In einem früheren Artikel haben wir erörtert, wie Real-World-Evidence (RWE) wichtige Durchbrüche im Gesundheitswesen und in den Biowissenschaften erleichtern und beschleunigen kann. Wir wiesen auch auf die Herausforderung hin, die darin besteht, den Wert von RWD/RWE zu erschließen und gleichzeitig den Datenschutz zu wahren und die Sicherheitsvorschriften einzuhalten, die die Nutzung und Analyse nützlicher und oft geschäftskritischer Datensätze kontrollieren. Prozessgesteuerte Lösungen wie die Deidentifizierung von Daten in Kombination mit Technologien wie der Tokenisierung funktionieren bis zu einem gewissen Grad, müssen aber noch schneller und umfassender sein. Durch die Partnerschaft mit Duality Technologies hat Globant die Führung bei der Unterstützung von Kunden mit einer RWE-Lösung übernommen, die die Nutzung optimiert und den Wert von RWD unabhängig davon, wer sie besitzt und wo sie sich befinden, maximiert. Durch solche innovativen Partnerschaften wird Globant seiner Mission gerecht, die Gesundheits- und Biowissenschaftsbranche durch konkrete technologiegestützte Lösungen neu zu erfinden.
Herausforderungen – RWD/RWE und Datenschutzbestimmungen
Die größte Hürde für den Erfolg einer RWE-Studie sind die Daten. RWE-Studien benötigen große Mengen verschiedener RWD für die Analyse, aber ein solcher Zugang und eine solche Zusammenarbeit werden durch Datenschutzbestimmungen und Sicherheits- und Governance-Bedenken behindert oder sogar blockiert. Um das Potenzial unterschiedlicher Datensätze voll ausschöpfen zu können, müssen diese zudem vollständig nutzbar sein – durch Verknüpfung unterschiedlicher Datensätze, Schemaabgleich usw. – und eine hohe Effizienz aufweisen, um die Geschwindigkeit zu erhöhen, mit der Erkenntnisse gewonnen werden. Wenn es darum geht, diese Anforderungen auf herkömmliche Weise zu erfüllen, kommt es zu Reibungen, die den Bedürfnissen der Teams zuwiderlaufen, die sich für geschäftskritische Erkenntnisse auf RWE verlassen.
Zu viel Zeit und Aufwand vor Beginn der Analysen
Dies ist aus zwei Gründen wichtig: Der erste ist ein Risiko, das mit der gemeinsamen Nutzung von Gesundheitsdaten verbunden ist, die durch Datenschutzbestimmungen geschützt sind. Einrichtungen wie Gesundheitsdienstleister, die die Daten des Gesundheitswesens aufbewahren, müssen die Datenschutz- und Sicherheitsvorschriften einhalten. Zu diesem Zweck deidentifizieren sie traditionell die RWD, bevor sie den Zugriff darauf ermöglichen. Der damit verbundene Aufwand und das Risiko der Reidentifizierung können jedoch die Bereitschaft von Gesundheitsdienstleistern zur gemeinsamen Nutzung von Daten beeinflussen, insbesondere wenn sie nicht über die Infrastruktur, die Ressourcen und das technologische Know-how verfügen, um die Einhaltung der Vorschriften zu gewährleisten.
Zweitens können Daten aus dem Gesundheitswesen umfangreich, komplex und vielfältig sein. Oft sind nach der Erfassung erhebliche Anstrengungen zur Datenbereinigung und -harmonisierung erforderlich. Wenn die Datenaggregatoren diese Aufgabe nicht übernehmen, liegt die Verantwortung bei den Datenverwaltungsteams der Sponsorenorganisation. Sie müssen die Daten für die von verschiedenen Abteilungen verwendeten Analyseinstrumente aufbereiten. Anstatt sich ausschließlich auf die Analyse zu konzentrieren, verbringen sie zusätzliche Zeit mit der Koordinierung dieser Bemühungen, was sich auf die Investitionsrendite (ROI) auswirkt. Außerdem können Verzögerungen die Zeit bis zur Markteinführung verlängern, wodurch sowohl Wettbewerbsvorteile als auch erhebliche Einnahmen verloren gehen. Letztendlich sind es die Patienten, die den höchsten Preis für solche Verzögerungen zahlen, indem sie leiden oder sogar sterben, was hätte verhindert werden können.
Verminderte Datenqualität und -nutzen
Das Entfernen identifizierbarer Informationen aus einem Datensatz reduziert den wertvollen Datenkontext und damit die Qualität und schränkt den Nutzen für die Forschung und die Gewinnung von Erkenntnissen ein: Verringerung der Granularität der Daten, Verallgemeinerung eindeutiger Werte, Maskierung von Ausreißern oder Verringerung des Potenzials für Datenverknüpfungen. Wenn man versucht, Daten aus verschiedenen Quellen miteinander zu verknüpfen, um z. B. Zusammenhänge zwischen bestimmten Krebsarten und bestimmten genomischen Markern zu erkennen, ist dies aufgrund des Fehlens eindeutiger Kennungen eine große Herausforderung. Die Tokenisierung ist zwar eine nützliche Methode zur Verknüpfung deidentifizierter RWD aus verschiedenen Datenquellen, hat aber auch ihre Grenzen. Zu den Nachteilen gehören die hohen Kosten für die Einrichtung und Pflege eines Tokenisierungssystems, insbesondere eines Systems, das große Mengen an RWD verarbeiten kann, sowie das potenzielle Risiko einer erneuten Identifizierung, wenn die Tokenisierungsschlüssel kompromittiert werden. All dies kostet Zeit und Mühe und reicht möglicherweise nicht aus, um die strengeren Datenschutzanforderungen der DSGVO zu erfüllen.
HIPAA
Der Health Insurance Portability and Accountability Act (HIPAA) ist ein US-amerikanisches Bundesgesetz mit den Hauptzielen, die Übertragbarkeit des Krankenversicherungsschutzes zu verbessern, den Datenschutz und die Sicherheit der Gesundheitsinformationen von Patienten zu erhöhen und Standards für den elektronischen Austausch von Gesundheitsdaten festzulegen. Die HIPAA-Datenschutzbestimmungen verlangen, dass geschützte Gesundheitsinformationen (PHI) deidentifiziert werden, bevor sie für Zwecke wie Forschung oder Marketing weitergegeben werden können. Gemäß HIPAA gelten deidentifizierte Daten nicht als geschützte Gesundheitsinformationen (PHI) und unterliegen daher nicht denselben Datenschutzbestimmungen wie PHI. Unter Deidentifizierung versteht man das Entfernen von persönlichen Identifikatoren wie Name, Adresse und Sozialversicherungsnummer aus dem Datensatz. Sie ist erforderlich, wenn die PHI für einen anderen Zweck als die Erbringung von Gesundheitsdienstleistungen verwendet werden. Um wirklich deidentifiziert zu sein, dürfen die Daten nicht mit einer Person in Verbindung gebracht werden können und müssen durch Expertenentscheidungen überprüft werden. Dieser Prozess ist oft eine langwierige Verhandlung zwischen allen Beteiligten, bis ein Gleichgewicht zwischen den Daten, die weitergegeben werden können, und dem Nutzen dieser Daten gefunden ist.
DSGVO
Die Europäische Datenschutzgrundverordnung (DSGVO) ist umfassender und strenger als der HIPAA. Sie umfasst ein breiteres Spektrum personenbezogener Daten, legt den Schwerpunkt auf die informierte und ausdrückliche Zustimmung der betroffenen Personen zur Verarbeitung ihrer Daten und kann auch für deidentifizierte Daten gelten. Im Zusammenhang mit der DSGVO gelten Daten nur dann nicht mehr als personenbezogene Daten und unterliegen daher nicht denselben Anforderungen der DSGVO, wenn sie so verarbeitet wurden, dass sie nicht mehr mit einer identifizierbaren Person in Verbindung gebracht werden können. Daher können strengere Verfahren als die herkömmliche Deidentifizierung – wie Pseudonymisierung oder Anonymisierung – erforderlich sein, um die gemeinsame Nutzung von Gesundheitsdaten im Rahmen der Datenschutzgrundverordnung zu ermöglichen. Wie man sich vorstellen kann, sind der Zeitaufwand, die Kosten und die Einschränkungen bei der Deidentifizierung von Daten bei anonymisierten Daten weitaus ausgeprägter.
Die von den Regulierungsbehörden empfohlene Technologie
Im Juni 2023 veröffentlichte das britische Information Commissioner’s Office (ICO) Empfehlungen sowie Fallstudien (darunter eine, die gemeinsam mit Duality Technologies entwickelt wurde), die einen klaren Weg zur Einhaltung der Datenschutzgrundverordnung (UK GDPR) und zu mehr Effizienz aufzeigen. In ihrem PETs Guide zeigt das ICO, wo und wie verschiedene datenschutzfreundliche Technologien (PETs) die Hauptbestandteile der GDPR-Datenschutzanforderungen erfüllen oder nicht erfüllen. Der Leitfaden erläutert, wie die Verwendung von datenschutzfreundlichen Technologien Einblicke in Datensätze ermöglichen kann, ohne die Privatsphäre der Personen zu gefährden, deren Daten in dem Datensatz enthalten sind, und wie geeignete datenschutzfreundliche Technologien den Zugang zu Datensätzen ermöglichen können, die andernfalls zu sensibel wären, um sie zu teilen. Darüber hinaus hat der britische Informationsbeauftragte empfohlen, datenschutzfreundliche Technologien für Organisationen zu erwägen, die große Datenmengen austauschen.
Der Zugang zu RWD heute und in Zukunft
Angesichts der strengen Datenschutzbestimmungen wie HIPAA und DSGVO ist der Zugang zu RWD und die Erstellung von RWE ein komplexes Thema.
Gegenwärtig erfordert der Zugang zu und die Verwendung von RWD für Forschungszwecke häufig eine Einwilligungserklärung der Patienten, die Sicherstellung, dass die Daten zum Schutz der Privatsphäre der Patienten anonymisiert oder deidentifiziert werden, und manchmal die Überprüfung durch einen ethischen Prüfungsausschuss oder einen institutionellen Prüfungsausschuss (IRB). Diese Maßnahmen sollen sicherstellen, dass die Daten verantwortungsvoll und ethisch korrekt verwendet werden und die Vertraulichkeit der Patienten gewahrt bleibt.
Darüber hinaus wurden Data-Governance-Strukturen eingerichtet, um die Einhaltung dieser Datenschutzgesetze zu gewährleisten. Diese Strukturen legen fest, wer wo und zu welchem Zweck auf die Daten zugreifen kann und wie die Daten geschützt werden. Die Verwendung von sicheren Datenumgebungen, auch bekannt als Datenenklaven oder vertrauenswürdige Forschungsumgebungen (TRE), ist zu einem attraktiven Ansatz für die Nutzung sensibler Daten im Land geworden. Datenenklaven ermöglichen Forschern den Zugriff auf und die Analyse von Daten in einer sicheren Umgebung, ohne dass die Daten die Enklave verlassen können, wodurch die Datensicherheit und der Datenschutz gewahrt bleiben.
Mit Blick auf die Zukunft werden datenschutzfreundliche Technologien (PET) die sichere Nutzung der RWD weiter ermöglichen und optimieren. Datenschutzfreundliche Technologien sind ein Technologiesegment, und spezifische PETs unterscheiden sich nach Software- und Hardwaretypen und den Arten von Anwendungsfällen, die sie unterstützen können. In einigen Fällen ist eine Kombination von datenschutzfreundlichen Technologien der richtige Weg. Zu den wichtigsten Arten von datenschutzfreundlichen Technologien gehören die vollständig homomorphe Verschlüsselung (FHE), die Mehrparteienberechnung (MPC), das föderierte Lernen (FL) und die vertrauenswürdige Ausführungsumgebung (TEE). Im Folgenden finden Sie einige Beispiele, bei denen verschiedene Gesundheitsorganisationen den Einsatz von datenschutzfreundlichen Technologien als nützlich empfunden haben, um ihre Arbeit zu beschleunigen und zu unterstützen:
- PNAS Paper 2020: Das Dana Farber Cancer Institute nutzt FHE, um genomische Daten mit onkologischen Datensätzen zu verknüpfen.
- DARPA-Pressemitteilung 2020: DARPA nutzt FL mit FHE für COVID-19-Forschung.
- ASCO Paper 2023: Das Tel Aviv Medical Center nutzt FHE, um RWD grenzüberschreitend zu erschließen und Durchbrüche in der medizinischen Forschung zu beschleunigen.
- PNAS Paper 2023: Das Dana Farber Cancer Institute, das Tel Aviv Medical Center und andere kombinieren FHE und MPC für ihre Arbeit in der Onkologieforschung.
Erste Schritte
Die Macht von RWD und RWE muss mit großem Respekt vor dem Datenschutz und ethischen Erwägungen eingesetzt werden. Auch wenn die Technologie neue Methoden zur Gewährleistung der Datensicherheit und des Datenschutzes verspricht, bleibt ein umfassender und gemeinsamer Ansatz bezüglich Governance, Ethik und verantwortungsvoller Nutzung von größter Bedeutung. Diese Ausgewogenheit von Innovation und Verantwortung wird sicherstellen, dass RWD/RWE auch in den kommenden Jahren die Wege der Forschung und der Gesundheitsversorgung ebnen werden. Mit der immer stärker zunehmenden Überschneidung zwischen Forschung und Entwicklung und der Gesundheitsversorgung ist es klar, dass RWD und RWE eine entscheidende Rolle dabei spielen, den Weg in eine datengestützte Zukunft der Biowissenschaften zu weisen.
Globant ist eine Partnerschaft mit Duality Technologies eingegangen, einem Unternehmen, das datenschutzfreundliche Technologien anbietet, um unsere Kunden dabei zu unterstützen, den Wert von RWE auf sichere und gesetzeskonforme Weise zu erschließen. Wir nutzen die datenschutzfreundlichen Technologien von Duality, um RWE-Plattformen zu entwickeln, die den Austausch von Gesundheitsdaten und die Zusammenarbeit über Ländergrenzen hinweg ermöglichen und gleichzeitig die lokalen Datenschutzbestimmungen einhalten.
Setzen Sie sich mit uns in Verbindung und machen Sie sich auf den Weg zu einem sicheren und konformen Datenaustausch und RWD-gestützter Forschung.