1. Wie wird bei der Anonymisierung eines Patienten vorgegangen? Wie ist insbesondere der zeitliche Ablauf?
2. Kann eine bereits vom DKKR erfolgte Anonymisierung wieder rückgängig gemacht werden?
3. Darf das DKKR bei Anfrage von Klinik oder Studienleitung Auskunft über anonymisierte Fälle geben?
4. Was versteht man unter den Begriffen „pseudonymisieren“ und "anonymisieren"?
5. Was versteht man unter dem Begriff „kryptografieren“?

Zunächst einmal unterscheiden wir zwischen einer verweigerten und einer noch nicht eingegangenen Einwilligung zur Datenspeicherung.

Bei einer Verweigerung werden wir sofort aktiv (siehe unten).

Bei einer noch fehlenden Einwilligung haken wir innerhalb eines Jahres maximal dreimal bei der behandelnden Klinik nach (Dritteljahresliste). Liegt dann immer noch keine Einwilligung vor, so betrachten wir dies als Verweigerung der Einwilligung zur Datenspeicherung. Selbstverständlich ist eine nachträgliche Verweigerung jederzeit möglich.

In Absprache mit dem Datenschutzbeauftragten des Landes Rheinland-Pfalz dürfen wir, um unserem wissenschaftlichen Auftrag (insbesondere die Inzidenzberechnung) nachzukommen, auch von Verweigerern anonym einige wenige Basisinformationen behalten. Das sind vor allem: Monat und Jahr der Geburt, Monat und Jahr der Diagnose, Diagnose und direkt diagnosebezogene Informationen, Wohnort zum Zeitpunkt der Diagnose, Zeitpunkt der Verweigerung. Man bezeichnet diese dann als „Zählfälle“.

Sobald das DKKR eine Mitteilung darüber bekommt, dass der Patient bzw. die Sorgeberechtigten die Einwilligung zur Datenweiterleitung und –speicherung verweigert haben, werden die Papierunterlagen vernichtet und die personenbezogenen Daten in der Datenbank gelöscht, d.h. faktisch anonymisiert: Tag der Geburt und der Diagnose, alle Namen, alle Adressen (also auch Namen und Adressen der Eltern des Patienten). Falls der Patient an einer Therapieoptimierungsstudie teilnimmt, wird diese unter Mitteilung der DKKR-internen Malig-ID und des GPOH-PID von der Anonymisierung unterrichtet. Eine Nachbeobachtung oder Befragung dieser Patienten ist dann nicht mehr möglich.

Ja.

Dies wird selbstverständlich nur durchgeführt, wenn eine entsprechende Einwilligung vom Patienten bzw. den Sorgeberechtigten vorliegt. Da jedoch keine Papierunterlagen mehr vorliegen, muss der Patient so gemeldet werden als wäre er „neu“. Dabei sollte die meldende Stelle immer den GPOH-PID mitteilen und vermerken, dass es sich bei diesem Patienten um einen bereits gemeldeten registrierten Fall handelt, der „de-anonymisiert“ werden soll. Dabei ist vor allem auf mögliche Namenswechsel zu achten!

Der Vorgang solle nach Möglichkeit vermieden werden, da er mit Schwierigkeiten bei der Personen-Zuordnung und Problemen, die aus der Lücke bei der Nachverfolgung resultieren, verbunden ist.

Grundsätzlich nein.

Falls seitens der Klinik oder Studienleitung die GPOH-PID genannt wird, können (nur) die nach der Anonymisierung verbliebenen Angaben mitgeteilt werden. Das DKKR gibt nur dann Auskunft, wenn die anfragende Klinik auch die meldende bzw. bis zu diesem Zeitpunkt behandelnde Klinik ist und/oder der Patient der betreffenden Studienleitung gemeldet war. Dies ist nur in der Datenbank sichtbar; Papierunterlagen existieren dann nicht mehr.

Die am DKKR vorliegenden Angaben zu einem solchen „Zählfall“ stammen fast ausschließlich von der betreffenden Klinik und/oder Studie nleitung.

Unter dem Begriff „Pseudonymisieren“ versteht man das Löschen bzw. Verändern der identifizierenden Daten eines Patienten, wobei allerdings der Bezug zu den Klartextdaten über eine Nummer (Kontrollnummer, ID o.ä.) erhalten bleibt.

Beispiel: Namen, Geburtsdatum und Adresse werden gelöscht; die Patientennummer der Studie bleibt aber erhalten. Der Klartext wird zusammen mit der Patientennummer getrennt abgespeichert.

Der wesentliche Unterschied zum Anonymisieren besteht darin, dass es Menschen, so genannte Geheimnisträger, gibt, die in der Lage sind, das Pseudonym wieder der Person zuzuordnen. Damit die Pseudonymisierung wirksam ist, muss klar definiert sein, wer Geheimnisträger ist, d. h., wer in der Lage ist, die Pseudonymisierung aufzuheben. Das „Geheimnis“ kann ein kryptographischer Schlüssel (s.u.) oder eine Zuordnungsliste (auch partielle Zuordnungsliste) sein.

Eine Weitergabe von pseudonymisierten Daten an Stellen, die das Pseudonym nicht auflösen können, wird als anonymisierte Weitergabe gewertet.

Die offenen identifizierenden Daten müssen mindestens getrennt von den anonymen Daten gespeichert sein.

Es gibt verschiedene Grade der Trennung. Minimal wäre z.B. die Variante, dass die Arbeitsdatei einer Studie Namen und dergleichen aus praktischen Gründen nicht enthält, während sie für einige Studienmitarbeiter bei Bedarf jedoch in einer anderen Datei oder einer Liste einsehbar sind. Eher eine maximale Trennung wäre ein Vorgehen wie beim Krebsregister Rheinland-Pfalz, wo die verschlüsselten Klartexte bei einer dritten Institution („Treuhänder“) lagern, und nur nach besonderer Genehmigung durch Ministerium und Ethikkommission zweckgebunden entschlüsselt werden dürfen. Dies wurde z.B. schon mal gemacht, um eine Gruppe von Brustkrebspatientinnen zu befragen. .

Unter einer Verschlüsselung versteht man das Ersetzen einer Information durch einen Wert nach einem vorher festgelegten Schlüssel, z.B. die Umwandlung der Klartextangabe einer Diagnose in den ICD-O-3-Schlüssel.

Kryptographie ist eine spezielle Verschlüsselung, die die umgewandelte Information „verstecken“ soll (griechisch „kryptos“ = verborgen).

Beispiele: Es gibt Algorithmen, die sich mit einem entsprechenden Schlüssel wieder auflösen lassen, z.B. wenn wir eine RSA-Verschlüsselung anwenden um personenbezogene Daten zu versenden („einpacken - auspacken“).

Darüber hinaus gibt es Algorithmen, die sich überhaupt nicht auflösen lassen. Das nennt man auch Einweg-Verschlüsselung. Letzteres wenden wir z.B. für die Kontrollnummern an.