Phuse Conference on Clinical Trial Data Sharing: Methods and Experiences with De-Identification – Welche Rolle spielen De-Identifizierungsleitfäden?

downloadImage.aspx

Am 29.05.2015 hat in Paris eine Konferenz zum Thema: “Clinical Trial Data Sharing: Methods and Experiences with De-Identification” stattgefunden, an welcher auch zwei wissenschaftliche Mitarbeiterinnen des IRI – Magdalena Góralczyk und Stefanie Hänold – teilgenommen haben. Anlass zu dieser Konferenz war die Veröffentlichung mehrerer Leitfäden in Europa und Nordamerika, welche Standards und Best Practices für die De-Identifizierung von personenbezogenen Daten darlegen. Als Beispiele lassen sich z.B. das erst kürzlich von der Phuse De-Identification Working Group veröffentlichte Arbeitspapier „Providing De-Identification Standards to CDISC Data Models“  sowie das „HITRUST De-Identification Framework“ aufzählen. Ziel der Veranstaltung war die Vermittlung von Erfahrungen, wie entsprechende Standards in der medizinischen Forschung genutzt werden und welche Positionen die Datenschutzbehörden von den Mitgliedstaaten der EU zu solchen Initiativen einnehmen.


Gerade im Bereich der medizinischen Forschung spielt die Anonymisierung von Daten eine große Rolle. Zum einem verlangt das Gebot der Datensparsamkeit die Daten weitestgehend zu de-identifizieren und nationale Forschungsregelungen verlangen die Anonymisierung der Daten, wenn dies mit dem Zweck der Forschung vereinbar ist. Zum anderen unterliegen anonyme bzw. anonymisierte Daten nicht den strengen Regelungen des Datenschutzes und können somit zumindest aus rechtlicher Perspektive frei für die Forschung genutzt werden (aus ethischer Sicht können sich jedoch andere Schranken ergeben). Diese Grundsätze gelten in der gesamten EU, da das europäische Datenschutzrecht durch die europäische Datenschutzrichtlinie harmonisiert worden ist. Allerdings lässt die Richtlinie auch Spielräume, so dass gerade zu diesem wichtigen Thema der Anonymisierung von Daten in den Mitgliedstaaten unterschiedliche Auffassungen vertreten werden, unter welchen Umständen Daten im rechtlichen Sinn als anonym bzw. anonymisiert zu betrachten sind.
Es gibt eine erhebliche Unsicherheit bei den Forschungsinstitutionen dahingehend, ob die De-Identifizierungsmaßnahmen, die ergriffen worden sind, auch ausreichend sind, um die Daten im rechtlichen Sinn als anonym betrachten zu können.

„Effective anonymisation is possible but it’s also possible to do anonymization ineffectively.“ (Iain Bourne, Vertreter des ICO)

Die (auch nur versehentliche) Verarbeitung personenbezogener Daten ohne eine rechtliche Grundlage kann nicht nur rechtliche Konsequenzen – wie Geldbußen bei Vorliegen einer Ordnungswidrigkeit bzw. bei einschlägigem Straftatbestand auch Geld- oder Freiheitsstrafe – nach sich ziehen. Das Ansehen der betroffenen Einrichtung in der Öffentlichkeit kann zudem erheblich geschädigt werden, wenn entsprechende Nachrichten an die Öffentlichkeit gelangen. Da verwundert es nicht, dass die veröffentlichten Leitfäden mit De-Identifizierungsstandards gern als verlässliche Sicherungsmaßnahmen angesehen werden würden. Eine absolute Sicherheit kann jedoch auch durch die Befolgung solcher Leitfäden nicht gewährleistet werden, weshalb die Reaktionen von den in der Konferenz vertretenen Datenschutzbehörden zu diesem Aspekt (Großbritannien, Niederlande und Frankreich) wohl eher zurückhaltend ausfielen. Es soll vermutlich vermieden werden, die verantwortlichen Stellen in trügerischer Sicherheit zu wiegen. Eines ist schon jetzt klar: Die Einhaltung solcher Standards kann eine Re-Identifizierung nicht absolut ausschließen und garantiert auch nicht ein „akzeptables“ Risiko der Re-Identifizierung, was z.B. von Vertretern der Phuse De-Identification Working Group auch klar ausgesprochen wird.
In diesem Kontext wurde auch diskutiert, ob Datenschutzbehörden die verantwortlichen Stellen bei den Schwierigkeiten, die im Zusammenhang mit der Anonymisierung von Daten auftreten, (mehr) unterstützen sollten und wie dies genau bei der jetzigen Personal- und Mittelausstattung sinnvoll erfolgen könnte. Sollte hier ein unabhängiges Organ auf Anfrage der verantwortlichen Stellen eine Prüfrolle einnehmen, wie es z.B. von der französischen Datenschutzaufsichtsbehörde eingeworfen worden ist und wie sollte eine solche Institution genau aussehen? Konkrete Antworten und Vorschläge zu diesen Fragen ließen die Vertreter der Datenschutzbehörden jedoch vermissen.
Die De-Identifizierungsstandards sind in jedem Fall ein hilfreiches Element für die verantwortlichen Stellen. Ob deren Einhaltung eine Verantwortlichkeit im Falle einer dennoch erfolgten Re-Identifizierung (z.B. als Folge eines Hackerangriffs) ausschließen sollte, ist vor allem für die Einrichtungen, die medizinische Forschung mit Daten von Patienten und Probanden betreiben, eine sehr interessante Frage. Der Vertreter der britischen Datenschutzbehörde, Iain Bourne, erklärte in diesem Zusammenhang, dass man wohl akzeptieren müsse, dass nicht jedes Risiko einer Re-Identifizierung ausgeschlossen werden könne und man die Verantwortlichkeit der datenverarbeitenden Stellen eingrenzen müsse, wenn im Einzelfall genügend Vorsicht von den verantwortlichen Stellen nachgewiesen werden kann.

 

Das IRI ist in mehreren FP7-Projekten involviert, wie EURECA, MyHealthAvatar, CHIC, AETIONOMY und p-medicine. In p-medicine beispielsweise durchlaufen Gesundheitsdaten von Studienteilnehmern ein komplexes und ausgereiftes Anonymisierungsverfahren, bevor sie zu Forschungszwecken genutzt werden können. Zudem gibt es ein Sicherheitsnetz für den Fall, dass eine Re-Identifizierung trotz höchster Sicherheitsvorkehrungen auftritt, wobei die informierte Einwilligung als erste Auffangstufe und die nationalen Forschungsregelungen als zweiter Rückhalt fungieren.

 

Für mehr Informationen zu diesem Thema:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *