Der für die Anfrage Berechtigte erhält eine Bildschirmmaske, in die er identifizierende Angaben zum Patienten sowie ergänzende Angaben einträgt.
Als Antwort erhält er einen PID für den Patienten.
Um festzustellen, ob für den angefragten Patienten schon ein PID vorliegt, soll ein stochastisches Match-Verfahren verwendet werden, das die Wahrscheinlichkeit eines Homonym-Fehlers (= falsche Gleichsetzung zweier verschiedener Personen) minimiert. Die Basis des Match-Verfahrens bilden Häufigkeitstabellen für die Ausprägungen der einzelnen Merkmale in der relevanten Population. Diese Häufigkeitstabellen werden bei der Initialisierung des Verfahrens mit Hilfe eines typischen Datenbestands angelegt und aufgrund der getätigten Abfragen laufend aktualisiert. Aus den Häufigkeitstabellen werden Gewichte für den Match-Algorithmus hergeleitet, die entsprechend aktualisiert werden.
Da diese Häufigkeitstabellen in unbefugten Händen evtl. personenbeziehbare Informationen preisgeben könnten, werden die Merkmalsausprägungen in verschlüsselter Form, als »Kontrollnummern«, abgelegt.
Verwendet werden für den Match-Algorithmus die Daten:
Der Abgleich ist auch möglich, wenn nicht alle Daten vorliegen; der Mindest-Datenumfang ist: Name, Vorname, Geburtsdatum.
Synonym-Fehler (= Nichterkennen der richtigen Zuordnung und daher Erzeugung eines neuen PID) müssen zu Gunsten der Minimierung der Homonym-Fehler evtl. in Kauf genommen werden. Sie können in der Regel bei der Aufnahme des Patienten ins Kinderkrebsregister erkannt und beseitigt werden.
In einem ersten Schritt wird zunächst ein deterministisches Abgleich-Verfahren implementiert, dessen Spezifikation folgt.
Falls der Patient beim Abgleich als schon vorhanden identifiziert wird, wird der vorhandene PID ausgegeben, ansonsten ein neuer erzeugt. Um welchen dieser beiden Fälle es sich handelt, wird in der Regel nicht mitgeteilt, da die Tatsache, ob ein Patient schon früher einmal gemeldet wurde, eine schützenswerte Information ist. In seltenen Zweifelsfällen erfordert die Sicherheit vor Homonymfehlern allerdings eine Rückmeldung, die den Zweifelsfall beschreibt; sie lässt eventuelle Rückschlüsse auf vorhandene Fälle zu.
Als PID wird eine mit einem geheimen Schlüssel verschlüsselte laufende Nummer verwendet. Die Spezifikation dieses Verfahrens folgt.
Identifizierende Angaben | |
---|---|
Nachname | Zeichenkette |
anderer Nachname | Zeichenkette |
Vorname | Zeichenkette |
Geburtsdatum: | |
Tag | [1 .. 31] |
Monat | [1 .. 12] |
Jahr | ganze Zahl, 4-stellig |
Ergänzende Angaben | |
Sicherheit des Namens | Auswahl sicher/unsicher |
Postleitzahl | Zeichenkette 7-stellig |
Wohnort | Zeichenkette |
Staat | Auswahl (*) |
Geschlecht | Auswahl männlich/weiblich/unbekannt |
Durch die Abfrage erzeugte Daten | |
anfordernde Stelle | Zeichenkette |
Jahr der Anforderung | ganze Zahl, 4-stellig |
Geburtsname: |
erster Bestandteil |
zweiter Bestandteil |
dritter Bestandteil |
phonetischer Code 1 |
phonetischer Code 2 |
anderer Name: |
erster Bestandteil |
zweiter Bestandteil |
dritter Bestandteil |
phonetischer Code 1 |
phonetischer Code 2 |
Vorname: |
erster Bestandteil |
zweiter Bestandteil |
dritter Bestandteil |
phonetischer Code 1 |
phonetischer Code 2 |
Geburtsdatum: |
Tag |
Monat |
Jahr |
Gemeindekennziffer |
Staat |
Geschlecht |
Die Merkmalsausprägungen werden vor dem Abgleich durch Kontrollnummern ersetzt.
Je eine Tabelle für die folgenden Merkmale, bestehend aus den Spalten »Merkmalsausprägung« und »Häufigkeit«:
Geburtsname |
Geburtsname in Kölner Phonetik |
Geburtsname in Hannoveraner Phonetik |
anderer Name |
anderer Name in Kölner Phonetik |
anderer Name in Hannoveraner Phonetik |
erster Vorname |
erster Vorname in Kölner Phonetik |
erster Vorname in Hannoveraner Phonetik |
weiterer Vorname |
weiterer Vorname in Kölner Phonetik |
weiterer Vorname in Hannoveraner Phonetik |
Geburtsdatum Tag |
Geburtsdatum Monat |
Geburtsdatum Jahr |
Gemeindekennziffer |
Staat |
Die Merkmalsausprägungen werden jeweils durch eine Kontrollnummer repräsentiert, werden also nicht als Klartext gespeichert.
Die zum Abgleich verwendete Tabelle aller bereits vergebenen PIDs besteht aus den Spalten:
PID |
Kontrollnummernsatz (*) |
Jahr der ersten Anforderung |
erste anfordernde Stelle |
Jahr der letzten Anforderung |
letzte anfordernde Stelle |
Anzahl der bisherigen Anforderungen |
Die Angaben über die bisherigen Anforderungen dienen als Hilfe bei einer evtl. nötigen späteren Korrektur von Synonym-Fehlern sowie zur Löschung offensichtlich nicht mehr benötigter PIDs. Die Bezeichnung der anfordernden Stellen wird verschlüsselt gespeichert.
Die Ortsliste kann vom Krebsregister Rheinland-Pfalz übernommen werden. Die Redundanz durch Postleitzahl und Ortsname kann zur Plausibilitätsprüfung genutzt werden.
Postleitzahl |
Ortsname |
Gemeindekennziffer |
Aufbereitung als HMTL-Seite. Es sollen die eingegebenen Daten sowie der PID zurückgemeldet werden sowie Name des Nutzers (aus der Authentisierung) und Datum und Uhrzeit, dazu gegebenenfalls Hinweise für den Nutzer über die Zuverlässigkeit der Identifizierung.
Ein PID ist dann ungültig, wenn er als Synonym vergeben und dieses später erkannt wurde. Die Ungültigmachung darf nur vom Betreiber des Servers vorgenommen werden; Korrekturanträge können von Berechtigten per E-Mail eingereicht werden.
Verwendet wird ein WWW-Browser, der das Bildschirm-Formular darstellen kann.
Für umfangreiche Datenbestände (z. B. bei der Initialisierung des Verfahrens) soll ein Batchverfahren zur PID-Erzeugung zur Verfügung stehen. Dieses ist nur für den Server-Betreiber vorgesehen und soll nicht automatisiert, sondern durch Benutzer-Aktion an der Konsole des Servers gestartet werden. [Feinspezifikation steht noch aus.]
Der Dienst soll mindestens lauffähig sein unter
Es soll jede SQL-fähige relationale Datenbank nutzbar sein.
Es soll jeder formularfähige WWW-Browser nutzbar sein.
Programmiersprache: C/C++; CGI-Skripts mit Perl.