Anwendungsbeispiel Krebsregister
Anforderungen
- Das Register muß in der Lage sein, durch Abgleich Mehrfachmeldungen zu erkennen (`record linkage').
- Die Abgleichsprozedur soll Synonym- und Homonym-Fehlerraten minimieren.
- Die Register der verschiedenen Bundesländer sollen ihre Bestände abgleichen können.
- Unter kontrollierten Umständen soll die Aufdeckung von Pseudonymen möglich sein.
- Der Besitzer soll sein eigenes Pseudonym nicht aufdecken können. (Aufklärung durch Arzt, nicht durch Registerabfrage.)
Realisierung
- Vertrauensstelle erzeugt Pseudonyme.
- Pseudonyme zweiteilig:
- Teil: deterministisch mit Hilfe von Hash-Funktion
(schlüsselabhängig).
Aufteilung in Kontrollnummern, um Fehlerrate zu minimieren.
- Teil: durch asymmetrische Verschlüsselung der ID,
Rückschlüssel bei externer Aufsichtsstelle.
- Länderübergreifender Abgleich über gemeinsamen Einmalschlüssel.
- Pseudonyme werden nicht öffentlich zugänglich gemacht.
Literatur:
K. Pommerening, M. Miller, I. Schmidtmann, J. Michaelis:
Pseudonyms for cancer registry.
Meth Inf Med 35 (1966), 112-121.
Vorlesung Datenschutz und Datensicherheit
Sommersemester 1996, Fachbereich Mathematik
Johannes-Gutenberg-Universität Mainz
Zurück zum Inhaltsverzeichnis
Autor: Klaus Pommerening, 12. Juni 1996; letzte Änderung: 24. September 1996.
E-Mail an Pommerening@imsd.uni-mainz.de.