2b. Kryptographische Protokolle
Pseudonyme: Anwendungsbeispiel Krebsregister
Hintergrund
- Meldung aller Krebsfälle an zentrale Register.
- Zweck: Epidemiologische Erforschung der Krebserkrankungen
(Ursachen, Auswirkungen von Vorsorge- und Therapiemaßnahmen).
- Register auf der Ebene der deutschen Bundesländer
(z. B.
Rheinland-Pfalz),
dazu das Deutsche
Kinderkrebsregister.
- Bundes- und Landeskrebsregistergesetze.
Anforderungen
- Die Abgleichsprozedur soll Synonym- und Homonym-Fehlerraten minimieren.
- Insbesondere muss das Register in der Lage sein, durch Abgleich
Mehrfachmeldungen zu erkennen (»record linkage«).
- Die Register der verschiedenen Bundesländer sollen ihre Bestände
abgleichen können.
- Insbesondere ist ein pseudonymes Abgleichverfahren wünschenswert.
- Dieses sollte auch bei leicht fehlerhaften Eingabedaten noch
funktionieren. (Zielkonflikt zur vollen Pseudonymität!)
- Unter kontrollierten Umständen soll die Aufdeckung von Pseudonymen
möglich sein.
- Der Besitzer soll sein eigenes Pseudonym nicht aufdecken können.
(Aufklärung durch Arzt, nicht durch Registerabfrage.)
Realisierung
- Aufteilung des Krebsregisters in Vertrauensstelle und Registerstelle:
- Vertrauensstelle erzeugt Pseudonyme.
- Registerstelle speichert nur pseudonymisierte Daten.
- Pseudonyme zweiteilig:
- Teil: deterministisch mit Hilfe von Hash-Funktion
(schlüsselabhängig).
Aufteilung in Kontrollnummern, um Fehlerrate zu minimieren.
- Teil: durch asymmetrische Verschlüsselung der ID,
Rückschlüssel bei externer Aufsichtsstelle.
Der erste Teil des Pseudonyms ermöglicht die Zusammenführung
von Mehrfachmeldungen.
Der zweite Teil des Pseudonyms ermöglicht Identifizierung des Patienten
unter Kontrolle der Aufsichtsstelle.
- Länderübergreifender Abgleich über gemeinsamen
Einmalschlüssel auf der Ebene der Kontrollnummern.
- Pseudonyme werden nicht öffentlich zugänglich gemacht.
Der Vertrauensanspruch an die zentrale Stelle ist bei diesem Modell groß.
Daher auch die Bezeichnung »Vertrauensstelle«. Sie steht unter
ärztlicher Leitung.
Literatur
K. Pommerening, M. Miller, I. Schmidtmann, J. Michaelis:
Pseudonyms for cancer registry.
Meth Inf Med 35 (1996), 112-121.
Klaus Pommerening: Krebsregister. F!FF Kommunikation 4/93, 64-66.
http://www.uni-mainz.de/~pommeren/Artikel/krebsreg.html
Vorlesung Datenschutz und Datensicherheit,
Johannes-Gutenberg-Universität Mainz
Autor: Klaus Pommerening, 31. März 1999;
letzte Änderung: 25. Dezember 2001.
E-Mail an Pommerening »AT« imbei.uni-mainz.de.