Quentry FAQ

Frequently Asked Questions

FAQ zum Thema Datenschutz für DWG-Register

1. Wie ist der organisatorische und technische Ablauf der Datenübermittlung von der Klinik an das Register?

Die Übermittlung involviert drei Stellen: das Krankenhaus selbst, die Datensammelstelle (die das Register einschließt), sowie eine unabhängige Vertrauensstelle zur Verwaltung der Pseudonyme.

Im Krankenhaus ist der Endpunkt der Übermittlung die von Mint Medical bereitgestellte Software Origin Desktop. Diese stellt TLS-gesicherte Übertragungsverbindungen zu den Cloud-Diensten der Datensammelstelle einerseits und zur Vertrauensstelle andererseits her. Direkt identifizierende Daten (Versichertennummer und Geburtsdatum) sowie – zu Zwecken der Rekontaktierung – E-Mail-Kontaktdaten der Patienten werden nur an die Vertrauensstelle, Gesundheitsdaten nur an die Datensammelstelle übermittelt. Die in Verbindung mit flüchtigen Transferpseudonymen übertragenen Gesundheitsdaten werden erst in der Datensammelstelle mit dem von der Vertrauensstelle erzeugten dauerhaften Registerpseudonym verknüpft. Patientennamen werden niemals außerhalb des Krankenhauses übermittelt oder gespeichert.
Für konkret definierte Forschungsprojekte werden – unter Berücksichtigung der für das Projekt benötigten Datenkategorien und der Einwilligung des Pateinten – Auszüge in der Datensammelstelle erstellt und zur wissenschaftlichen Auswertung innerhalb einer cloudbasierten Datenanalyseplattform bereitgestellt.
Die Verwendung der Datenübermittlungssoftware Origin Desktop und der Datenanalyseplattform zur wissenschaftlichen Auswertung der Daten ist nur registrierten Nutzern möglich.

2. Werden direkt identifizierende Merkmale (Name, Versicherungsnummer etc.) meiner Patienten an das Register übertragen?

Nein. Direkt identifizierende Daten werden an die Vertrauensstelle übertragen, die daraufhin zwei Pseudonyme generiert: Ein permanentes Pseudonym für die Speicherung in der Datensammelstelle, die es erlaubt, Folgedaten dem richtigen Patienten/der richtigen Patientin zuzuordnen, sowie ein flüchtiges Pseudonym nur für die Übertragung der Datenerfassungsformulare vom Krankenhaus an die Klinik. Das flüchtige Pseudonym wird in alle elektronischen Formulare eingebettet, die im Krankenhaus befüllt und an das Register geschickt werden, um die korrekte Zuordnung der Daten in der Datensammelstelle sicherzustellen. Nur die Vertrauensstelle kann jemals eine direkte Verknüpfung zwischen dem Registerpseudonym und den direkt identifizierenden Daten herstellen.

3. Was ist der Speicherort der Daten?

Die Registerdienste und -datenbanken werden in Rechenzentren der Amazon Web Services an europäischen Standorten gehostet. Die datenschutzrechtliche Verantwortung dafür liegt beim Betreiber der Datensammelstelle, Mint Medical GmbH.

4. Benötigen Mitarbeiter des Registers Zugriff auf mein Netzwerk, um die Software zu installieren oder Fernwartung daran vorzunehmen?

Nein. Es handelt sich um eine portable Applikation, die durch Ihre eigene IT-Abteilung mit minimalen Aufwand installiert werden kann. Sollte es erforderlich sein, die Software zu aktualisieren, so wird Ihnen dafür ein neuer Downloadlink zur Verfügung gestellt.

6. Warum ist keine Auftragsverarbeitungsvereinbarung erforderlich?

Die Datenverarbeitung innerhalb der Klinik erfolgt in datenschutzrechtlicher Verantwortung der Klinik.

Die Datenverarbeitung in der Datensammelstelle erfolgt in getrennter datenschutzrechtlicher Verantwortung der Mint Medical GmbH. Diese ist verantwortlich ab der Initiierung der Übermittlung der Daten für jede Datenverarbeitung, die zum Zweck der Übertragung an die Datensammelstelle erfolgt.

Eine Ausnahme hierzu bildet die Pseudonymisierung. Diese erfolgt in getrennter Verantwortlichkeit der Nortal AG als Vertrauensstelle. Die Mint Medical GmbH ist gegenüber der Vertrauensstelle nicht weisungsbefugt. Auf diese Weise ist eine unabhängige Pseudonymisierung sicher gestellt.

Innerhalb des Teils der Datensammelstelle, der das DWG-Register bildet, sind die Akademie der Deutschen Wirbelsäulengesellschaft gGmbH und die Mint Medical GmbH gemeinsam verantwortlich. Der wesentliche Inhalt der Vereinbarung über die gemeinsame Verantwortlichkeit kann unter folgendem Link eingesehen werden: Informationen zur gemeinsamen Verantwortlichkeit | Datenfreigabepass.org.

Da an keiner Stelle im Prozess eine Auftragsverarbeitung stattfindet, ist der Abschluss einer entsprechenden Vereinbarung nicht erforderlich.

7. Die Einwilligung zur Datenspeicherung in der Datensammelstelle ist nicht hinsichtlich der Datenkategorien eingeschränkt. Können auf dieser Grundlage tatsächlich beliebige klinische Daten erfasst und hochgeladen werden? Wird “Vorratsdatenhaltung” betrieben?

Nein. Auch wenn eine breite Einwilligung des Patienten vorliegt, bleibt die Verarbeitung weiterhin den Grundsätzen der DSGVO, insbesondere der Zweckbindung nach Art. 5 Abs. 1 lit. b, unterworfen. Das bedeutet: Es können nur Daten in die Datensammelstelle hochgeladen werden, die – zumindest in dem groben Rahmen, der durch das Konzept der “breiten Einwilligung” gesteckt ist – nach wissenschaftlicher Beurteilung für mindestens einen absehbaren Forschungszweck relevant sind. Daten, die entweder ohne Relevanz für die im Register definierten wissenschaftlichen Vorhaben sind oder die der Patient nicht zu teilen bereit ist, können nicht hochgeladen werden.

Für das DWG-Register gilt insbesondere: Die Datenerfassung erfolgt über registerspezifische elektronische Formulare, die in Zusammenarbeit mit der DWG entworfen wurden und die Bandbreite der für die orthopädische Forschung relevanten klinischen Parameter abdecken. Das schließt allerdings potenziell auch anamnestische Daten und Komorbiditäten ein, selbst wenn diese nicht originär dem orthopädischen Bereich zuzuordnen sind. Es werden ausschließlich die Informationen übertragen, die in den unter Datenfreigabepass.de aufgeführten Datenfeldern gespeichert sind.

8. Wie muss der Datenfreigabepass ausgefüllt sein, damit Patient:innen am DWG Register teilnehmen?

Damit Patient:innen am DWG Register teilnehmen können, muss die Nutzung ihrer Daten für die Verarbeitung durch klinische Fachgesellschaften zum Zwecke der Forschung im Bereich Orthopädie frei gegeben sein. Eine detaillierte Information, die auch an Patient:innen ausgehändigt werden kann, finden Sie in der Zusatzinformation zur Einwilligung und Patienteninformation zum Datenfreigabepass.

FAQ zur Origin Desktop Meldesoftware

1. Ich habe in Origin Desktop folgende Fehlermeldung erhalten: "Die Version der Anwendung ist veraltet und benötigt ein Update. Bitte kontaktieren Sie die IT um eine neuere Version einzusetzen. Bitte kontaktieren Sie den Support." Was kann ich tun?

Origin Desktop benötigt ein Softwareupdate. Bitte wenden Sie sich an Ihrer hausinterne IT und
lassen Origin Desktop updaten oder den automatischen Updateservice installieren.

2. Ich habe in Origin Desktop folgende Fehlermeldung erhalten: "Origin Desktop Verbindungsfehler: Die folgenden Webseiten müssen erreichbar sein um die Anwendung zu benutzen: ...".Was kann ich tun?

Die Netzwerkkonfiguration durch Ihre IT ist noch nicht abgeschlossen oder unvollständig. Bitte
melden Sie sich bei Ihrer IT und nennen die nicht erreichbare Adresse.

3. Ich habe in Origin Desktop folgende Fehlermeldung erhalten: "Es war nicht möglich den Patient mit den gegebenen Details zu erstellen oder zu öffnen. Das kann passieren wenn der Pseudonymisierungsdienst nicht verfügbar ist". Was kann ich tun?

Die Fehlermeldung besagt, dass Origin keine Netzwerkverbindung zum Register aufbauen kann. Das
kann folgende Es wurden noch nicht alle Kommunikationsendpunkte bzw. Ports von Ihrer IT-Abteilung
freigeschalten. Bitte lassen Sie sich von Ihrer IT bestätigen, dass alle Anpassungen des
Abschnitts Netzwerkanforderungen erfolgt sind.

4. Ich habe in Origin Desktop folgende Fehlermeldung erhalten: "Der angemeldete Nutzer ist kein Mitglied eines Careteam.". Was kann ich tun?

    Die Fehlermeldung besagt, dass Sie noch nicht Mitglied eines CareTeams sind. Bitte prüfen Sie
    folgende Schritte:

  • Haben Sie sich nach der Anmeldung ein weiteres Mal in Quentry angemeldet und Ihre Angaben
    vervollständigt? Falls nein: Bitte melden Sie sich in Quentry an und ergänzen Sie Ihre Angaben

  • Wurden Sie bereits in ein CareTeam eingeladen? Falls nein: Lassen Sie sich vom Administrator/CareTeam
    Manager in ein CareTeam einladen. Bestätigen Sie die Einladung in Quentry.

  • Wurde Sie bereits eingeladen, aber erhalten sie trotzdem die oben aufgeführte Fehlermeldung:? Falls ja:
    Prüfen Sie unter Benachrichtigungen (Glockensymbol) ob Sie die Einladung akzeptiert haben. Als
    CareTeam Manager werden Ihnen nicht akzeptierte Einladung als Pending Request angezeigt.

5. Ich habe in Origin Desktop Probleme mit der Eingabe der Versicherungsnummer. Was kann ich tun?

Die Versicherungsnummer setzt sich aus einem Großbuchstaben, Acht Ziffern und einer Prüfziffer
zusammen. Die Richtigkeit des Format der Versicherungsnummer wird durch die Prüfziffer geprüft. Da die
Nummer zufällig vergeben wird, gibt es keine Weg diese Nummer direkt zu bestimmen. Bitte probieren Sie die
Ziffern 0-9 durch.

6. Mein Patient ist nicht gesetzlich krankenversichert. Wie kann ich die Versicherungsnummer angeben?

Geben Sie bitte eine in Ihren Haus nachvollziehbare Kennnummer ein und wählen Sie das Kästchen
Privat-/Auslandsversichert aus. Es ist kein Format vorgegeben.

7. Mein Origin Desktop und alle Fragebögen werden nicht auf Deutsch angezeigt. Was kann ich tun?

Die Sprache von Origin Desktop richtet sich nach den Spracheinstellungen Ihres Betriebssystems
(Windows). Sie können unabhängig Ihrer Windows-Einstellungen die Sprache der Fragebögen über Settings
bzw. Einstellung ändern, falls die Fragebögen in anderen Sprachen zur Verfügung stehen.

8. Nach dem Ausfüllen des Datenfreigabepasses/Patienteneinwilligung erscheinen keine Fragebögen. Was kann ich tun?

Bitte prüfen Sie ob die Teilnahmebedingungen für das DWG-Register erfüllt wurden.

    Um am DWG-Register teilnehmen zu können, muss der Patient mindestens folgenden Punkten
    zugestimmt haben:

  • 2.2 Wissenschaft: Klinische Fachgesellschaften
  • 3. Spezifische Einwilligung nach Datentypen und Nutzergruppen: mindestens einen Datentyp für
    Wissenschaft
  • 4. Spezifische Einwilligung nach klinischen Anwendungsfeldern: Orthopädische Erkrankungen
    (Wirbelsäule, Knie, Hüfte, …)

9. Wo kann ich in Quentry Patientendaten anlegen?

Die Eingabe von Patientendaten erfolgt ausschließlich über Origin Desktop.