Wie werden die Patientendaten geschützt?

Gesetzliche Grundlage der Krebsregistrierung in Baden-Württemberg ist das Landeskrebsregistergesetz (LKrebsRG). Dies wurde 2006 verabschiedet und in enger Abstimmung mit dem Landesbeauftragten für Datenschutz entwickelt.
Es sieht umfangreiche Regelungen vor, die das informationelle Selbstbestimmungsrecht der Patienten wahren und ihre Identifizierung aus den Daten verhindern, aber auch eine Gesundheitsforschung und das Mitwirken von Qualitätskonferenzen ermöglichen.

Ebenfalls im LKrebsRG festgelegt sind Maßnahmen zum Datenschutz und zur Datensicherheit. Als öffentliche Stelle des Landes unterliegt das Krebsregister dem Landesdatenschutzgesetz (LDSG) Baden-Württemberg.

Zusätzlich zu den gesetzlichen Vorgaben wurde die Entwicklung der Registersoftware sowie die in der Praxis verwendeten Sicherungsmaßnahmen mit dem Landesbeauftragten für Datenschutz abgestimmt.

1 / Organisatorisches Konzept

Das Krebsregister ist in die Vertrauensstelle, die Klinische Landesregisterstelle und das Epidemiologische Krebsregister aufgeteilt. Damit besteht eine räumliche und organisatorische Trennung der Registerteile wie es im Krebsregistergesetz beschrieben ist. Die Mitarbeiter sind als Angestellte des jeweiligen Trägers des betreffenden Registerteils in eine Organisationsstruktur eingebunden, die darüber hinaus über eigene Sicherheitskonzepte verfügt.

Ebenso sind die Daten inhaltlich getrennt. Sie werden in personenbezogene und medizinische Angaben unterteilt, verschieden verschlüsselt und getrennt voneinander gespeichert. Die personenbezogenen Daten können nur von der Vertrauensstelle entschlüsselt und verarbeitet werden. Aus den personenbezogenen Angaben werden sogenannte Kontrollnummern generiert, die dann für den weiteren registerinternen Datenaustausch verwendet werden. Einblick in die medizinischen Daten hat die Vertrauensstelle nicht. Diese werden in der Klinischen Landesregisterstelle entschlüsselt und verarbeitet. Die medizinischen Daten werden von der Klinischen Landesregisterstelle an das Epidemiologische Krebsregister weitergeleitet. In beiden Registerteilen besteht kein Einblick in die personenbezogenen Daten, da diese durch die Kontrollnummern ersetzt wurden. Durch die genannten Maßnahmen liegen zu keinem Zeitpunkt in einem Registerteil die personenbezogenen und medizinischen Daten eines Patienten lesbar vor.
Die Verschlüsselung der Daten beginnt bereits vor dem Datentransport vom Melder in das Register und setzt sich bis in die Kommunikation zwischen der meldenden Einrichtung und den Registerteilen fort.

Nach oben

2 / Datenübermittlung

Für die Übermittlung der Daten an das Register wird das webbasierte Melderportal des KRBW eingesetzt. Dieses verfügt über Erfassungsmasken zur Dateneingabe sowie Übermittlungsfunktionen für Datenpakete. Der Zugang zu diesem Melderportal muss bei der Vertrauensstelle beantragt werden. Nach Authentifizierung des Melders erhält dieser seine Zugangsdaten zu dem System. Zusätzlich zu dem Standard Login und Passwort wird ein PIN-Verfahren angewandt. Die Daten werden so vor unberechtigtem Zugriff geschützt.

Jeglicher Transfer von Daten zwischen den Registerteilen läuft über sichere Verbindungen. Zusätzlich werden die übertragenen Dateien nochmals verschlüsselt, wobei eine asymmetrische Verschlüsselung benutzt wird. Damit ist nur der Empfänger in der Lage, die entsprechende Datei wieder zu entschlüsseln. Aus Datenschutzgründen werden bei der Klinischen Landesregisterstelle und beim Epidemiologischen Krebsregister keine personenidentifizierenden Daten (Name, Adresse und andere persönliche Angaben) gespeichert.

In der Vertrauensstelle wird die Transportverschlüsselung aufgehoben und der personenbezogene Anteil der übermittelten Daten mit dem privaten Schlüssel der Vertrauensstelle entschlüsselt. Die Personendaten werden durch „Kontrollnummern“ ersetzt. Dadurch ist ein Erkennen der gemeldeten Person nicht mehr möglich. Die medizinischen Daten bleiben während des gesamten Vorganges weiterhin verschlüsselt. Die Vertrauensstelle ist daher zu keinem Zeitpunkt in der Lage, zu den ihr sichtbaren personenbezogenen Daten Einblick in die medizinischen Daten zu nehmen. Nach der Weiterleitung an die Klinische Landesregisterstelle, werden die personenidentifizierenden Daten in der Vertrauensstelle gelöscht. Sie liegen dann nur noch in verschlüsselten Patientenidentifikatoren vor, die in Ausnahmefällen entschlüsselt werden dürfen.

Erst nach der Weiterleitung der Daten (wiederum transportverschlüsselt) und Eingang in der Klinischen Landesregisterstelle wird die Verschlüsselung der medizinischen Daten mit dem privaten Schlüssel der Klinischen Landesregisterstelle aufgehoben. Da die personenbezogenen Daten aber bereits in der Vertrauensstelle abgetrennt und durch Kontrollnummern ersetzt wurden, ist der Klinischen Landesregisterstelle kein Einblick in die den medizinischen Daten korrespondierenden personenbezogenen Daten möglich. Dasselbe trifft für das Epidemiologische Krebsregister zu, das an denselben Daten arbeitet.

Nach oben

3 / Datenspeicherung

Die Netzwerkarchitektur in den Registerstellen ist nach aktuellen IT-Sicherheitsstandards aufgebaut. Die Rechner des Krebsregisters befinden sich in einem gesicherten Netz. Firewalls sichern die Rechner vor Angriffen von außen. Die Krebsregisteranwendung verfügt über ein Zugangsberechtigungskonzept, das Rechte an Benutzer nach Art ihrer Tätigkeit vergibt. Der Zugang ist Passwort geschützt. Vorgänge können in Protokollen nachvollzogen werden.

Aufbewahrungsfristen für die personenidentifizierenden Datensätze sind im LKrebsRG festgelegt und betragen maximal 130 Jahre nach Geburt oder 50 Jahre nach Tod.

Nach oben

4 / Datensicherung

Vor Datenverlust schützen Backupsysteme in den Registerteilen. Zugang zu diesem System hat nur autorisiertes Fachpersonal. Die Aufbewahrung von Sicherungskopien erfolgt in Räumlichkeiten, die durch Zugangsschutz gesichert sind.

Nach oben

5 / Zugangskontrolle

Die Sicherungskonzepte für Serverräume und Büros der Mitarbeiter sind Teil der Organisationsstruktur des jeweiligen Trägers eines Registerteils. Zutritt zu den Büroräumen haben nur Mitarbeiter des Krebsregisters. Die Türen sind verschließbar, die Vergabe von Schlüsseln wird protokolliert, diverse Schutzmaßnahmen vor Einbruch sind gewährleistet, und die Mitarbeiter erhalten Verhaltensanweisungen im Hinblick auf den Schutz der Büroräume. Die Server befinden sich in abschließbaren Racks innerhalb zentraler EDV-Räume, für die wiederum eigene Zutrittskontrollen festgelegt sind.

Nach oben

6 / Schweigepflicht

Alle internen und externen Mitarbeiter, die Zugang zu den Daten haben, verpflichten sich in einer schriftlichen Erklärung gemäß § 3 Abs. 2 LDSG, das Datengeheimnis zu wahren.

Nach oben