Das Amt für den Schutz personenbezogener Daten (UODO) zum sicheren Austausch medizinischer Daten: „Das Beste wäre, die Vorschriften zu ändern“

• Der Präsident des Amtes für den Schutz personenbezogener Daten, Mirosław Wróblewski, hat die Gesundheitsministerin Jolanta Sobierańska-Grenda und den Minister für Wissenschaft und Hochschulbildung Marcin Kulasek aufgefordert, in das polnische Recht Bestimmungen einzuführen, die personenbezogene Daten bei der Offenlegung medizinischer Unterlagen zu wissenschaftlichen Zwecken besser schützen.
• „Die Erklärung der UODO ist das Ergebnis von Synergien und Treffen in der Zentrale der Medizinischen Forschungsagentur. Wir kamen damals zu dem Schluss, dass die beste Lösung für den sicheren Austausch medizinischer Daten eine Änderung der Vorschriften wäre“, sagt Prof. Wojciech Fendler, Präsident der Medizinischen Forschungsagentur.
• Allerdings weisen die medizinische und wissenschaftliche Gemeinschaft darauf hin, dass es auch notwendig sei, Daten in pseudonymisierter Form verwenden zu können – also verschlüsselt, sodass die Patientendaten für den Empfänger nicht sichtbar sind, aber von einer autorisierten Stelle wiederhergestellt werden können.

Der Präsident des Amtes für den Schutz personenbezogener Daten (UODO), Mirosław Wróblewski , hat die Gesundheitsministerin Jolanta Sobierańska-Grenda und den Minister für Wissenschaft und Hochschulbildung Marcin Kulasek aufgefordert, Bestimmungen in das polnische Recht einzuführen, die personenbezogene Daten bei der Weitergabe medizinischer Unterlagen zu Forschungszwecken besser schützen. Grund dafür sind Berichte aus der medizinischen und wissenschaftlichen Gemeinschaft sowie der Agentur für medizinische Forschung, denen zufolge die aktuellen Bestimmungen – das Gesetz über Patientenrechte und den Patientenombudsmann sowie das Gesetz über Hochschulbildung und Wissenschaft – unklar sind und die Verwendung medizinischer Daten in der Forschung behindern.

„Die Erklärung der UODO ist das Ergebnis von Synergien und Treffen in der Zentrale der Medizinischen Forschungsagentur. Wir kamen damals zu dem Schluss, dass die beste Lösung für den sicheren Austausch medizinischer Daten eine Änderung der Vorschriften wäre. Falls erforderlich, werden wir unsere Empfehlungen zur bestmöglichen Umsetzung gerne an das Gesundheitsministerium und das Ministerium für Wissenschaft und Hochschulbildung weitergeben“, kommentierte Prof. Wojciech Fendler, Präsident der Medizinischen Forschungsagentur.

Nach Ansicht des Präsidenten des Amtes für den Schutz personenbezogener Daten (UODO) sind Änderungen des polnischen Rechts notwendig, um es an die EU-Vorschriften anzupassen, darunter die Verordnung zum Europäischen Gesundheitsdatenraum (EHDS), das Datenmanagementgesetz und das Gesetz über künstliche Intelligenz. Derzeit ist Artikel 9 Absatz 2 Buchstabe j der DSGVO in Verbindung mit den einschlägigen Bestimmungen der polnischen Gesetzgebung die Grundlage für die Datenverarbeitung in der Forschung. Die nationalen Vorschriften sind jedoch inkonsistent und entsprechen nicht den tatsächlichen Bedürfnissen von Wissenschaft und Gesundheitswesen.

„Gemäß den geltenden Vorschriften (Artikel 26 des Gesetzes über Patientenrechte und den Rat für Geldpolitik) ist es nicht zulässig, personenbezogene Daten aus medizinischen Unterlagen in einer Weise offenzulegen, die eine Identifizierung der betreffenden Person ermöglichen würde. Daher dürfen solche Unterlagen zu wissenschaftlichen und Forschungszwecken offengelegt werden, sofern die darin enthaltenen personenbezogenen Daten anonymisiert sind. Medizinische Daten enthalten besondere Kategorien personenbezogener Daten (wie in Artikel 9 der DSGVO definiert) und geben neben Gesundheitsdaten häufig auch zahlreiche andere Informationen preis. Darüber hinaus können diese Datentypen Informationen über Dritte enthalten“, betont der Präsident des Amtes für den Schutz personenbezogener Daten in seiner Stellungnahme.

Daher muss die Anonymisierung dauerhaft und sicher erfolgen.

Wie schützt man die zu wissenschaftlichen Zwecken übermittelten Daten?

Die medizinische und wissenschaftliche Gemeinschaft weist jedoch darauf hin, dass es auch notwendig ist, Daten in pseudonymisierter Form verwenden zu können – d. h. verschlüsselt, sodass die Patientendaten für den Empfänger nicht sichtbar, aber von einer autorisierten Stelle rekonstruiert werden können. Wie in der Stellungnahme des UODO betont, stellt der Europäische Datenschutzausschuss klar, dass solche Daten immer noch personenbezogene Daten darstellen, da sie einer bestimmten Person zugeordnet werden können, sofern die Bedingungen für vollständige Anonymität nicht erfüllt sind.

Die Pseudonymisierung sollte daher als akzeptable Methode der Datenverarbeitung in der wissenschaftlichen Forschung gelten. Die aktuellen Vorschriften lassen dies jedoch nicht zu – sie sehen lediglich eine Anonymisierung vor. Infolgedessen können Forschungsergebnisse, die zur Behandlung eines bestimmten Patienten beitragen könnten, nicht mit diesem Patienten verknüpft und in der medizinischen Praxis verwendet werden.

„Der Gesetzgeber hat jedoch keine angemessenen Regelungen zur Pseudonymisierung geschaffen und erlaubt eine Anonymisierung nur bei der Weitergabe medizinischer Unterlagen zu wissenschaftlichen Zwecken (Artikel 26 des Gesetzes über Patientenrechte und den Patientenombudsmann). Die aktuellen Vorschriften sehen keine Ausnahmen von der Weitergabe medizinischer Daten zu wissenschaftlichen Zwecken vor und erlauben nur die Weitergabe nicht personenbezogener Daten. Dies bedeutet, dass die Ergebnisse wissenschaftlicher Forschung – die beispielsweise Informationen liefert, die für die Behandlung eines bestimmten Patienten relevant sein könnten – nicht mit einer bestimmten Person verknüpft werden können und daher nicht dazu verwendet werden können, Informationen in den Behandlungsplan einer bestimmten Person aufzunehmen“, betont der Präsident des Amtes für den Schutz personenbezogener Daten.

Mittlerweile erlauben EU-Verordnungen (DSGVO, EHDS sowie Verordnungen zu künstlicher Intelligenz und Datenmanagement) die Verwendung sowohl anonymisierter als auch in bestimmten begründeten Fällen pseudonymisierter Daten. Daher sollte das polnische Recht angepasst werden, um die Rechtsgrundlagen und Garantien für den Schutz solcher Daten klar festzulegen.

Der Präsident des Amtes für den Schutz personenbezogener Daten (UODO) betont, dass die neuen Vorschriften nicht nur mit dem EU-Recht, sondern auch mit der Verfassung der Republik Polen im Einklang stehen müssen, die das Recht auf Privatsphäre und Datenvertraulichkeit schützt. Die Umsetzung des EHDS erfordert auch eine Überprüfung anderer Gesetze, darunter des Gesundheitsinformationssystems und des Gesetzes über öffentlich finanzierte Gesundheitsdienste.

Laut dem Präsidenten des Amtes für den Schutz personenbezogener Daten (UODO) ist es bei der Entwicklung neuer Lösungen notwendig, die Auswirkungen auf den Datenschutz zu bewerten, um ihre Konformität mit der DSGVO zu überprüfen, Risiken zu minimieren und eine angemessene Sicherheit zu gewährleisten.

Urheberrechtlich geschütztes Material – Regeln für den Nachdruck sind in den Bestimmungen festgelegt.