GermanVasc-Registerplattform

Zentraler Bestandteil der IDOMENEO-Studie und der Qualitätsinitiative in der Gefäßmedizin, mit der sich die Arbeitsgruppe GermanVasc in Hamburg seit mehreren Jahren intensiv beschäftigt, ist die Entwicklung und der Aufbau einer datenschutzkonformen und datensicheren Registerplattform zur Erfassung gefäßmedizinischer Behandlungen.

  • Häufige Behandlung – mehr als 300.000 Prozeduren pro Jahr zur PAVK-Behandlung in Deutschland

  • Interdisziplinarität – Gefäßchirurgen, Angiologen, Radiologen und weitere Kolleginnen behandeln die PAVK

  • Datenschutz – Der Zusammenschluss von Zentren zu einem gemeinsamen Register ist datenschutzrechtlich komplex!

Datenschutz und Datensicherheit

Mit Professor Dr. Hannes Federrath (Präsident der Gesellschaft für Informatik e.V., Arbeitsbereich Sicherheit in Verteilten Systemen) steht dem IDOMENEO-Konsortium ein international ausgewiesener Experte für Datenschutz und Datensicherheit in vernetzten Systemen zur Seite. Unter seiner Leitung wird im Konsortium die GermanVasc-Registerplattform entwickelt und im Projektzeitraum an die Bedürfnisse der Anwender weiterentwickelt. Modernste kryptographische Verfahren zur Verschlüsselung und intelligente technische Funktionen sollen die GermanVasc-Registerplattform zu einem innovativen Leuchtturmprojekt der modernen Registerforschung machen (Privacy by Design).

Zur aktuellen Version der Patienteneinwilligung_IDOMENEO_v13.

Zur aktuellen Liste mit Datenschutzaufsichtsbehörden in den Bundesländern.

Welche Features bietet GermanVasc

Durch eine jahrelange Kooperation mit internationalen Registerinitiativen (z.B. Vascunet Komitee der europäischen Fachgesellschaft für Gefäßchirurgie, International Consortium of Vascular Registries, Medical Device Epidemiology Network) hat die Arbeitsgruppe GermanVasc einen tiefen Einblick in etablierte und erfolgreiche Registerprojekte erlangen können. Diese wertvollen Erfahrungen sind in die GermanVasc-Registerplattform eingeflossen.

  • Pragmatische Erhebung nur der wichtigsten Parameter durch internationalen Expertenkonsensus

  • Höchste Einhaltung der überregionalen gesetzlichen Vorgaben (z.B. Ländergesetze) und der Bundes- sowie EU-Datenschutzgesetzgebung

  • Wenig Bürokratie und Aufwand für die Zentren: Keine Verarbeitung mehrerer für die Verarbeitung verantwortlicher Zentren (Art. 26)

  • Qualitätsentwicklung durch datenschutzkonformes Benchmarking

  • Keine Datenspeicherung bei kommerziellen Anbietern! Betrieb des Registers in einem universitären Rechenzentrum unter höchster Zertifizierung!

  • Nutzung anonymisierter/aggregierter Daten für teilnehmende Forscher zu Qualitätsentwicklungs- und Versorgungsforschungszwecken unterstützt!

  • Privacy by Design: Innovatives Datenschutz- und Technikkonzept. Auch der Registerbetreiber hat bei Software-Wartungsaufgaben keinen Zugriff auf patientenidentifizierende Daten.

  • Geringes Risiko für Zentren: Durch mehrstufige Prüfung und Genehmigung (Datenschutzbeauftragte mehrerer Bundesländer und Einrichtungen. Positive Ethikvoten nicht nur für Registerbetrieb, sondern auch für teilnehmende Zentren) ist das Haftungsrisiko, das sich durch die EU-Datenschutzgrundverordnung ab Mai 2018 ergibt, gering.

Was ist zu bedenken

Zahlreiche Fachbereiche und Initiativen haben sich in den vergangenen Jahren mit Registerprojekten beschäftigt. Häufig werden dabei jedoch wichtige rechtliche und insbesondere datenschutzrechtliche Aspekte nicht umfassend berücksichtigt oder die Datensicherheit entspricht nicht mehr dem Stand der Technik. In der Regel erfolgt traditionell eine Trennung der patientenidentifizierenden Daten (Patientenstammdaten) und der medizinischen Behandlungsdaten, was vereinfacht als Pseudonymisierung mittels „Vertrauensstelle“ bezeichnet werden kann. Hierfür stehen heute technische Lösungen und kommerzielle Pseudonymisierungsdienste zur Verfügung.

Die Datenschutzgesetze von Bund und Ländern aber auch andere Ländergesetzgebungen (z.B. Hamburger Krankenhausgesetz) können die Ausgestaltung der vertraglichen und technischen Aspekte tangieren. Beispielsweise ist in Hamburg der Betrieb gemeinsamer Dateien (bzw. Datenbanken) durch private und öffentliche Stellen nicht gestattet. Insgesamt herrscht hinsichtlich der Datenschutzregelungen eine uneinheitliche Gesetzgrundlage und Auslegung der Gesetze. Hinzu kommt, dass die Ethikkommissionen der Länder und Einrichtungen eine fachrechtliche und ethische Begutachtung der Registerprojekte durchführen sollen. Zentren, die Patientendaten ohne eigenes Ethikvotum und (EU-)rechtskonforme Patienteneinwilligung in ein Register eingeben, dessen Rechtskonformität und Datensicherheit sie nicht prüfen können, müssen ab Mai 2018 mit empfindlichen Strafen rechnen.

Bei einem Registerbetrieb durch private oder kommerzielle Betreiber sind außerdem weitreichende Maßnahmen einzuhalten. Gegebenenfalls ist eine Auftragsdatenverarbeitung oder die vertragliche und organisatorische Ausgestaltung nach Art. 26 EU-DSGVO zu prüfen. In allen Fällen sollte sichergestellt sein, dass keine Partialinteressen des Registerbetreibers (z.B. ungehinderte Sekundärnutzung der Daten, Weiterverkauf der Daten) existieren.

Die GermanVasc-Registerplattform, die im Rahmen der IDOMENEO-Studie entwickelt wird, soll dem technischen und rechtlichen Fortschritt gerecht werden. Mit der traditionellen Vertrauensstellen-Lösung behält der technische Registerbetreiber für Wartungsaufgaben die Möglichkeit, auf gespeicherte Rohdaten zuzugreifen. Durch Verknüpfung von Informationen verschiedener Datenquellen ist zudem eine Reidentifizierung der pseudonymisierten Datensätze potentiell möglich. In der GermanVasc-Registerplattform erfolgt der Betrieb des Registers durch das hochzertifizierte Rechenzentrum des Universitätsklinikums Hamburg-Eppendorf, wo auch die Behandlungsdaten des Klinikums gespeichert werden. Die innovativen Verschlüsselungsverfahren und ein intelligenter Wartungsmodus schließt dabei nach höchsten (Geheimdienst-)Standards einen Zugriff auf patientenidentifizierende Daten aus. Aus diesem Grund bleibt das teilnehmende Studienzentrum alleiniger Ansprechpartner für die Patientenrechte nach EU-Recht.

Eigene Publikationen zum Thema Registerarbeit

Behrendt CA, Debus ES, Mani K, Sedrakyan A.
The Strengths and Limitations of Claims-based Research in Countries with Fee-for-Service Reimbursement. Eur J Vasc Endovasc Surg. 2018. [Epub ahead of Print].

Rieß HC, Debus ES, Schwaneberg T, Hischke S, Maier J, Bublitz S, Kriston L, Härter M, Marschall U, Zeller T, Schellong SM, Behrendt CA.
Indicators of outcome quality in peripheral arterial disease revascularisations – a Delphi expert consensus. VASA. 2018;In Press.

Behrendt CA, Bertges D, Eldrup N, Beck A, Mani K, Venermo M, Szeberin Z, Menyhei G, Thomson I, Heller G, Wigger P, Danielsson G, Galzerano G, Lopez C, Altreuther M, Sigvant B, Rieß HC, Sedrakyan A, Beiles B, Björck M, Debus ES, Cronenwett J.
International Consortium of Vascular Registries Consensus Recommendations for Peripheral Revascularization Registry Data Collection. Eur J Vasc Endovasc Surg. 2018. [In Press].

Behrendt CA, Joassart A, Debus ES, Kolh P.
The Challenge of Data Privacy Compliant Registry Based Research. Eur J Vasc Endovasc Surg. 2018. [Epub ahead of Print].

Behrendt CA, Pridöhl K, Schaar K, Federrath H, Debus ES.
Klinische Register im 21. Jahrhundert – Ein Spagat zwischen Datenschutz und Machbarkeit? Der Chirurg. 2017;88(11):944-949.

Behrendt CA, Heidemann F, Rieß HC, Stoberock K, Debus ES.
Registry and health insurance Claims data in Vascular Research and Quality improvement. VASA. 2017;46:11-15.

Behrendt CA, Tsilimparis N, Diener H, Larena-Avellaneda A, Walluscheck KP, Debus ES.
Einführung des GermanVasc – Gemeinsames Gefäßregister für Deutschland. Gefässchirurgie. 2014;19(5):403-411.