Visual Universitätsmedizin Mainz

5. Anonymisierung

5.1 Wie wird bei der Anonymisierung eines Patienten vorgegangen? Wie ist insbesondere der zeitliche Ablauf?
 

Zunächst einmal unterscheiden wir zwischen einer verweigerten und einer noch nicht eingegangenen Einwilligung zur Datenspeicherung.

Bei einer Verweigerung werden wir sofort aktiv (siehe unten).

Bei einer noch fehlenden Einwilligung haken wir innerhalb eines Jahres maximal dreimal bei der behandelnden Klinik nach (Dritteljahresliste). Liegt dann immer noch keine Einwilligung vor, so betrachten wir dies auch als Verweigerung der Einwilligung zur Datenspeicherung. Selbstverständlich ist auch eine nachträgliche Verweigerung jederzeit möglich.

In Absprache mit dem Datenschutzbeauftragten des Landes Rheinland-Pfalz dürfen wir, um unserem wissenschaftlichen Auftrag (insbesondere die Inzidenzberechnung) nachzukommen, auch von Verweigerern anonym einige wenige Basisinformationen behalten. Das sind vor allem: Monat und Jahr der Geburt, Monat und Jahr der Diagnose, Diagnose und direkt diagnosebezogene Informationen, Wohnort zum Zeitpunkt der Diagnose, Zeitpunkt der Verweigerung. Man bezeichnet diese dann als „Zählfälle“.

Sobald das DKKR eine Mitteilung darüber bekommt, dass der Patient bzw. die Sorgeberechtigten die Einwilligung zur Datenweiterleitung und –speicherung verweigert haben, werden die Papierunterlagen vernichtet und die personenbezogenen Daten in der Datenbank gelöscht, d.h. faktisch anonymisiert: Tag der Geburt und der Diagnose, alle Namen, alle Adressen (also auch Namen und Adressen der Eltern des Patienten). Falls der Patient an einer Therapieoptimierungsstudie teilnimmt, wird diese unter Mitteilung der DKKR-internen Malig-ID und des GPOH-PID von der Anonymisierung unterrichtet. Eine Nachbeobachtung oder Befragung dieser Patienten ist dann nicht mehr möglich.

5.2 Kann eine bereits vom DKKR erfolgte Anonymisierung wieder rückgängig gemacht werden?
 

Ja.

Dies wird selbstverständlich nur durchgeführt, wenn eine entsprechende Einwilligung vom Patienten bzw. den Sorgeberechtigten vorliegt. Da jedoch keine Papierunterlagen mehr vorliegen, muss der Patient so gemeldet werden als wäre er „neu“. Dabei sollte die meldende Stelle immer den GPOH-PID mitteilen und vermerken, dass es sich bei diesem Patienten um einen bereits gemeldeten registrierten Fall handelt, der „de-anonymisiert“ werden soll. Dabei ist vor allem auf mögliche Namenswechsel zu achten!

Der Vorgang sollte nach Möglichkeit vermieden werden, da er mit Schwierigkeiten bei der Personen-Zuordnung und Problemen, die aus der Lücke bei der Nachbeobachtung resultieren, verbunden ist.

5.3 Darf das DKKR Auskunft über anonymisierte Fälle geben?
 

Grundsätzlich nein.

Falls seitens der Klinik oder Studienleitung der GPOH-PID genannt wird, können (nur) die nach der Anonymisierung verbliebenen Angaben mitgeteilt werden. Das DKKR gibt nur dann Auskunft, wenn die anfragende Klinik auch die meldende bzw. bis zu diesem Zeitpunkt behandelnde Klinik ist und/oder der Patient der betreffenden Studienleitung gemeldet war. Dies ist nur in der Datenbank sichtbar; Papierunterlagen existieren nicht mehr.

Die am DKKR vorliegenden Angaben zu einem solchen „Zählfall“ stammen fast ausschließlich von der betreffenden Klinik und/oder Studienleitung.

5.4 Was versteht man unter den Begriffen „pseudonymisieren“ und "anonymisieren"?
 

Unter dem Begriff „Pseudonymisieren“ versteht man das Löschen bzw. Verändern der identifizierenden Daten eines Patienten, wobei allerdings der Bezug zu den Klartextdaten über eine Nummer erhalten bleibt.

Beispiel: Namen, Geburtsdatum und Adresse werden gelöscht; die Patientennummer der Studie bleibt aber erhalten. Der Klartext ist zusammen mit der Patientennummer getrennt bei der Studienleitung abgespeichert.

Anonym sind Daten nur, wenn an keiner Stelle eine Re-Identifizierung möglich ist.

 

"Faktisch anonym" sind Daten, wenn der Zugang zu den identifizierenden Daten organisatorisch ausgeschlossen ist.

5.5 Was versteht man unter dem Begriff „kryptografieren“?
 

Unter einer Verschlüsselung versteht man das Ersetzen einer Information durch einen Wert nach einem vorher festgelegten Schlüssel, z.B. die Umwandlung der Klartextangabe einer Diagnose in den ICD-O-3-Schlüssel.

Kryptografie ist eine spezielle Verschlüsselung, die die umgewandelte Information „verstecken“ soll (griechisch „kryptos“ = verborgen).

Beispiele: Es gibt Algorithmen, die sich mit einem entsprechenden Schlüssel wieder auflösen lassen. Dieses Verfahren sollten Sie beim Versand von personenbezogenen Daten über das Internet oder einen Datenträger verwenden.

Darüber hinaus gibt es Algorithmen, die sich überhaupt nicht auflösen lassen. Das nennt man auch Einweg-Verschlüsselung.