Datenschutz-relevante Aspekte

• 1. Verwendete Daten
• 2. Pat.- bzw. Fall-Kollektive
• 3. Automatische Löschung der Daten
• 4. Betriebssystem-Benutzerkonto
• 5. Datenbank-Benutzerkonten
• 6. E-Mail-Versand

---

1. Verwendete Daten

Aus den Datenquellen (Krankenhausinformationssystem [KIS], Patientendatenmanagementsystem [PDMS] und/oder Laborinformationssystem [LIS]) werden (so weit dort jeweils verfügbar) folgende Daten gewonnen:

1. Fallstamm- bzw. Aufenthaltsdaten:
   1. Identifikator des Falles ("Fallnummer")
   2. Beginn des Aufenthaltes
   3. Aktueller / letzter Aufenthaltsort (Station, ggf. Raum und Bett)
   4. Ende des Aufenthaltes
      • relevant für die automatische Löschung von Daten sowie optional für die Kommunikation mit der Deutschen Gesellschaft für Gewebetransplantation (DGFG)
        
        
2. Personenstammdaten (die Übernahme dieser Daten kann auf Wunsch komplett oder in Bezug auf einzelne Attribute [Nachname, Vorname etc.] unterbleiben - in diesem Fall erfolgt eine Pseudonymisierung über den Identifikator des Falles bzw. die "Fallnummer" [1.1.1]):
   1. Nachname
   2. Vorname
   3. Geburtsdatum
   4. Geschlecht
      
      
3. Diagnosen
   1. ICD-Code
   2. Zeitpunkt der ersten Erfassung
   3. Seitenlokalisation
      
      
4. Laborwerte
   1. Neuronenspezifische Enolase (NSE):
      1. konkreter Wert
      2. Zeitpunkt der Erfassung
      3. Einheit
      4. Normbereich
   2. Natrium im Serum:
      1. konkreter Wert
      2. Zeitpunkt der Erfassung
      3. Einheit
      4. Normbereich
   3. Kreatinin im Serum (nur bei gewünschter Verwendung des AKI-Sentinel):
      1. konkreter Wert
      2. Zeitpunkt der Erfassung
      3. Einheit
      4. Normbereich
         
         
5. Messwerte / Vitalzeichen:
   1. konkreter (Mess-)Wert bzw. konkrete Ausprägung
   2. Zeitpunkt der Erfassung
   3. Parameter:
      1. Glasgow Coma Scale (GCS)
      2. Pupillenstatus
      3. zerebraler Perfusionsdruck (CPP)
      4. intrakranieller Druck (ICP)
         
         
6. Texte von radiologischen und allgemeinen Befunden
   1. Zeitpunkt der Erfassung
   2. Typ (allgemein oder radiologisch [bildgebende Diagnostik]; Befund oder Beurteilung)
   3. Inhalt

2. Pat.- bzw. Fall-Kollektive

…deren Daten aus den Datenquellen übernommen werden:

1. Aktuell auf Intensivstationen behandelte, beatmete Pat./Fälle:
   1. Fallstamm- bzw. Aufenthaltsdaten [1.1]
   2. Personenstammdaten [1.2]
   3. Diagnosen [1.3]
   4. Laborwerte [1.4]
   5. Messwerte / Vitalzeichen [1.5]
   6. Texte von radiologischen und allgemeinen Befunden [1.6]
      
      
2. Alle stationär behandelten Pat./Fälle:
   1. Fallstamm- bzw. Aufenthaltsdaten [1.1]
   2. Personenstammdaten [1.2]
   3. Diagnosen [1.3] (relevant für die automatisierte Kommunikation mit der Deutschen Gesellschaft für Gewebetransplantation - DGFG)
   4. Laborwert - Kreatinin im Serum [1.4.3] (nur bei gewünschter Verwendung des AKI-Sentinel)

3. Automatische Löschung der Daten

1. Die Daten aller abgeschlossenen stationären Fälle werden nach einem frei zu wählenden Intervall automatisch gelöscht.
2. Die konkrete Länge des Intervalls hängt von einem ggf. existierenden Wunsch nach retrospektiver Auswertung von "TransplantAct-Daten" ab.

4. Betriebssystem-Benutzerkonto

1. Das Benutzerkonto root des virtuellen "TransplantAct-Servers" gestattet den vollständigen Zugriff auf alle dort verfügbaren Daten.
2. Die zugehörigen Zugangsdaten sind i.d.R. ausschließlich der IT-Abteilung der jeweiligen Einrichtung bekannt.
3. Reguläre Nutzer des TransplantAct-Systems benötigen keinen "eigenen", direkten Zugang zur virtuellen Maschine bzw. zur Betriebssystem-Ebene.

5. Datenbank-Benutzerkonten

1. Die Zugangsdaten aller Benutzerkonten der systemeigenen Datenbank sind i.d.R. ausschließlich der IT-Abteilung der jeweiligen Einrichtung bekannt.
2. Reguläre Nutzer des TransplantAct-System benötigen keinen "eigenen", direkten Zugang zur TransplantAct-Datenbank.
3. Konten:
   • postgres
     • Besitzer der gesamten PostgreSQL-Instanz.
   • transplantact
     • Besitzer der TransplantAct-/AKI-Sentinel-Datenbank.
   • ta_admin
     • Verfügt über (schreibenden!) DML-Zugriff auf alle Tabellen (einschließlich aller Hinterlegungen).
     • Wird für routinemäßig durchgeführte Wartunsarbeiten wie bspw. die jeweils zum Jahresende notwendige Installation der neuen ICD- und OPS-Kataloge benötigt.
   • ta_prozessor
     • In seinem Kontext wird die gesamte Datenverarbeitung der eigentlichen (Java-)Applikation ausgeführt. Es verfügt über SELECT-Berechtigungen für alle Tabellen und Views, (schreibender) DML-Zugriff ist jedoch lediglich auf die direkt Personen- und Fall-bezogenen Tabellen möglich.
   • ta_auswertung
     • Verfügt lediglich über "Lese"- / SELECT-Berechtigungen für alle Tabellen und Views (um bspw. Auswertungen / Abfragen ausführen zu können).

6. E-Mail-Versand

1. Der Versand der resultierenden Meldungen wird i.d.R. über das "hauseigene", komplett selbst administrierte, beherrschte und abgesicherte E-Mail-System der jeweiligen Einrichtung erfolgen.
   
   
2. Alternativ und/oder zusätzlich kann eine Pseudonymisierung erfolgen, indem alle unmittelbar Personen-bezogenen Details (Nachname, Vorname, Geburtsdatum, Geschlecht) nicht Gegenstand der Mitteilung werden; in diesem Einsatzszenario können die Empfänger (bspw. die Transplantationsbeauftragten) die betreffenden Personen bzw. die relevanten, gemeldeten Fälle im Quellsystem (KIS, PDMS, LIS) über die in den Nachrichten lediglich noch aufgeführten Fall-Identifikatoren ("Fallnummern") selektieren.
   
   
3. Geplantes Feature: künftig soll der Versand der Meldungen auch in Gestalt von sicher verschlüsselten, Passwort-geschützten PDF-Dateien erfolgen können. Abgesehen von der als Attachment beigefügten PDF-Datei würden die E-Mails selbst keine Personen- oder Fall-bezogenen Details mehr enthalten.