Analyse personenbezogener Daten trotz enger Security-Vorschriften in Deutschland 12. Juni 2013

Transkript

1 Analyse personenbezogener Daten trotz enger Security-Vorschriften in Deutschland 12. Juni 2013 Dr. Anselm Schultze (DAK Gesundheit) Sven Andersen (accantec) Sascha Räuschel (SAS)

2 Inhalt Das Umfeld bei der DAK Gesundheit und die datenschutzrechtlichen Herausforderung Das BICC der DAK Gesundheit Das Analytische Informations-System der DAK Gesundheit (AIS) Datenschutz in der gesetzlichen Krankenkasse Die technische Lösung Die Pseudonymbildung Pseudonymisierung im Ladeprozess Die organisatorische Lösung und der Prozess Das Online Legitimationsverfahren 2

3 Das Business Intelligence Competence Center - eine Einordnung in die Organisation der DAK Gesundheit Vorstand Controlling BICC IT-Steuerung IT-Dienstleister Das BICC fungiert in der DAK als Full Service BI-Dienstleister für die Fachbereiche. Der IT-Dienstleister BITMARCK ist zuständig für alle RZ-Dienstleistungen. 3

4 Das Business Intelligence Competence Center Zahlen und Fakten 18 DAK Mitarbeiter in unterschiedlichen Rollen betreuen u.a. 2 BI Portale, 22 DataMarts, 4 BI-Applikationen für 700 Führungskräfte (Führungsinformationssystem), 1300 Business User sowie 100 Power User auf einer Oracle M9000 (ehem. SUN) mit folgenden SAS Software Komponenten: SAS Enterprise DI Server, SAS Enterprise BI Server, SAS Scalable Performance Data Server, SAS Enterprise Guide, SAS Enterprise Miner Das Datenvolumen beträgt über alle Schichten und Umgebungen ca. 24TB, das tägliche Delta beträgt ca. 4 GB 4

5 Metadaten Das Schichtenmodell des Analytischen Informationssystems (AIS) der DAK Gesundheit Steuerungsund Visualisierungsschicht Zugriffsschicht Individuelle Unternehmensdatenschicht Integrierte Datenschicht Historisierte Schicht Datenschleuse Datenbereitstellung Operative Daten Historisierte Datenschicht Staging Area Daten Replikation BICC der DAK BITMARCK 5

6 Datenschutz und AIS ein Widerspruch? Einen 100% Datenschutz im AIS gibt es nicht! Das Konzept des AIS, Daten zu sammeln und zu integrieren steht den Zielen des Datenschutzes konträr entgegen: Ziele Datenschutz Datensparsamkeit Datenvermeidung Zweckbindung Ziele AIS Integration aller Unternehmensdaten Ad hoc Analysen Data Mining unentdeckte Zusammenhänge aufdecken Ziel: Höchstmaß an Freiheiten in der Analytik - datenschutzrechtliche Einschränkung erst bei Verwendung der Analyseergebnisse 6

7 Datenschutz in der gesetzlichen Krankenversicherung Das Sozialgesetzbuch (SGB) verpflichtet den Versicherten in allen sozialen Bereichen zur Offenlegung von Daten über seine persönlichen und sachlichen Verhältnisse. Darüber hinaus werden seine Daten im gesetzlich festgelegten Rahmen ohne seine Mitwirkung an Dritte übermittelt. Der wirksame Schutz dieser Daten ist eine der wichtigsten Voraussetzungen für ein vertrauensvolles Zusammenwirken aller Beteiligten. Sozialdaten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener), die von einem Leistungsträger im Hinblick auf seine Aufgaben nach dem SGB erhoben, verarbeitet oder genutzt werden. Die Verarbeitung von Sozialdaten und deren Nutzung ist nur zulässig, wenn das SGB oder eine andere Rechtsvorschrift sie erlaubt, anordnet oder der Betroffene eingewilligt hat. Pseudonymisierung aller Personen identifizierenden Merkmale führt dazu, dass eine Person im AIS nur durch eine Depseudonymisierung bestimmbar wird. Der pseudonymisierte Datensatz gehört nach Definition nicht zu den Sozialdaten. 7

8 Datenschutz im AIS - das Grundprinzip Operative Systeme Berechtigungen entlang der Geschäftsprozesse erforderlich Identifikation des Versicherten notwendig Pseudonymisierung Depseudonymisierung von Ergebnismengen Analytisches System Keine Berechtigungen erforderlich Für Analysezwecke ist die Kenntnis einzelner Versicherter nicht notwendig Identifizierung eines Versicherten (z.b. über das operative System) muss verhindert und Berechtigungen in den operativen Systemen dürfen über das AIS nicht ausgehebelt werden. Grundregel: Auswertungen, die keine Personen identifizierenden Attribute benötigen, gehören i.d.r. zur Analytik und umgekehrt gehören Anwendungen/Auswertungen, die Personen identifizierende Attribute benötigen, zu den operativen Systemen. 8

9 Inhalt Das Umfeld bei der DAK Gesundheit und die datenschutzrechtlichen Herausforderung Das BICC der DAK Gesundheit Das Analytische Informations-System der DAK Gesundheit (AIS) Datenschutz in der gesetzlichen Krankenkasse Die konzeptionelle und die technische Lösung Grundsätze zum Datenschutz im AIS Die Pseudonymbildung Die organisatorische Lösung und der Prozess Das Online Legitimationsverfahren 9

10 Grundsätze zum Datenschutz im AIS Eine (De-)pseudonymisierung kann erfolgen: wenn Daten aus dem analytischen Informationssystem in einer operativen Anwendung regelmäßig benötigt werden (Batch Legitimationsverfahren) z.b. beim Kampagnenmanagement im operativen CRM-System (muss für jeden Prozess zwischen FB und Datenschutz geklärt werden) falls die Notwendigkeit besteht, Versicherte aus konkreten Analyseergebnissen identifizieren zu müssen (Online Legitimationsverfahren) z.b. beim Versorgungsmanagement VORGEHEN: Kontrolle aller Ein- und Ausgänge des AIS durch transparente Pseudonymisierung bzw. Depseudonymisierung 10

11 Batch-Prozess Schichten und Umgebungen Umgebungen Entwicklung Test Produktion User- Bibliotheken Online Legitimation EG-Prozess Operative Anwendungen Batch Legitimation Nur Weitergabe des Pseudonyms Pseudonymisierung Nur die HDS in Produktion enthält Klartext und Pseudonym. Sie ist für Anwender und Entwickler gesperrt. 11

12 Anforderungen an die Pseudonyme Pseudonyme sollen wieder in Klartexte umgewandelt werden können, ohne auf Referenzlisten angewiesen zu sein Ein Wechsel der Pseudonyme muss möglich sein Ergebnisse alter Abfragen sollen nach einem Pseudonymwechsel depseudonymisiert und/oder repseudonymisiert werden können Es muss möglich sein, nur einen Teil des Klartextes zu pseudonymisieren 12

13 Implementationsalternativen Pseudonymbildung Hashing-Funktionen kommen als surjektive Funktion nicht in Betracht nicht kollisionsfrei nicht rückrechenbar keine Änderung des Ergebnisses bei gleicher Eingabe möglich Außer Funktionswechsel MD5 -> SHA196 o.ä., dies ist aber nicht beliebig häufig durchführbar Triviale Verfahren (Caesar-Chiffre o.ä.) werden nicht betrachtet, da zu einfach zu durchschauen Symmetrische Verschlüsselungsalgorithmen werden den Anforderungen gerecht liefert SAS nicht standardmäßig mit aus 13

14 Pseudonymbildung Pseudonyme werden durch AES-Verschlüsselung gebildet Der Schlüssel ist ausschließlich dem Pseudonymisierungs-Server bekannt Der Schlüssel kann geändert werden. Anschließend ist eine Repseudonymisierung aller DWH-Tabellen durchzuführen! Allen Pseudonymen steht eine Versionsnummer des verwendeten Schlüssels vor, um auch alte Pseudonyme entschlüsseln zu können Die De-/Pseudonymisierung wird durch einen spezifischen Pseudonymisierungs-Server durchgeführt Der Serverprozess läuft unter einem separaten technischen Benutzerkonto, der komplett von der SAS - Umgebung getrennt ist Implementiert in Java 14

15 Schnittstelle SAS und Pseudo-Server Die Schnittstelle zwischen Pseudonymisierungs-Server und SAS - Programmen stellen 3 SAS Makros dar 1. Pseudonymisieren 2. Depseudonymisieren 3. Repseudonymisieren Allen 3 Makros muss die notwendige Information zur Authentifikation gegenüber dem Pseudonymisierungs-Server beim Aufruf übergeben werden (Shared-Secret) DI-Studio-Transformationen als Wrapper um die Makros 15

16 Übersicht Trennung Pseudonymisierungs- Server von der SAS Umgebung Pseudo-Server Eigene Umgebung mit separatem technischen Benutzer Authentifikation SAS Makros SAS Umgebung Stored Process für Power User Batch-Jobs 16

17 Inhalt Das Umfeld bei der DAK Gesundheit und die datenschutzrechtlichen Herausforderung Das BICC der DAK Gesundheit Datenschutz in der gesetzlichen Krankenkasse Das Analytische Informations-System der DAK Gesundheit (AIS) Die konzeptionelle und die technische Lösung Grundsätze zum Datenschutz im AIS Die Pseudonymbildung Die organisatorische Lösung und der Prozess Das Online Legitimationsverfahren 17

18 Das Online Legitimationsverfahren Grundsätze Im Online Legitimationsverfahren wird dem Power User (SAS Enterprise Guide Anwender) die Möglichkeit gegeben, bei Bedarf mittels eines SAS Stored Process eigenverantwortlich, protokolliert und zeitnah pseudonymisierte Versichertendaten in Klartext umzuwandeln bzw. Klartextinformationen für die Verarbeitung mit Daten aus dem AIS zu verschlüsseln. 18

19 Das Online Legitimationsverfahren Bisheriger Arbeitsablauf Bisheriger Arbeitsablauf am Beispiel einer Depseudonymisierung Power User Analysen im SAS Enterprise Guide erstellen Ergebnis als CSV oder XLS Export per an BICC Export per an Power User senden zur weiteren Verarbeitung Ergebnis exportieren BICC Daten in SAS einlesen und depseudonymisieren 19

20 Das Online Legitimationsverfahren Bisheriger Arbeitsablauf Optimierungsbedürftig, da zusätzliche Arbeitsschritte für die Power User notwendig sind (Export und versand, ggf. erneuter Import für Weiterverarbeitung) unnötige Zeitverzögerungen durch Schnittstellen entstehen können (Power User BICC Power User) ein Medienbruch stattfindet (mehrfacher Datenexport und versand) zusätzlicher Aufwand im BICC erzeugt wird, der eher in den Aufgabenbereich der Power User fällt. Power User Analysen im SAS Enterprise Guide erstellen Ergebnis als CSV oder XLS exportieren Export per an BICC senden BICC Export per an Power User senden zur weiteren Verarbeitung Ergebnis exportieren Daten in SAS einlesen und depseudonymisieren 20

21 Das Online Legitimationsverfahren Optimierter Arbeitsablauf Optimierter Arbeitsablauf am Beispiel einer Depseudonymisierung Power User Analysen im SAS Enterprise Guide erstellen SAS Stored Process innerhalb des SAS Enterprise Guide aufrufen Ergebnisse direkt weiterverarbeiten 21

22 TAN Listen Protokollierung Das Online Legitimationsverfahren Organisatorischer Gesamtprozess FK übergibt TAN bei Bedarf an Power User Führungskraft (FK) Gibt persönlich TAN weiter Power User Power User führt (De-)Pseudonymisierung selbstständig im SAS Enterprise Guide BICC erstellt TAN Listen für die FK und verschickt sie an die FK BICC Informiert über Freischaltung Datenschutz Datenschutz hat Zugriff auf alle Vorgänge der Power User über ZARA 22

23 Das Online Legitimationsverfahren Technischer Ablauf Arbeitsplatz Pseudonymisierungsserverdienst Server Backend TAN Verwaltung Power User SAS Makros Daten Protokollierung Aufruf des SAS Stored Process, Eingabe der Parameter Aufruf der SAS Makros, Übergabe der Parameter Prüfen der übergebenen TAN Deaktivierung der übergebenen TAN Authentifizierung ggü. Pseudonymisierungsserverdienst Lesen der Eingabedaten Übergabe der Eingabedaten an Pseudonymisierungsserverdienst Übergabe der Ausgabedaten an SAS Makro Schreiben der Ausgabedaten Schreiben des Protokolldatensatzes 23

24 Vielen Dank für Ihre Aufmerksamkeit