Ein Patient erscheint in einer an den Studien der Pädiatrischen Onkologie teilnehmenden Kliniken mit dem Verdacht auf eine bösartige Erkrankung. Hier wird die Initialdiagnostik durchgeführt und je nach Schwere des Falls auch schon eine Therapie begonnen. Materialproben, Röntgenbilder usw. werden zur Absicherung der Diagnose an Referenzzentren (z. B. Labor) übersandt. Bei positivem Befund wird der Patient an das Kinderkrebsregister gemeldet sowie (nach der nötigen Einverständniserklärung) in eine Studie aufgenommen und an die Studienleitung gemeldet. Erhält das Kinderkrebsregister nach einer Wartezeit nicht die Einverständniserklärung nachgereicht, wird der Fall dort anonymisiert. Ebenso werden Fälle anonymisiert, bei denen später die Einwilligung widerrufen wird.
Zur sicheren Identifizierung des Patienten, z. B. zur korrekten Zuordnung von Laborproben, ist ein eindeutiges, nach Möglichkeit nichtsprechendes, Identifikationsmerkmal nötig, im folgenden PID genannt, das langfristig gültig ist. Die Versichertenkarte ist zur eindeutigen Identifizierung in diesem Sinne nicht tauglich, da sie nicht an allen betroffenen Stellen vorliegt, über den Zeitraum der Datenspeicherung nicht notwendig invariant ist, und nicht jeder Patient eine besitzt.
Es soll ein eindeutiger Patienten-Identifikator (PID) für die im Rahmen der Pädiatrischen Onkologie und Hämatologie behandelten Patienten erzeugt werden, der für die behandelnde Klinik, Referenzzentren, Studienzentrale und Kinderkrebsregister gleichermaßen verwendet wird. Erzeugung und Verwaltung der PIDs sollen von den späteren Meldevorgängen, insbesondere an das Kinderkrebsregister, unabhängig erfolgen.
Die Verwendung des PID anstelle der Klartext-Identitätsdaten bei der elektronischen Kommunikation soll zur Vermeidung der Übertragung personenbeziehbarer Daten und damit zu einer Verbesserung des Datenschutzes führen. Der PID soll keinerlei Rückschlüsse auf die Identitätsdaten erlauben.
Der PID wird bei den datenspeichernden Stellen im Kompetenznetz -- behandelnde Klinik, Studienzentrale, Referenzzentrum, Kinderkrebsregister -- als zusätzliches Merkmal gespeichert. Eine Reidentifizierung ist bei Bedarf nur über diese Stellen möglich, sofern die Daten dort nicht anonymisiert vorliegen.
Der PID soll auch dann zum Datenabgleich geeignet sein, wenn der Anfragende nur wenige Daten des Patienten zur Verfügung hat -- genauere Spezifikation folgt. Die beim Abgleich mit Hilfe des PID zu erwartende Homonym- und Synonym-Fehlerrate soll nicht merkbar größer sein, als die bei einem Abgleich der Klartextdaten zu erwartende. Das Verfahren soll so parametrierbar sein, dass diese Fehlerraten nach Bedarf gegeneinander justiert werden können. Hierzu bestehen am Institut für Medizinische Biometrie, Epidemiologie und Informatik (IMBEI), insbesondere am dort angesiedelten rheinland-pfälzischen Landeskrebsregister, umfangreiche Erfahrungen.
Der PID soll mit einer Prüfziffer versehen sein, damit Fehler bei eventueller manueller Übertragung vermieden werden.
Das Verfahren soll prinzipiell für die anderen in der TMF vertretenen Forschungsverbünde - gegebenfalls mit verschiedenen Algorithmen und unter anderen Rahmenbedingungen - nutzbar sein.
Für die Pädiatrische Onkologie ist gegenwärtig eine weitere Pseudonymisierung sowie die Einrichtung eines damit zusammenhängenden weiteren Patientenregisters und die Bestellung eines Datentreuhänders unnötig und nicht erwünscht.
PIDs sollen von einem (bzw. im Rahmen der TMF evtl. von mehreren) zentralen Server vergeben und verwaltet werden. Der Server vergibt einen PID auf Anforderung:
Der zentrale Server hält eine Liste aller bisher vergebenen PIDs. Um bei einer Anfrage zu erkennen, ob für einen Patienten schon ein PID existiert, wird ein anonymer Abgleich mit Hilfe von »Kontrollnummern« vorgeschlagen (s. u.). Der Server prüft bei einer Anfrage, ob für den Patienten schon ein PID vergeben wurde, gibt diesen dann zurück oder erzeugt andernfalls einen neuen.
Die Kontrollnummern dienen dazu, dass Identitätsdaten im Server nicht gespeichert werden müssen, also dort kein weiteres Patientenregister entsteht. Es wird (im wesentlichen nach dem Landeskrebsregister-Verfahren, siehe [1]) bei jeder Anfrage ein Satz von Kontrollnummern aus den Identitätsdaten erzeugt, die zusammen mit dem PID gespeichert und für den Abgleich verwendet werden. Durch die Verwendung einer ganzen Serie von Kontrollnummern ist gewährleistet, dass der Abgleich auch möglich ist, wenn nur wenige Daten des Patienten vorliegen, und dass die Fehlerraten klein bleiben.
Ein PID soll mit Hilfe eines WWW-Browsers über ein HTML-Formular beim Server angefordert werden, in das die nötigen Identitätsdaten eingetragen werden. Der Server antwortet mit dem PID. Datenübernahme in das und aus dem Formular ist mit Copy&Paste möglich.
Dieser Anforderungsdialog soll auch über eine TCP/IP-Socket-Library in Anwendungsprogramme (z. B. DOSPO oder RDE-Programme) eingebunden werden können.
Die Übertragung soll das SSL-Protokoll verwenden. Voraussetzung dafür ist ein Server-Zertifikat. Dann wird mit dem öffentlichen Schlüssel des Servers ein Sitzungsschlüssel ausgehandelt und die Kommunikation verschlüsselt übertragen. Dazu ist keine Benutzeraktion nötig.
Server-Zertifikate werden im Kompetenznetz Pädiatrische Onkologie und Hämatologie sowieso demnächst eingeführt.
Die Gefahr bei nicht autorisierter Nutzung besteht in der Möglichkeit zu einer unbefugten Belastung des Servers sowie zu der Prüfung, ob eine bekannte Person zu einem bestimmten PID gehört (durch »Testmeldung«). Das Schadenspotenzial ist vergleichsweise gering, kann aber nicht vernachlässigt werden. Daher ist ein Authentisierungsverfahren vorzusehen.
Vorläufig genügt das http-Passwortverfahren, da in der Pilotphase nur ein kleiner Nutzerkreis auf den Dienst zugreift.
Im Routinebetrieb soll dann die Authentisierung durch persönliche X.509-Zertifikate über SSL abgewickelt werden. Die Nutzung der Health Professional Card (HPC) soll in Zukunft dafür möglich sein.
Der Dienst soll im Prinzip 24 Stunden am Tag zu Verfügung stehen. Außerhalb normaler Dienststunden ist ein unbewachter Betrieb ausreichend, wenn ein Wiederanlaufen des Servers nach Stromausfall gewährleistet ist.
Sorgfältige, mindestens tägliche, Datensicherung (Backup) ist erforderlich. Eine permanente Spiegelung der Daten ist wünschenswert.
Der Server soll bis auf weiteres betreut werden von IMBEI (Deutsches Kinderkrebsregister).
Zur Umsetzung des Dienstes wird folgende Software gebraucht:
Hierfür ist eine Eigenentwicklung sinnvoll; Anforderungsdialog und Datenbankanbindung sind Routine-Aufgaben, die ein geübter Programmierer sehr schnell bearbeiten kann. Das Datenbankschema ist sehr einfach. Für das Match-Verfahren (record linkage) existiert kommerzielle Software (Automatch bzw. Nachfolgeprodukt), die aber sehr teuer und für den angestrebten Zweck viel zu umfangreich und schwerfällig ist. Außerdem sind am IMBEI Ideen zur Verbesserung des Abgleichs entstanden, die in ein neues Programm eingebaut werden könnten.
Die Entwicklung könnte stattfinden am ISST, am IMBEI oder extern als Entwicklungsauftrag. Als Aufwand einschließlich Tests sind vier bis sechs Personenmonate anzusetzen. Hierbei ist die Zusammenarbeit mit anderen Forschungsverbünden der TMF anzustreben, die unmittelbaren Bedarf an einem Pseudonymisierungsdienst angemeldet haben.
4.1 Das Verfahren ist unabhängig vom Meldeverfahren an das Kinderkrebsregister. Die Erstmeldung dorthin ist lediglich um die Angabe des PID zu ergänzen.
4.2 Alternativ könnten Kontrollnummern auch dezentral erzeugt werden. Der zentrale Server erhält dann nur diese übermittelt und kann den Abgleich anonym vornehmen. Nachteil dieses Ansatzes ist, dass der Kontrollnummern-Algorithmus dann an alle Teilnehmer verteilt werden müsste.
4.3 Eignung der laufenden Nummer als PID:
4.4 Alternativen zur laufenden Nummer
4.5 Reidentifizierung ist nur über die ohnehin datenspeichernden Stellen möglich. Eine Reidentifizierung über Forschungverbünde hinweg ist nicht automatisiert möglich.
4.6 Es sollte für besonders autorisierte Personen die Möglichkeit bestehen, fehlerhaft erzeugte PIDs zu löschen.
4.7 Der Dienst ist als Dauereinrichtung zu betreiben. Die langfristige organisatorische Anbindung ist noch zu klären.