Besondere Sicherheit für Gesundheitsdaten: Das Datenschutzkonzept
Auf Grund der webbasierten Architektur werden sämtliche in der Plattform verarbeiteten Behandlungsdaten aller teilnehmenden Organisationen auf einem zentralen Server gespeichert. Da es sich bei den gespeicherten Daten um besonders sensible Gesundheitsdaten handelt, sind bei derartigen Systemen besondere technische und organisatorische Schutzvorkehrungen zu treffen, um die Vertraulichkeit und Integrität der Daten in besonderem Maße zu gewährleisten. Bei der Konzeption und Entwicklung der Plattform wurde allerhöchster Wert auf eine sichere Implementierung nach dem aktuellen Stand der Softwaretechnik und unter Berücksichtigung der medizinrechtlichen sowie der österreichischen und europäischen Datenschutzbestimmungen gelegt.
Folgende technische Datensicherheitsmaßnahmen wurden ergriffen:
- Verschlüsselte Datenübertragung über das Internet
- Prüfung der Integrität übertragener Daten
- Verschlüsselte Speicherung der Datenbank
- Zugriff nur auf jene Daten, die der jeweilige Benutzer selbst eingegeben hat
- Datenübermittlung oder Zugriffseinräumung nur nach expliziter individueller Freigabe
- Bevor Behandlungsdaten zu Forschungszwecken verwendet werden dürfen, werden diese unumkehrbar anonymisiert
- Auftrennung der Datenspeicherung auf zwei unabhängige Rechenzentren
Die Datentrennung im Detail
Das Datenschutzkonzept sieht die Trennung des gesamten Datenbestandes in medizinische Behandlungsdaten und Personendaten vor, wobei jeder dieser beiden Datenbestände in einem technisch, organisatorisch und personell unabhängigen Rechenzentrum verwaltet wird. Innerhalb des Behandlungsdatenbestandes ist die Identifikation der entsprechenden Patienten lediglich mit Hilfe einer Kennnummer (des Patientenpseudonyms) möglich. In einem zweiten Rechenzentrum wird ein Verzeichnisdienst (das „Patientenregister“) betrieben, welches die automatisierte Zuordnung dieser Patientenkennnummer zu den entsprechenden Daten zur Person der Patienten ermöglicht. Eine Zusammenführung dieser beiden Datenbestände erfolgt somit ausschließlich zur Laufzeit und nur im Browser eines authentifizierten und berechtigten Benutzers.
Dieses System der Trennung leistet folglich einen wesentlichen Beitrag zur nachhaltigen Gewährleistung der Vertraulichkeit der gespeicherten Gesundheitsdaten, da eine Kompromittierung zweier voneinander unabhängiger Rechenzentren äußerst unwahrscheinlich erscheint.