wiki:DatenschutzRelevanteAspekte

Datenschutz-relevante Aspekte

1. Verwendete Daten

Aus den Datenquellen (Krankenhausinformationssystem [KIS], Patientendatenmanagementsystem [PDMS] und/oder Laborinformationssystem [LIS]) werden (so weit dort jeweils verfügbar) folgende Daten gewonnen:

  1. Fallstamm- bzw. Aufenthaltsdaten:
    1. Identifikator des Falles ("Fallnummer")
    2. Beginn des Aufenthaltes
    3. Aktueller / letzter Aufenthaltsort (Station, ggf. Raum und Bett)
    4. Ende des Aufenthaltes
  2. Personenstammdaten (die Übernahme dieser Daten kann auf Wunsch komplett oder in Bezug auf einzelne Attribute [Nachname, Vorname etc.] unterbleiben - in diesem Fall erfolgt eine Pseudonymisierung über den Identifikator des Falles bzw. die "Fallnummer" [1.1.1]):
    1. Nachname
    2. Vorname
    3. Geburtsdatum
    4. Geschlecht

  3. Diagnosen
    1. ICD-Code
    2. Zeitpunkt der ersten Erfassung
    3. Seitenlokalisation

  4. Laborwerte
    1. Neuronenspezifische Enolase (NSE):
      1. konkreter Wert
      2. Zeitpunkt der Erfassung
      3. Einheit
      4. Normbereich
    2. Natrium im Serum:
      1. konkreter Wert
      2. Zeitpunkt der Erfassung
      3. Einheit
      4. Normbereich
    3. Kreatinin im Serum (nur bei gewünschter Verwendung des AKI-Sentinel):
      1. konkreter Wert
      2. Zeitpunkt der Erfassung
      3. Einheit
      4. Normbereich

  5. Messwerte / Vitalzeichen:
    1. konkreter (Mess-)Wert bzw. konkrete Ausprägung
    2. Zeitpunkt der Erfassung
    3. Parameter:
      1. Glasgow Coma Scale (GCS)
      2. Pupillenstatus
      3. zerebraler Perfusionsdruck (CPP)
      4. intrakranieller Druck (ICP)

  6. Texte von radiologischen und allgemeinen Befunden
    1. Zeitpunkt der Erfassung
    2. Typ (allgemein oder radiologisch [bildgebende Diagnostik]; Befund oder Beurteilung)
    3. Inhalt

(Seitenanfang)

2. Pat.- bzw. Fall-Kollektive

…deren Daten aus den Datenquellen übernommen werden:

  1. Aktuell auf Intensivstationen behandelte, beatmete Pat./Fälle:
    1. Fallstamm- bzw. Aufenthaltsdaten [1.1]
    2. Personenstammdaten [1.2]
    3. Diagnosen [1.3]
    4. Laborwerte [1.4]
    5. Messwerte / Vitalzeichen [1.5]
    6. Texte von radiologischen und allgemeinen Befunden [1.6]

  2. Alle stationär behandelten Pat./Fälle:
    1. Fallstamm- bzw. Aufenthaltsdaten [1.1]
    2. Personenstammdaten [1.2]
    3. Diagnosen [1.3] (relevant für die automatisierte Kommunikation mit der Deutschen Gesellschaft für Gewebetransplantation - DGFG)
    4. Laborwert - Kreatinin im Serum [1.4.3] (nur bei gewünschter Verwendung des AKI-Sentinel)

(Seitenanfang)

3. Automatische Löschung der Daten

  1. Die Daten aller abgeschlossenen stationären Fälle werden nach einem frei zu wählenden Intervall automatisch gelöscht.
  2. Die konkrete Länge des Intervalls hängt von einem ggf. existierenden Wunsch nach retrospektiver Auswertung von "TransplantAct-Daten" ab.

(Seitenanfang)

4. Betriebssystem-Benutzerkonto

  1. Das Benutzerkonto root des virtuellen "TransplantAct-Servers" gestattet den vollständigen Zugriff auf alle dort verfügbaren Daten.
  2. Die zugehörigen Zugangsdaten sind i.d.R. ausschließlich der IT-Abteilung der jeweiligen Einrichtung bekannt.
  3. Reguläre Nutzer des TransplantAct-Systems benötigen keinen "eigenen", direkten Zugang zur virtuellen Maschine bzw. zur Betriebssystem-Ebene.

(Seitenanfang)

5. Datenbank-Benutzerkonten

  1. Die Zugangsdaten aller Benutzerkonten der systemeigenen Datenbank sind i.d.R. ausschließlich der IT-Abteilung der jeweiligen Einrichtung bekannt.
  2. Reguläre Nutzer des TransplantAct-System benötigen keinen "eigenen", direkten Zugang zur TransplantAct-Datenbank.
  3. Konten:
    • postgres
      • Besitzer der gesamten PostgreSQL-Instanz.
    • transplantact
      • Besitzer der TransplantAct-/AKI-Sentinel-Datenbank.
    • ta_admin
      • Verfügt über (schreibenden!) DML-Zugriff auf alle Tabellen (einschließlich aller Hinterlegungen).
      • Wird für routinemäßig durchgeführte Wartunsarbeiten wie bspw. die jeweils zum Jahresende notwendige Installation der neuen ICD- und OPS-Kataloge benötigt.
    • ta_prozessor
      • In seinem Kontext wird die gesamte Datenverarbeitung der eigentlichen (Java-)Applikation ausgeführt. Es verfügt über SELECT-Berechtigungen für alle Tabellen und Views, (schreibender) DML-Zugriff ist jedoch lediglich auf die direkt Personen- und Fall-bezogenen Tabellen möglich.
    • ta_auswertung
      • Verfügt lediglich über "Lese"- / SELECT-Berechtigungen für alle Tabellen und Views (um bspw. Auswertungen / Abfragen ausführen zu können).

(Seitenanfang)

6. E-Mail-Versand

  1. Der Versand der resultierenden Meldungen wird i.d.R. über das "hauseigene", komplett selbst administrierte, beherrschte und abgesicherte E-Mail-System der jeweiligen Einrichtung erfolgen.

  2. Alternativ und/oder zusätzlich kann eine Pseudonymisierung erfolgen, indem alle unmittelbar Personen-bezogenen Details (Nachname, Vorname, Geburtsdatum, Geschlecht) nicht Gegenstand der Mitteilung werden; in diesem Einsatzszenario können die Empfänger (bspw. die Transplantationsbeauftragten) die betreffenden Personen bzw. die relevanten, gemeldeten Fälle im Quellsystem (KIS, PDMS, LIS) über die in den Nachrichten lediglich noch aufgeführten Fall-Identifikatoren ("Fallnummern") selektieren.

  3. Der Versand der personenbezogenen Daten kann auch in Gestalt von 256-Bit-AES-verschlüsselten, passwortgeschützten PDF-Dateien erfolgen. Die E-Mails enthalten dann im Betreff bzw. im Text keinerlei schutzwürdigen Angaben mehr, alle relevanten Informationen befinden sich im abgesicherten PDF-Attachment (Screenshots).
    • Diese Option kann bspw. genutzt werden, wenn der Versand von TransplantAct-Nachrichten nicht innerhalb eines vollständig selbst kontrollierten E-Mail-Systems erfolgen soll oder kann.

(Seitenanfang)

Last modified 11 months ago Last modified on Mar 2, 2024, 2:38:51 PM