Neue Norm für Pseudonymisierungsdienste veröffentlicht
Das niederländische Normungsgremium (Nederlandse Norm, NEN) hat kürzlich die neue Norm für Pseudonymisierungsdienste unter der Bezeichnung NEN 7524 veröffentlicht. Als Anbieter von Pseudonymisierungsdiensten hat Viacryp, gemeinsam mit weiteren Partnern, zum Aufstellen der neuen Norm beigetragen. Sie soll u. a. zu einer besseren Patientensicherheit und zu einer besseren Zusammenarbeit zwischen Anbietern und Abnehmern von Pseudonymierungsdienstleistungen führen.
Zum vertraulichen Umgang mit Patientendaten werden Daten im Rahmen medizinischer Untersuchungen pseudonymisiert. Das heißt, dass eine Trusted Third Party, eine unabhängige Drittpartei, die ursprünglich zuordenbare Daten löscht und anschließend in einen Krypto-Code umwandelt. So kann mit den Daten gearbeitet werden, ohne dass die Wahrung des Datenschutzes gefährdet wird.
Marlou Bijlsma, Standardisierungsberaterin Healthcare bei NEN, illustriert das mit einem Beispiel: „Stellen Sie sich vor, dass eine Untersuchung zu Herz- und Gefäßkrankheiten durchgeführt wurde. Außerdem wurde auch Diabetes untersucht. Die Betroffenen haben ihre Zustimmung zu der Untersuchung erteilt. Die Forscher arbeiten mit pseudonymisierten Datensätzen. Eine Frage, die im Rahmen der Untersuchung auftaucht, lautet, welche Patienten an beiden Krankheiten leiden. Bei der Pseudonymisierung können die Datensätze verknüpft werden und dabei bleibt der Datenschutz weiterhin gewahrt. Bei der Anonymisierung wäre das nicht möglich.“
Anonymisierung
Die neue NEN-Norm ist eine Reaktion auf die internationale Norm ISO 25237. Dabei handelt es sich um ein Grundsatzdokument, in dem die verschiedenen Formen der Anonymisierung und Pseudonymisierung aufgeführt werden. Eine niederländische Fassung lag noch nicht vor. Bijlsma: „In den Niederlanden gab es lediglich eine einzige Firma, die diese Dienstleistung erbrachte und von der die öffentliche Hand damit vollständig abhängig war. Da erhebt sich die Frage, was mit unseren Daten passiert, wenn ein solches Unternehmen den Betrieb einstellt. In einem solchen Fall muss man problemlos auf einen anderen Dienstleister umsteigen können.“
Lücke in der DSGVO
Die Wahrung des Datenschutzes innerhalb der Medizin nimmt, auch infolge der neuen DSGVO, einen immer höheren Stellenwert ein. Darin wird allgemein beschrieben, dass Pseudonymisierung nützlich ist und dass man „technisch-organisatorische Maßnahmen“ ergreifen soll. Wie das jedoch genau zu geschehen hat, lässt das Gesetz in der Schwebe. Der wichtigen Rolle einer unabhängigen Drittpartei gebührt deshalb mehr Aufmerksamkeit, so Adam Knoop, Geschäftsführer der Firma Viacryp, die in die Aufstellung der neuen Norm einbezogen wurde. „Da das Gesetz es ziemlich allgemein formuliert, stellt man fest, dass viele Organisationen und Unternehmen es jeweils auf ihre eigene Art und Weise regeln. Sie beauftragen einen IT-Spezialisten oder sie verwenden ein Tool mit dem sie ihre Daten selbst verschlüsseln. Obwohl das selbstverständlich besser ist als gar nichts zu tun, sind wir davon überzeugt, dass die sorgfältige Pseudonymisierung am besten mithilfe einer Trusted Third Party erfolgt. Für Nutzer, wie Kommunen und Krankenhäuser, ist es wichtig zu wissen, wie sich eine solche Zusammenarbeit gestaltet.“
Einblick in die Verantwortungsbereiche
In der Norm werden die Unterschiede zwischen beiden Parteien klar dargestellt, genau wie die zugehörigen Verantwortungsbereiche, erläutert Thomas Waslijah. Er ist Berater bei der Stiftung ZorgTTP, ein Pseudonymisierungsdienstleister, der ebenfalls an der Aufstellung der Norm beteiligt wurde. „Es geht dann um den Anbieter und den Abnehmer. Es wird verdeutlicht, worauf der Abnehmer bei der Wahl eines Dienstleisters achten sollte und dem Anbieter wird gesagt, welche nützlichen Informationen er über seine Dienstleistung bereitstellen kann.“ „Die neue Norm schafft damit Klarheit, wodurch die Dienstleistung dem Kunden auch besser verdeutlicht werden kann“, ergänzt Knoop. „Manchmal sind wir Wochen oder sogar Monate damit beschäftigt, dem Auftraggeber zu erklären, was unsere Dienstleistung beinhaltet. Die neue Norm führt zu einer besseren Kommunikation und dadurch auch zu einem Zeitgewinn.“
Umsteigen – ein komplizierter Prozess
Ein weiterer wichtiger Zweck der Norm ist, einen Einblick darin zu gewähren, welche verschiedenen Optionen es bei der Zusammenarbeit mit einem Pseudonymisierungsdienstleister gibt. Kompliziert ist die Option, auf einen anderen Anbieter umzusteigen. Bijlsma: „Der Pseudonymisierungsdienstleister wird einem Mitbewerber schließlich nicht ohne Weiteres ausführliche Informationen zu seiner Codierungsmethode preisgeben wollen. Dabei handelt es sich um unternehmenssensible Daten. Der Wiederzuordnungsprozess zum Erhalt der ursprünglichen Daten ist zwar eine Möglichkeit, die jedoch mit einem sehr hohen Zeitaufwand verbunden ist.“
„Prüfung liegt noch in ferner Zukunft“
Obwohl die neue Norm für Pseudonymisierungsdienste die DSGVO in diesem bestimmten Bereich näher spezifiziert, liegt eine Prüfung noch in ferner Zukunft, so Bijlsma. „In der DSGVO und den weiteren Verordnungen liegt der Schwerpunkt zunächst auf der Selbstregulierung und der Botschaft, dass man zu pseudonymisieren hat. Deshalb konzentrieren wir uns momentan darauf, was das genau ist und wie man das am besten macht. Natürlich wurden in der Vergangenheit jedoch auch bereits Vereinbarungen zum Qualitätsmanagement und zur Informationssicherung getroffen, darauf wird in der Norm auch Bezug genommen.“
Eine Prüfung steht damit noch nicht an, aber wenn man gemäß der Norm vorgeht, kann man laut Knoop davon ausgehen, dass man die Anforderungen der DSGVO erfüllt. Auch er ist bisher kaum auf staatliche Eingriffe bei der Durchsetzung gestoßen. „Die französischen Behörden haben es mit Google aufgenommen und in den Niederlanden wurde dem Haga-Krankenhaus wegen eines Datenschutzverstoßes ein Bußgeld auferlegt. Ferner bin ich jedoch noch auf keine Praxisbeispiele gestoßen, auch nicht spezifisch im Bereich der Pseudonymisierung. Die Verantwortung dafür wird wohl die in den Niederlanden zuständige Datenschutzbehörde Autoriteit Persoonsgegevens übernehmen, außerdem kann ich mir vorstellen, dass die niederländische Aufsichtsbehörde für den Gesundheitssektor dabei ebenfalls eine Rolle spielen wird.“
Wiederzuordnung bleibt unvermeidlich
Die DSGVO und die neue Norm werden zweifellos zu einem sorgfältigeren Umgang mit Daten und einer besseren Wahrung der Patientensicherheit beitragen. Ein häufig geäußerter Kritikpunkt ist jedoch, dass sich grundsätzlich nicht-zuordenbare Daten durch die Verknüpfung von Datenbeständen auf unmittelbare Weise doch wieder einer Person zuordnen lassen. Sowohl Knoop als auch Wasliah gestehen ein, dass das unvermeidlich ist. Knoop: „Das bleibt das Schwierige an diesem Fachbereich. Trotz der sorgfältigen Pseudonymisierung können wir nicht garantieren, dass Daten letzten Endes einander nicht doch wieder zugeordnet werden können. Natürlich tun wir alles, was in unserer Macht steht, um dieses Risiko zu begrenzen.“
Der Verfasser der Norm zur Regelung der Pseudonymisierung, NEN, treibt den Normierungsprozess in den Niederlanden voran und untersucht, ob die Normierung innerhalb eines bestimmten Sektors überhaupt möglich ist. Die Kommission „Datenbereitstellung im Pflegesektor“ hat die neue Norm gemeinsam mit Nutzern und Erbringern von Pseudonymisierungsdiensten aufgestellt. Die Anbieter Viacryp und die Stiftung ZorgTTP arbeiteten u. a. daran mit. Die Norm ist eine Ergänzung weiterer NEN-Pflegenormen zur Qualität und zum Datenschutz.