Glossar
Stand: 2020-11-12 Autoren: Martin Bialke, Stefan Lang, Sebastian Stäubert, Danny Ammon, Lars Geidel, Christian Maier
HINWEIS: Eine Person kann Betroffener, Patient und Teilnehmer (einer Studie oder eines Registers) gleichermaßen sein. Der Einfachheit geschuldet wird in diesem Glossar vom Kontext “Patient” ausgegangen.
Übersicht der Begriffe und Synonyme
Nachfolgende Übersicht listet thematisch sortiert relevante Begriffe im Einwilligungsmanagement (DE und EN) und gleicht existierende Synonyme der einzelnen Systeme/Spezifikationen in FHIR, IHE APPC, IHE BPPC und gICS miteinander ab.
| Begriff (DE) | Begriff (EN) | Beschreibung (DE) | FHIR | APPC | BPPC | gICS |
|---|---|---|---|---|---|---|
| Patienteninformation | Patient information | Ausführliche Information für betroffene Personen und Patienten durch geschultes Personal zur Aufklärung über Zweckbezug der Einwilligung, Auswirkungen der Teilnahme und Widerrufsmöglichkeiten. | ||||
| Einwilligung | Consent / Patient Privacy Consent | Auf Basis einer Einwilligungsvorlage erstelltes Einwilligungsformular (mit Zweckbezug) mit Datumsangabe und Personenbezug. | Consent | Policy Resource | Consent | Consent |
| Informierte Einwilligung | Informed Consent | Eine informierte Einwilligung setzt voraus, dass speziell geschultes Personal den Patienten umfassend und rechtzeitig über Inhalte und Auswirkungen seiner Einwilligung aufgeklärt hat. Der Patient hatte zudem die Möglichkeit Fragen zu stellen und wurde über die Möglichkeiten des Widerrufs der Einwilligung informiert. | Consent | Consent | Consent | Consent |
| Implizite Einwilligung | Implicit Consent | Patient hat ohne aktives handeln eingewilligt. Einheitliche Dokumentation erfolgt nach Gesetzesvorgabe (Opt-Out) | ||||
| Explizite Einwilligung | Explicit Consent | Patient erteilt aktiv und nachvollziehbar eine Einwilligung (Opt-In) | ||||
| Widerspruch | Objection | Erfolgt die Erhebung von Forschungsdaten auf gesetzlicher Grundlage, z.B. Krebsregistergesetz, ist keine Einwilligung des Betroffenen erforderlich. Diese Verarbeitung OHNE vorherige Einwilligung des Betroffenen, kann ggf. durch einen Widerspruch des Betroffenen gemäß Art. 21 DSGVO beendet werden. | Withdrawal | |||
| Widerruf | Withdrawal | Rückzug einer vormals gegeben Einwilligung gemäß Art. 7 DSGVO | Withdrawal | |||
| Vollständiger Widerruf | Full Withdrawal | Ein Widerruf, der sich auf die gesamte Einwilligung und somit auf alle Policies aus dieser Einwilligung bezieht. | ||||
| Teilweiser Widerruf | Partial Withdrawal | Ein Widerruf, der sich auf einen oder mehrere Teile (Module, Policies) einer Einwilligung bezieht, jedoch kein vollständiger Widerruf ist. | ||||
| Einwilligungsdomäne | Consent Domain | Organisatorische Einheit (Mandant), z.B. eine Studie, ein Projekt oder ein Institut. oder auch Geltungsbereich | Organization (Krankenhaus Dokument) bzw. Research Study im Fall einer Studie | Policy Domain | Policy Domain | Consent Domain |
| Einwilligungspolicy | Consent Policy | Atomare Aussage zu der eine Person seine Einwilligung erteilen kann, z.B. Speichern von Bioproben | Action | Policy (auf konzeptioneller Ebene) und XACML Rule (auf technischer Ebene) | Policy | Consent Policy |
| Einwilligungsmodul | Consent Module | Ein Modul gruppiert zugeordnete Policies (z.B. thematische Nähe oder Abhängigkeit der Policies). | Provision | Policy und Policy Set (zwei unterschiedlich verknüpfbare Hierarchie-Ebenen): a) mit Kindpolicies (PolicySet), b) ohne Kindpolicies (Policy) |
N/A: keine Gruppierung vorgesehen | Consent Module |
| Einwilligungsvorlage | Consent Template | Ein Template definiert die inhaltliche Struktur des Consents in Bezug auf zugeordnete Module, Reihenfolge der Module, Angaben über Pflichtmodule und zu verwendende Status. Es kann einleitenden Text (Header) und eine Abschlussbemerkung (Footer) enthalten. | Questionaire | N/A | N/A | Consent Template |
| Einwilligungsstatus | Consent Status | Ausprägung der Zustimmung einer betroffenen Personen bezogen auf ein Einwilligungsmodul bzw. 1-n Einwilligungspolicies (z.B. zugestimmt, abgelehnt, widerrufen, invalidiert, etc.) | ProvisionType (deny/permit), Gültigkeit bestimmt durch Start- und Stopzeitpunkt, Unterscheidung innerhalb der Regeln möglich, Dokument muss Status APPROVED haben, Schachtelung von Regeln zulässig | vergleichbar mit FHIR Provision period (nur invertiert) | Es wird nur in Consent aktiv und Consent nicht aktiv unterschieden | Consent Status (accepted, declined, withdrawn, invalidated, ...) |
| Regel | Rule | Maschinenauswertbare Aussage mit Zweckbezug, berechtigte Entität, Bezug zu Einwilligung und Zulässigkeitsangabe (ausgefüllt) | Consent.Provision (inkl. möglicher Ausnahmen) | Policy Rule (XACML) | N/A | Signed Policy plus Abfragelogik |
| Regelsatz | Rule Set | Satz von zulässigen Regeln (ausgefüllt) | Consent.Provision (inkl. möglicher Ausnahmen) | Verschachtelung von Policy Sets (XACML) | N/A | Signed Policy plus Abfragelogik |
| Personenbezug | Related Person who Consent relates to | Die Einwilligung enthält typischerweise keine personenbezogenen Informationen, wie Adresse oder Geburtstag der betroffenen Person (Teilnehmer, Patient, Behandlungsfall, …). Um den Bezug zwischen Person und Einwilligung herzustellen, wird die Einwilligung mit mindestens einem eindeutigen Personenidentifikator versehen. Dies kann je nach Anforderungen die Fallnummer, ein Patienten-Identifikator, die Angabe eines Bevollmächtigten oder ein Studienpseudonym, o.ä. sein. | Patient or Performer | PolicySubject | N/A | Signer ID |
| Aufklärende Person | Informing Person | Arzt, Studienpersonal, Fachkraft die Patientenaufklärung durchführt | provenance practitioner | N/A | N/A | Arzt bzw. Physician |
| Bevollmächtigter | Authorized Representative | Bevollmächtigte Person die stellvertretend für einen Patienten die Korrektheit der Einwilligung schriftlich bestätigt | provenance on behalf of | N/A | N/A | Signer |
| Policy Repository | Policy Repository | Persistenter Speicher für Policies | N/A | Policy Repository | N/A | gICS verwaltet Policies selbst, FHIR konforme Abrufbarkeit in Vorbereitung |
| Policy Decision Point (PDP) | Policy Decision Point | Verantwortliche Stelle zur Evaluation von Anfragen, zur Prüfung der Anfrage gegen die vorhandenen Policies und zur Entscheidung über die Autorisierung | N/A | Policy Decision Point | N/A | gICS stellt alle nötigen Informationen zur Zulässigkeit von Aktionen abfragbar bereit,FHIR/IHE konforme Implementierung geplant |
| Policy Enforcement Point (PEP) | Policy Enforcement Point | Verantwortliche Stelle zur Durchsetzung der Entscheidung des PDP | N/A | Policy Enforcement Point | N/A | N/A |
Inhaltlicher Zusammenhang der Begriffe
Um die zahlreichen Begrifflichkeiten des Glossars beim Umgang mit Einwilligungen im Kontext von FHIR, IHE (BPPC/APPC) und gICS in Einklang zu bringen und gleichzeitig den Wirkungsbereich des jeweiligen Standards, Profils bzw. Werkzeugs herauszuarbeiten, wurde nachfolgende Abbildung (Datenmodell) erstellt.
Zur Abbildung der Prozesse wird folgende Umsetzung realisiert:
Das TemplateModule stellt dabei wiederverwendbare, Module mit Fragen dar, die mit Policies verknüpft sein können.
Diese Module werden mit Hilfe des TemplateFrame in projekt- bzw. aufgabenspezifische Strukturen zusammengeführt.
Aus dem definitorischen Artefakt des TemplateFrame wird dann ein QuestionnaireComposed generiert, das z.B. von beliebigen Questionnaire-Rederern verarbeitet und dargestellt werden kann.
Die hierin eingegebenen Daten werden FHIR-konform in einer QuestionnaireResponse abgelegt.
Hieraus wird wiederum der strukturierte und ggf. maschinenverarbeitbare Einwilligungsstatus (Consent) generiert.
Grundsätzlich ist es möglich, in einer Implementierung auch lediglich Teile hiervon umzusetzen.
Zusammenfassung
Während gICS und FHIR den Anwendungsschwerpunkt auf die Bereiche Beschreibung von Einwilligungsvorlagen (Consent Definition) und Abbildung von Einwilligungen und Widerrufen (Consent Documentation/Tracking) legen, ist die automatisierte Anwendung der Einwilligungsinhalte auf einen konkreten Forschungsdatenbestand (Consent Enforcement) Anwendungsschwerpunkt von IHE APPC. FHIR kann hier bereits unterstützen.