls geeigneteZugriffsrechte vorzusehen, um die medizinischen Daten samt Stammdaten (= vollpersonenbezogene Patientendaten) nur festgelegten Personen bzw. Abteilungen (OE) verfügbarzu machen. Allen anderen Benutzern der Wissenschaftsplattformen dürfen die Daten nur inanonymisierter bzw. indirekt personenbezogener Form zugänglich gemacht werden.2. Stehen der/dem Benutzer/in infolge des ihr/ihm erteilten Zugriffsrechts über eine Applikationder Wissenschaftsplattformen auch die Patientenstammdaten zur Verfügung, so muss dieApplikation der/dem berechtigten Benutzerin/Benutzer vor der erstmaligen Nutzung eineErklärung anzeigen, mit deren Bestätigung die/der Benutzer/in angibt, alle nachfolgendenZugriffe auf voll personenbezogene Patientendaten nur im Rahmen eines wissenschaftlichenVersion 1.2 Prinz / Wrba Seite 5 von 7


Rahmenbedingungen für die Nutzung von Patientendaten im Rahmen der AKIM-WissenschaftsplattformenProjektes oder einer statistischen Untersuchung zu tätigen und die eingesehenen Daten zukeinem anderen Zweck weiter zu verwenden oder weiterzugeben.3. Die/Der Benutzer/in muss diese Erklärung in geeigneter Weise bestätigen. Nur nach erfolgterBestätigung durch die/den Benutzer/in wird der Zugriff auf die Patientenstammdaten ermöglicht.a. Die Bestätigung bzw. Ablehnung dieser Erklärung durch die/den Benutzer/in ist von derApplikation zu protokollieren und für Kontrollzwecke zumindest für die Dauer desBestehens der Nutzungsberechtigung sowie noch ein Jahr darüber hinaus an der MUWzu archivieren.b. Die Applikation kann eine Zeitspanne vorsehen, innerhalb derer eine bereits erfolgteBestätigung der Erklärung einer/eines Benutzerin/Benutzers als ausreichend betrachtetwird. Nach Ablauf der Zeitspanne muss die Erklärung von der/vom Benutzer/in erneutbestätigt bzw. abgelehnt werden. Diese Zeitspanne muss in jeder Applikation zentralkonfigurierbar sein und wird von der MUW vorgegeben.c. Bei einer Ablehnung durch die/den Benutzer/in dürfen keine Patientenstammdatenangezeigt werden, wobei die Anzeige und Nutzung der Patientendaten in pseudonymisierteroder anonymisierter Form weiterhin zulässig ist.4. Medizinische Daten dürfen keinen direkten Personenbezug (z.B. Patientenangaben am Bild,Nennung des Patienten im Befundtext) beinhalten. Dieser ist jedenfalls zu entfernen.5. Werden von der Applikation Mechanismen zum Entfernen des Personenbezugs in denmedizinischen Daten angeboten (z.B. Entfernen des Patientennamens in Bildern), so ist auch eineinterimistische Speicherung solcher medizinischer Daten mit enthaltenem Personenbezug in denWissenschaftsplattformen zulässig. Nach der Speicherung ist jedoch von der/vom Benutzer/inSorge zu tragen, dass der Personenbezug entfernt wird. Außerdem muss sichergestellt werden,dass solche Daten vor der Entfernung des Personenbezugs nicht für die allgemeine Nutzung zurVerfügung stehen.6. Wenn die/der Benutzer/in den Zugriff auf Patientenstammdaten erhalten hat, hat sie/er dasRecht, medizinische Daten den entsprechenden PatientInnen zuzuordnen (z.B. Speicherung undZuordnung eines Bildes zur/zum Patientin/Patienten). Die Applikation muss allerdings sicherstellen,dass die medizinischen Daten auch mit indirektem Personenbezug zur Verfügung stehen.7. Für die Zuordnung oder Erfassung von medizinischen Daten zu PatientInnen kann die Applikationeine Patientensuche unterstützen, deren Ziel die eindeutige Identifikation der/desPatientin/Patienten ist. Diese Suche kann übera. eindeutige Identifikationen (z.B. Patienten- oder Fallidentifikation), oderb. allgemeine Suchabfragen erfolgen. Diese sind nur dann zulässig, wenn die Suchangaben aufPatientenstammdaten beschränkt werden und die Ergebnisliste nur eingeschränkte, definierteStammdaten der PatientInnen (wie Zunamen, Vornamen, Geburtsdatum, Geschlecht) enthält.Version 1.2 Prinz / Wrba Seite 6 von 7


Rahmenbedingungen für die Nutzung von Patientendaten im Rahmen der AKIM-Wissenschaftsplattformen8. Generell sind Suchabfragen auf Stammdaten und medizinischen Daten nur dann zulässig, wennes sich entwedera. um pseudonymisierte Daten handelt, oderb. um personenbezogene Daten handelt und die Benutzer entsprechend Punkt 1 dieserNutzungsbedingungen die entsprechenden Zugriffsrechte auf diese besitzen.9. Der Export bzw. jedwede Übermittlung von Daten aus den Wissenschaftsplattformen (z.B. auf dielokale Festplatte) darf jedenfalls nur in pseudonymisierter Form erfolgen (siehe auch ITSC-Handbuch, „Speicherung personenbezogener Daten“, v 2.0, Punkt II/13).10. Vor jedem Export- oder Übermittlungsvorgang ist die/der Benutzer/in von der Applikation ingeeigneter Form darauf aufmerksam zu machen, dass auch mit den pseudonymisierten Gesundheitsdatenvertraulich umzugehen ist. Die/Der Benutzer/in muss den Hinweis bestätigen. Erstdanach darf der Vorgang tatsächlich durchgeführt werden und ist von der Applikation zu protokollieren.11. Sollte aus triftigen Gründen das Exportieren oder Übermitteln nicht pseudonymisierter medizinischerDaten aus der Applikation notwendig sein, so bedarf dieser Vorgang einer gesondertgesetzten Berechtigung. Vor jeder Durchführung muss die/der Benutzer/in eine Begründung fürdas Erfordernis des vollen Personenbezugs angeben. Jeder Vorgang muss von der Applikationgemeinsam mit der angegebenen Begründung entsprechend protokolliert werden.12. Konform mit § 14 Abs. 2 Z 7 DSG 2000 ist von der Applikation ein Protokoll über die tatsächlichdurchgeführten Verwendungsvorgänge, wie Änderungen, Abfragen und Übermittlungen, zuführen.13. Die Protokolldaten sind für Kontrollzwecke gemäß § 14 Abs. 5 DSG 2000 für die Dauer vonmindestens 3 Jahren aufzubewahren. Diese Daten dürfen nur gemäß § 14 Abs. 4 DSG 2000 verwendetwerden. Aus den Protokolleinträgen muss sich ermitteln lassen, welche/r Benutzer/in, zuwelchem Zeitpunkt auf welche Daten zugegriffen hat.14. Da am AKH/MUW ein umfangreicher Patientenstand vorliegt, werden in Anwendung des § 14Abs. 1 DSG 2000 unter „Bedachtnahme des Stands der technischen Möglichkeiten und derwirtschaftlichen Vertretbarkeit“ für Suchabfragen folgende Protokollierungsverfahren vorgesehen:a. Werden im Ergebnis von Suchabfragen nach PatientInnen von der Applikationen nur eingeschränkte,definierte Stammdaten der PatientInnen (wie Zunamen, Vornamen,Geburtsdatum, Geschlecht) angezeigt, dann kann statt der erzielten Treffermenge auch nurdie durchgeführte Suchabfrage protokollieren werden, wenn die Protokollierung derTreffermenge zu übermäßiger Systembelastung führen würde.b. Werden weitere Stammdaten, andere administrative oder klinische Daten einer/einesPatientin/Patienten abgerufen oder erfolgt ein Direktzugriff auf diese Daten mit Hilfe einerIdentifikation der/des Patientin/Patienten, dann ist dieser Datenzugriff in geeigneter Form zuprotokollieren.Version 1.2 Prinz / Wrba Seite 7 von 7

Weitere Magazine dieses Users
Ähnliche Magazine