Verschlüsselung personenbezogener und Abgleich anonymisierter Daten durch Kontrollnummern #

Transkript

1 Verschlüsselung personenbezogener und Abgleich anonymisierter Daten durch Kontrollnummern # W. Thoben, H.-J. Appelrath Oldenburger Forschungs- und Entwicklungsinstitut für Informatik-Werkzeuge und -Systeme (OFFIS) Westerstr , D Oldenburg [thoben, appelrath]@informatik.uni-oldenburg.de Zusammenfassung Diese Arbeit stellt Ausschnitte von Konzept und Realisierung des sich im Aufbau befindlichen Niedersächsischen Krebsregisters vor, dessen Ziel es ist, Meldungen von Krebspatienten zu einem bevölkerungsbezogenen Krebsregister zu verdichten und somit der epidemiologischen Forschung zur Verfügung zu stellen. Um datenschutzrechtlichen Aspekten in einem solchen System gerecht zu werden, findet zunächst eine Anonymisierung der Meldungen statt. Da ein Patient häufig mehrfach über Jahre hinweg von oft unterschiedlichen Meldestellen (Ärzte, Pathologen, Kliniken, Gesundheitsämter etc.) an ein Krebsregister gemeldet wird, muß jeweils ein Abgleich mit dem bereits vorhandenen anonymisierten Datenbestand durchgeführt werden. Hierzu wird das Konzept der Kontrollnummern (Einwegverschlüsselte Kombinationen aus Teilen personenidentifizierender Variablen) eingeführt. Empirische Untersuchungen auf Basis verschiedener Datenquellen dienen dazu, Kontrollnummern bzw. Kombinationen von Kontrollnummern zu definieren, die eine möglichst fehlerfreie Zusammenführung der Datensätze gewährleisten, so daß auch fehlerhafte Meldungen (z.b. mit falschen oder unvollständigen Angaben) korrekt zugeordnet werden. 1 Das Niedersächsische Krebsregister 1.1 Epidemiologische Krebsregister Ziel eines epidemiologischen Krebsregisters ist die kontinuierliche Beschreibung des Krebsgeschehens, die Erzeugung von Hypothesen über mögliche # Erschienen in: H.-H. Brüggemann, W. Gerhadt-Häckl (Hrsg.): Verläßliche IT-Systeme (VIS'95), S , Rostock, April 1995, Vieweg.

2 Ursachen, die Unterstützung gezielter Studien und die Bereitstellung von Basisdaten für die Versorgungsforschung. Die Grundlage dafür bildet eine möglichst vollständige und valide Sammlung gemeldeter Krebsfälle, wobei jeder Krebsfall nur einmal in der Datenbasis geführt werden darf, auch wenn er von verschiedenen Stellen (Ärzten, Kliniken, Nachsorgeleitstellen etc.) mehrfach gemeldet wird [7]. Ein Krebsfall - konkreter seine Meldung - besteht aus personenidentifizierenden Daten (Name, Vorname, Geburtsdatum etc.), epidemiologischen Daten (Diagnosezeitpunkt, Tumorcodierung etc.). Für die routinemäßige Verarbeitung der Meldungen in einem Krebsregister werden lediglich die epidemiologischen Daten benötigt; um jedoch eine Folgeforschung in Form von Studien (z.b. Fall-Kontroll-Studien) durch die Befragung der Betroffenen zu ermöglichen, dürfen die personenidentifizierenden Daten nicht gelöscht werden. In der Bundesrepublik werden derzeit drei Krebsregistermodelle unterschieden, die auf unterschiedliche Art und Weise die Aspekte des Datenschutzes berücksichtigen [18]: Einwilligungsmodell: Der Patient muß gegenüber dem meldenden Arzt für die Meldung an das Krebsregister einwilligen (z.b. Hamburger Krebsregister). Melderechtsmodell: Jeder Arzt darf an das Krebsregister melden, ohne daß der Patient über die Meldung unterrichtet werden muß (z.b. Krebsregister Saarland). Verschlüsselungsmodell: Jeder Arzt darf an das Krebsregister melden, wobei die personenidentifizierenden Angaben lediglich anonymisiert verarbeitet werden dürfen. Bei dieser Form der Krebsregistrierung kann weiter differenziert werden: Zentrale Verschlüsselung: Die Meldungen werden an das Krebsregister übermittelt und dort zentral verschlüsselt (Bundeskrebsregistergesetz, geplantes Niedersächsisches Krebsregister, Krebsregister Rheinland- Pfalz). Dezentrale Verschlüsselung: Die Verschlüsselung wird vom Melder (z.b. Arzt) direkt vorgenommen und die Meldung bereits anonymisiert an das Krebsregister übermittelt (Krebsregister Baden-Württemberg). Sowohl beim Einwilligungsmodell als auch beim Melderechtsmodell werden die Angaben zum Krebsfall in Klartextform von der meldenden Stelle an das Krebsregister weitergereicht, und der Personenbezug einer Meldung bleibt auch im Krebsregister erhalten. Speziell beim Melderechtsmodell, welches international die anerkannte Registrierung von Krebsmeldungen darstellt,

3 werden die ärztliche Schweigepflicht und der Datenschutz am stärksten belastet. In den Arbeiten [5] und [14] werden Ansätze für eine "anonyme Kommunikation" in Rechnernetzen vorgestellt, wobei in einem Krebsregister die Empfängeranonymität aus Sicht des Patienten als primäres Ziel zu gewährleisten wäre. Die Ansätze sind dann auf ein Krebsregister übertragbar, wenn alle Patienten mit eigenen Rechnern (persönliche "Scheckkartencomputer" [5]) ausgestattet wären und die zur Identifikation benötigten digitalen Pseudonyme erzeugen und ausschließlich verwalten könnten, was in absehbarer Zeit jedoch nicht umsetzbar sein wird. Da ein Patient häufig über unterschiedliche Wege an ein Krebsregister gemeldet wird, muß weiterhin gewährleistet sein, daß er jeweils dasselbe Pseudonym verwendet, damit im Krebsregister jeder Fall nur einmal erfaßt wird. Dies ist bei vielen Meldewegen nicht umsetzbar, wie z.b. beim Totenschein vom Gesundheitsamt, bei dem ein möglicherweise vorhandenes Pseudonym nicht verfügbar wäre. Um Abgleiche mit externen Stellen (z.b. Meldeamt zur Erkennung des Vitalstatus bzw. der Wanderungsbewegungen) zu realisieren, müßten dort ebenfalls die eindeutigen Pseudonyme hinterlegt sein. Des weiteren muß ein Krebsregister, um Folgeforschung unterstützen zu können, in der Lage sein, den Patienten bzgl. seiner Einwilligung befragen zu können, so daß eine vollständige Empfängeranonymität aus Sicht eines Krebsregisters nicht durchführbar ist. 1.2 Das verwendete Verschlüsselungsmodell In der Pilotphase zum Niedersächsischen Krebsregister wird im Rahmen des Projekts CARLOS (Cancer Registry Lower-Saxony) das von Prof. Michaelis ([11], [17]) vorgeschlagene und im Bundeskrebsregistergesetz [9] festgelegte Modell der Krebsregistrierung untersucht. Dieses Modell basiert auf zwei unabhängigen, auch institutionell getrennten Stellen (siehe Abb. 1): Die Vertrauensstelle sammelt patientenbezogene Krebsdaten von Ärzten, Nachsorgeleitstellen, klinischen Registern, Pathologen usw. und verschlüsselt die personenidentifizierenden Datenfelder vor Übertragung an die Registerstelle, die die anonymisierten Patientendaten und epidemiologisch relevante Daten speichert, zu einem bevölkerungsbezogenen Krebsregister verdichtet und somit der epidemiologischen Forschung zur Verfügung stellt. Nach dem Bundeskrebsregistergesetz [9] wird dem meldenden Arzt ein Melderecht eingeräumt, wobei der Patient über die Meldung und sein Widerspruchsrecht zu unterrichten ist. Sind für den Patienten durch die

4 Aufklärung jedoch "gesundheitliche Nachteile" zu befürchten, so kann diese Aufklärung unterbleiben, die Meldung an das Krebsregister jedoch erfolgen. Vor der Übertragung der erfaßten Meldungen von der Vertrauensstelle an die Registerstelle sind diese mittels eines Chiffrierverfahrens zu anonymisieren. Krebsregister Arzt/Klinisches Register/ Nachsorgeleitstelle/ Pathologe/Gesundheitsamt/... Anonymisierte Meldung Schlüsseltexte Kontrollnummern Epidemiologische Daten Vertrauensstelle Chiffrierung Kontrollnummern- Generierung Meldung Personenidentifizierende Daten Epidemiologische Daten Rückfragen bei Unklarheiten Anonymisierte Meldung Schlüsseltexte Epidemiologische Daten Kontrollnummern Nicht vorhanden => Neueintrag Vorhanden => Aktualisierung Unklar => Nachfrage Abgleich Register-Datenbank Anonymisierte Meldung 1 Anonymisierte Meldung 2 Anonymisierte Meldung n Registerstelle Abb. 1: Meldeweg im "Michaelis-Modell" Eine Dechiffrierung dieser Fälle zum Durchführen von Studien ist nur nach Erfüllung bestimmter, wohldefinierter Auflagen, die von einer noch festzulegenden Stelle (z.b. Datenschutzbeauftragter, Ethikkommission) kontrolliert werden, in der Vertrauensstelle möglich.

5 Da Daten eines Krebspatienten i.a. mehrfach an ein Krebsregister gemeldet werden und um eine Steigerung der Quantität und Qualität der Registerdatensätze durch eine Integration weiterer externer Datensätze - wie z.b. Angaben aus Totenscheinen oder Pathologenmeldungen - zu erreichen, ist ein Abgleich der anonymisierten Datensätze in der Registerstelle durchzuführen. Hierzu werden sogenannte Kontrollnummern als Abgleichinstrument verwendet (siehe Abschnitt 3), jedoch in Zweifelsfällen (Abgleich liefert das Ergebnis "Unklar") können durch Nachfragen in der Vertrauensstelle diese Unklarheiten beseitigt werden. Dazu werden die Meldungen für einen festgelegten Zeitraum - im Bundeskrebsregistergesetz [9] sind in 4, Abs. 1 dafür 3 Monate vorgesehen - in der Vertrauensstelle aufbewahrt, jedoch dort spätestens nach dieser Zeitspanne oder nach Abschluß der Bearbeitung in der Registerstelle gelöscht und somit nicht dauerhaft in Klartextform gespeichert. In der zweijährigen Pilotphase 1993/ 94 wird in der Weser-Ems-Region unter der Leitung des Niedersächsischen Sozialministeriums und unter maßgeblicher Mitwirkung des Instituts OFFIS sowie Beteiligung der Kassenärztlichen Vereinigung Niedersachsen die Funktionsfähigkeit dieses zentralen Verschlüsselungsmodells geprüft, d.h. die Frage beantwortet, ob der Meldeweg des "Michaelis-Modell" und ein Abgleich anonymisierter Meldungen mit akzeptablen Fehlerraten durchführbar sind ([2], [3], [4]). Das Projekt CARLOS gliedert sich in vier Teilprojekte, von denen im folgenden nur das Teilprojekt II "Chiffrierung/ Dechiffrierung" (siehe Abschnitt 2) und das Teilprojekt III "Abgleich anonymisierter Meldungen" (siehe Abschnitt 3) betrachet werden sollen, da sie sich mit der Umsetzung des "Michaelis- Modells" beschäftigen. In Teilprojekt I wird die Integration weiterer krebsregistrierender Einrichtungen (Klinische Krebsregister, Nachsorgeleitstellen, Pathologen etc.) in das epidemiologische Krebsregister behandelt und in Teilprojekt IV die eigentliche epidemiologische Forschung eines Krebsregisters durch die Entwicklung geeigneter Softwarewerkzeuge vor allem zu Clusteranalyse, Visualisierung, Raumbezug und Datenbankaktivierung vorbereitet [1]. 2 Chiffrierung/ Dechiffrierung 2.1 Grundsätzliche Möglichkeiten In der Kryptographie wird zwischen symmetrischen und asymmetrischen Chiffrierverfahren unterschieden, je nachdem, ob für die Ver- und Entschlüsselung derselbe Schlüssel (symmetrische Verfahren) oder ein Schlüsselpaar (asymmetrische Verfahren) verwendet wird ([6], [16]).

6 Die Hauptaufgabe der Vertrauensstelle ist neben der Erfassung von Neumeldungen auch die Chiffrierung der personenidentifizierenden Daten. Der Einsatz eines symmetrischen Chiffrierverfahrens würde eine Organisation zur Folge haben, in der der Geheimnisträger (Schlüssel des symmetrischen Verschlüsselungsverfahrens) im Dauerbetrieb permanent für die Verschlüsselung der personenidentifizierenden Daten verwendet und dementsprechend auch besonders gesichert werden muß. Da die Dechiffrierung einzelner Patientendaten nur in speziell genehmigten und kontrollierten Fällen durchgeführt wird, stellt sie für die Vertrauensstelle keine besondere Einschränkung dar. Die Arbeitsweise der Vertrauensstelle bei Verwendung eines asymmetrischen Chiffrierverfahrens wäre durch die Aufteilung der Schlüssel auf öffentliche Schlüssel zur Chiffrierung und Geheimnisträger (geheimer Schlüssel) zur Dechiffrierung charakterisiert und würde somit die technischen und organisatorischen Möglichkeiten zu der im Bundeskrebsregistergesetz vorgesehenen Aufgabenteilung schaffen. Die Vertrauensstelle ist in der Lage, die Chiffrierung neuer Meldungen unabhängig vom Geheimnisträger durchzuführen. Dieser kann außerhalb der Vertrauensstelle aufbewahrt und für die speziell zu genehmigenden Fälle der Dechiffrierung durch besondere Sicherheitsmaßnahmen geschützt werden. Diese zweite Variante gewährleistet eine Gewaltenteilung zwischen der Vertrauens-, der Registerstelle und der Stelle, die den Geheimnisträger verwahrt, und wird daher bei der Einrichtung des Niedersächsischen Krebsregisters favorisiert. 2.2 Anonymisierung in CARLOS Da für ein "funktionierendes" epidemiologisches Krebsregister eine Erfassungsrate von mindestens 90 % angestrebt wird, ist für Niedersachsen bei einer Bevölkerung von 7,3 Mio. Einwohnern und einer erwarteten Krebsneuerkrankungsrate von 4,5 Fällen/ Einwohner mit ca Neuerkrankungen/ Jahr zu rechnen. Das Problem höherer Laufzeiten, das die asymmetrischen gegenüber symmetrischen Verfahren aufweisen, ist daher bei derart großen Datenmengen zu berücksichtigen. Eine Chiffrier-/ Dechiffriervariante, die sowohl eine verteilte Schlüsselverwaltung als auch eine hohe Verarbeitungsgeschwindigkeit gewährleistet, ist die "hybride Chiffrierung/ Dechiffrierung" [20].

7 Klartext X Zufälliger Sitzungsschlüssel RSK Symmetrische Chiffrierung: S S = f (X, RSK) Asymmetrische Chiffrierung: SRSK = RSK PK mod n SRSK Schlüsseltext (S, SRSK) Schlüsseltext (S, SRSK) Abb. 2: Hybrides Verschlüsselungssystem Dabei werden die personenidentifizierenden Patientendaten (siehe Abb. 2) unter Verwendung eines zufällig erzeugten, temporären Sitzungsschlüssels (Random Session Key) zunächst symmetrisch chiffriert. Der Sitzungsschlüssel RSK wird anschließend durch das asymmetrische RSA-Verfahren [15] mit dem öffentlichen Schlüssel PK (Public Key) verschlüsselt und die Konkatenation des symmetrisch verschlüsselten Klartextes S und des asymmetrisch verschlüsselten Sitzungsschlüssels SRSK als Ergebnis durch das System geliefert. Der temporäre Sitzungsschlüssel wird anschließend gelöscht. Die symmetrische Chiffrierung innerhalb der hybriden Verschlüsselung wird durch den IDEA-Algorithmus (International Data Encryption Algorithm [10]) mit einer Schlüssellänge von 128-Bit realisiert, wobei der temporäre Sitzungsschlüssel für den IDEA-Algorithmus über das Cypher Feedback- Verfahren [6] generiert wird. Die Reidentifizierung einer Meldung bestimmt zunächst durch die asymmetrische Dechiffrierung mittels des Geheimnisträgers (Secret Key) den temporären Sitzungsschlüssel (RSK), der dann wiederum für die symmetrische Dechiffrierung der personenidentifizierenden Daten genutzt wird.

8 3 Abgleich anonymisierter Meldungen Die Verwendung eines zentralen Verschlüsselungsmodells erfordert, daß der Abgleich der Mehrfachmeldungen in der Registerstelle auf Basis bereits anonymisierter Daten durchgeführt werden muß. Bei einem "naiven" RSA- Verfahren besteht die Möglichkeit, diesen Abgleich über die Schlüsseltexte der personenidentifizierenden Daten der einzelnen Meldungen zu realisieren. Hierbei sind jedoch bereits kleinste Fehler in den Klartexten nach der Anonymisierung in den Schlüsseltexten aufgrund einer hohen Streuung des Verschlüsselungssystems nicht mehr zu erkennen. Bei Verwendung eines indeterministischen, "sicheren" Verschlüsselungssystems, wie es im Niedersächsischen Krebsregister realisiert ist, werden selbst identische Meldungen zu einem Patienten aufgrund der Generierung des zufälligen temporären Sitzungsschlüssels für jede Verschlüsselung auf unterschiedliche Schlüsseltexte abgebildet und sind somit nicht mehr vergleichbar. Ein Abgleich über die Schlüsseltexte ist hier also nicht durchführbar. Der im Rahmen der Pilotphase zum Niedersächsischen Krebsregister untersuchte Ansatz für den Abgleich von Datensätzen (Record Linkage) basiert auf der Verwendung von Kontrollnummern (entsprechen Personenpseudonymen [14]). Kontrollnummern sind deterministische Einwegverschlüsselungen von Zeichenkombinationen aus den personenbezogenen Datenfeldern (z.b. Name, Vorname, Geburtsdatum etc.) einer Meldung. Diese werden in der Vertrauensstelle parallel zur Verschlüsselung der personenidentifizierenden Daten einer Meldung erzeugt (siehe Abb. 1) und zusammen mit dem Schlüsseltext und den epidemiologischen Daten an die Registerstelle übertragen. Eine Einwegverschlüsselung (deterministische Abbildung, deren Inverse "praktisch" nicht bestimmt werden kann) wird genutzt, da die Kontrollnummern nicht wieder reidentifiziert werden müssen. Entscheidend ist die Tatsache, daß die Kontrollnummern selbst nicht auf die Identität des einzelnen Patienten schließen lassen dürfen. Um Probeverschlüsselungen zu verhindern, müssen die Kontrollnummern genügend Entropie enthalten. Die beiden zentralen Forderungen, die Kontrollnummern für den Abgleich von Datensätzen zu erfüllen haben, sind Fehlertoleranz: Datensätze, die zu einer Person gehören, müssen bis zu einem gewissen Grad trotz unterschiedlicher personenidentifizierender Daten genau dieser Person zugeordnet werden, und Trennschärfe: Datensätze, die unterschiedlichen Personen zuzuordnen sind, müssen selbst bei nur geringen Abweichungen ihrer personenidentifizierenden Daten auch unterschiedlichen Personen zugeordnet werden [8].

9 Diese Eigenschaften gewährleisten die Robustheit des Abgleichsystems, d.h. Meldungen werden auch bei Fehlern in den Klartexten korrekt zugeordnet. Solche Fehler entstehen primär bei der Erfassung bzw. Weitergabe der Daten oder durch unvollständige oder nicht korrekte Angaben. Typische Ursachen hierfür sind Tippfehler, phonetische Mißverständnisse bzw. Mehrdeutigkeiten, differierende Angaben und fehlende Angaben [7]. Bei der Generierung der Kontrollnummern und dem Abgleich der Datensätze sind als Fehlerarten zu unterscheiden: Homonyme: Meldungen zu personenendifferenten Krebsfällen werden derselben Person zugeordnet, d.h. eine Kontrollnummer(variable) wird bei unterschiedlichen Personen mit dem gleichen Wert belegt. Synonyme: Verschiedene, aber auf dieselbe Person bezogene Meldungen zu einem Krebsfall werden auf unterschiedliche Personen abgebildet, d.h. eine Kontrollnummer(variable) wird trotz Gleichheit der Person mit unterschiedlichen Werten belegt. Die Fehler entstehen zum einen aufgrund der zuvor dargestellten Ursachen, aber zum anderen auch durch die Konzeption der Kontrollnummern, da sie als Extrakt der personenbezogenen Daten durch die Reduktion der Information selbst Homonyme erzeugen können. Dabei muß berücksichtigt werden, daß es einen "Trade off" zwischen den beiden Raten gibt, d.h. mit sinkender Synonymrate aufgrund höherer Fehlertoleranz steigt die Homonymrate aufgrund der sinkenden Trennschärfe bzw. umgekehrt. Für ein Abgleichsystem gilt es nun, Attribute oder Teile von ihnen für die Kontrollnummerngenerierung zu finden, die möglichst wenig Synonyme und Homonyme erzeugen. Für solche Anwendungsszenarien wurden bereits Ähnlichkeitsmaße in Form von Metriken definiert bzw. die Entwicklung geeigneter Heuristiken forciert ([8], [13]). In Untersuchungen 1 für den Prototypen des Abgleichsystems werden zunächst isolierte Kontrollnummern verwendet, wobei neben ganzen Attributen auch Attributsegmente und verschiedene Zeichenmanipulationsfunktionen (z.b. Phonetischer Code, Länge der Zeichenkette) als Kontrollnummernbestandteile betrachtet werden, die in [8] und [12] als geeignete Vorselektionskriterien definiert sind. 1 Auf eine vollständige Darstellung der Untersuchungsergebnisse soll an dieser Stelle verzichtet und stattdessen auf [3] und [19] verwiesen werden, wobei die in [3] dargestellten Untersuchungen und Ergebnisse im Vergleich zu [19] aufgrund algorithmischer Erweiterungen aktualisiert und wegen weiterer Kontrollen teilweise korrigiert wurden.

10 Es ist festzustellen, daß die Synonymraten (größtenteils > 10%) isolierter Kontrollnummern deutlich höher als die Homonymraten (durchgängig < 1,5%) sind. Ein Grund dafür liegt darin, daß diese Raten durch den Vergleich zweier unterschiedlicher Datenquellen und somit uneinheitlicher Datenerfassungsrichtlinien ermittelt werden. Außerdem ist der "Trade off" von Synonym- und Homonymraten in den Ergebnissen nachweisbar. Die Untersuchungen der isolierten Kontrollnummern zeigen auch, daß der Ansatz insbesondere im Bereich der Trennschärfe (geringe Homonymraten) erfolgversprechend ist, jedoch einzelne Kontrollnummern isoliert keinen sicheren Abgleich, d.h. mit minimalen Homonym- und Synonymfehlern, gewährleisten. Daher werden im zweiten Schritt Kombinationen von Kontrollnummern untersucht, wobei zwischen konjunktiven und disjunktiven Verknüpfungen zu unterscheiden ist. Da die Homonymraten der isolierten Kontrollnummern bereits gering und die Synonymraten sehr hoch waren, werden zunächst Disjunktionen betrachtet. Die dabei ermittelten Synonym- und Homonymraten (< 5% und <1%) liefern deutlich bessere Ergebnisse als die Abgleiche isolierter Kontrollnummern. Die Falschzuordnungen im Datenbestand des epidemiologischen Krebsregisters haben Auswirkungen sowohl auf die Auswertungen im Krebsregister (Teilprojekt IV "Epidemiologische Forschung und aktive Register-DB"), als auch auf mögliche Folgeforschungen. So führen Homonymfehler zur Unterschätzung bzw. Synonymfehler zur Überschätzung der Neuerkrankungsrate, so daß z.b. bei der Durchführung einer Fall-Kontroll-Studie durch Homonymfehler im Krebsregister nicht alle betroffenen Patienten erreicht werden. Weitere mögliche Auswirkungen werden in [7] diskutiert. 4 Bewertung und Ausblick In einem Krebsregister mit hoher Erfassungsrate sind sehr große Datenmengen zu verarbeiten, so daß die Verarbeitungsgeschwindigkeit der einzelnen Meldungen eine wichtige Rolle spielt. Die Laufzeitmessungen (SUN SparcStation 10) sowohl für die Chiffrierung/ Dechiffrierung (2,5-4 sec. inkl. aller Datenbankzugriffe) als auch für die Kontrollnummerngenerierung (1 sec./ Meldung exkl. Einwegverschlüsselung) und für die Durchführung der Abgleiche haben gezeigt, daß der dafür benötigte Zeitaufwand gering ist und die normale Dokumentationsarbeit nicht belastet. Die Dechiffrierung der Schlüsseltexte, z.b. um Personen für eine Studie zu ermitteln, stellt dagegen insofern einen größeren administrativen Aufwand dar, als hierfür eine Genehmigung vom Datenschutz, von einer Ethikkommission und evtl. weiteren

11 Stellen notwendig ist und zusätzlich der Geheimnisträger unter angemessenen Sicherheitsmaßnahmen der Dechiffrierung zur Verfügung gestellt werden muß. Die Ergebnisse der bisherigen empirischen Untersuchungen zeigen, daß ein Abgleich anonymisierter Krebsmeldungen mittels einzelner oder besser noch kombinierter Kontrollnummern realisierbar ist. Dabei ist eine Fehlerrate zu tolerieren, die jedoch in Anwendungen wie in einem epidemiologischen Krebsregister, das sehr hohe Fallzahlen verwendet, keine entscheidende Beeinträchtigung darstellt. Gravierender ist das Problem, eine Melderate von über 90 % (diese Raten werden von einem aussagekräftigen epidemiologischen Krebsregister erwartet) zu erreichen. Des weiteren muß bei den Fehlerraten noch differenziert werden, daß sich Homonymfehler nicht mehr beheben lassen, während Synonyme bei einer evtl. Dechiffrierung ggfls. erkannt und nachträglich eliminiert werden können. Untersuchungen an weiteren Datenquellen müssen die bisher ermittelten Ergebnisse validieren bzw. weiter verbessern. Voraussichtlich werden die vorgestellten Verschlüsselungsverfahren und die diskutierten Kontrollnummern als Abgleichinstrument vom Landesbeauftragten für den Datenschutz sowie vom Bundesamt für Sicherheit in der Informationstechnik akzeptiert werden. Die Weiterentwicklung des Abgleichsystems wird über die bisher verwendeten Disjunktionen zur Senkung der Synonymraten aufgrund höherer Fehler-toleranz dann auch auf die Bildung von Konjunktionen zur Gewährleistung der Trennschärfe des Systems in einem Regelwerk zielen (siehe Abb. 3). Hierzu sind geeignete Heuristiken zu entwickeln, so daß als Ergebnis ein Regelwerk entstehen wird, daß möglichst minimale Homonym- und Synonymraten gewährleistet. Bisher ist aus den in Abschnitt 3 erläuterten Gründen der erste Schritt übersprungen und gleich mit der ODER-Verknüpfung begonnen worden. Die hier vorgestellten Techniken liefern des weiteren einen nicht zu unterschätzenden Beitrag zur Qualitätsverbesserung, d.h. einer besseren Krebsdokumentation. In einem funktionierenden epidemiologischen Krebsregister ist mit steigender Zahl oft dezentral erfaßter Meldungen dem Aspekt der Qualitätssicherung der Dokumentation eine immer stärkere Bedeutung beizumessen. Der Einsatz eines "automatisierten" Abgleiches schafft hier Möglichkeiten, weitere Verbesserungen durch permanente Erfassungskontrollen zu erzielen.

12 Kontrollnummern z.b. KN1 KN2 KN3 KN4 = (Name, Vorname, Geburtsdatum, Geschlecht) = (Name [3], Vorname [3], Geburtsdatum, Geschlecht) = (Name [1], Vorname [1], Gebutsdatum, Geschlecht) = (Soundex (Name), Soundex (Vorname), Geburtsdatum) UND Kombinationen aus Kontrollnummern z.b. KN-Kom1 KN-Kom2 KN-Kom3 = KN1 UND KN2 = KN1 UND KN3 UND KN4 = KN3 UND KN4 ODER Regeln z.b. R1 = KN2 ODER KN4 R2 = KN-Kom1 ODER KN-Kom3 R3 = KN1 ODER KN-Kom3 Abb. 3: Aufbau eines Regelwerkes Unabhängig vom Anwendungsbezug "Niedersächsisches Krebsregister" entsteht im Projekt CARLOS ein Werkzeug zum Abgleich anonymisierter Datenquellen, das an beliebige Datenschemata angepaßt werden kann und die flexible Spezifikation von Kontrollnummern und Kombinationen von Kontrollnummern unterstützt. Weiterhin wird das Werkzeug eine automatische Generierung der Kontrollnummern und den Abgleich der Datenquellen ermöglichen. Die aus den Abgleichen gewonnenen Erkenntnisse werden in einer Wissenbasis dauerhaft gespeichert und dienen weiteren Applikationsentwicklungen mit vergleichbaren Anforderungen als Ausgangswissen. Danksagung Wir danken insbesondere Vera Kamp und Frank Wietek als für das Teilprojekt IV verantwortliche Mitarbeiter sowie unseren wissenschaftlichen Hilfskräften für ihr Engagement im Rahmen der Pilotphase zum Aufbau des Niedersächsischen Krebsregisters. Des weiteren möchten wir uns bei den Gutachtern und bei Prof. Dr. A. Pfitzmann für die konstruktiven Hinweise und Anregungen bedanken. Literatur [1] Appelrath, H.-J., Behrends, H., Jasper, H., Ortleb, H., Die Entwicklung aktiver Datenbanken am Beispiel der Krebsforschung, Proc. Datenbanken

13 für Büro, Technik und Wissenschaft 93, Springer-Verlag, Berlin, 1993, [2] Appelrath, H.-J., Thoben, W., Rettig, J., Sauer, S., CARLOS (Cancer Registry Lower-Saxony): Tätigkeitsbericht für den Zeitraum , Interner Bericht, Oldenburg, [3] Appelrath, H.-J., Thoben, W., Kamp, V., Wietek, F., CARLOS (Cancer Registry Lower-Saxony): Tätigkeitsbericht für den Zeitraum , Interner Bericht, Oldenburg, [4] Brand, H., Reichling, I., Appelrath, H.-J., Illiger, H.-J., Unger, I., Windus, G., CARLOS (Cancer Registry Lower-Saxony) - Pilotstudie für ein bevölkerungsbezogenes Krebsregister in Niedersachsen. in: Pöppl, S.J., Lipinsky, H.-G., Mansky, T. (Hrsg.), Medizinische Informatik - Ein integrierender Teil arztunterstützender Technologien, MMV Medizin Verlag, München, 1993, [5] Chaum, D., Sicherheit ohne Identifizierung - Scheckkartencomputer, die den Großen Bruder der Vergangenheit angehören lassen, in: Informatik- Spektrum 10/5, 1987, [6] Fumy, W., Rieß, H.P., Kryptographie - Entwurf und Analyse symmetrischer Krptosysteme, Oldenbourg-Verlag, München, [7] Gruner, G., Hartmann, S., Meisner, C., Pietsch-Breitfeld, B., Selbmann, H.K., Forschungsvorhaben "Epidemiologisches Krebsregister", Bericht Nr. 6/1989, Institut für Medizinische Informationsverarbeitung, Universität Tübingen, [8] Juon, C., Fehler- und flektionstolerante Ähnlichkeitsalgorithmen für natürlichsprachige Wörter, Diplomarbeit, Institut für Informatik, ETH Zürich, [9] Entwurf der Bundesregierung für ein Gesetz zur Krebsregistrierung (Krebsregistergesetz KRG), Drucksachen 12/6478, 12/7726, 12/8287, Bonn, [10] Lai, X., Massey, J., Murphy, S., Markov chiphers and differential cryptoanalysis, Proc. Eurocrypt 91, LNCS 547, Springer-Verlag, Berlin, [11] Michaelis, J., Krtschil, A., Aufbau des bevölkerungsbezogenen Krebsregisters für Rheinland-Pfalz, in: Ärzteblatt Rheinland-Pfalz, 45, 1992, [12] Mresse, M., Information Retrieval - eine Einführung, Leitfäden der angewandten Informatik, Teubner, Stuttgart, [13] Newcombe, H.B., Handbook of Record Linkage - Methods for health and statistical studies, administration, and business, Oxford University Press, Oxford, [14] Pfitzmann, B., Waidner, M., Pfitzmann, A., Rechtssicherheit trotz Anonymität in offenen digitalen Systemen, in: DuD 14/5-6, 1990, ,

14 [15] Rivest, R.L., Shamir, A., Adleman, L., A Method for Obtaining Digital Signatures and Public-Key Cryptosystems, in: Communications of the ACM, Vol. 21, No. 2, 1978, [16] Salomaa, A., Public-Key Cryptography, Springer-Verlag, Berlin, [17] Schmidtmann, I., Pommerening, K., Michaelis, J., Pilotstudie zum Aufbau eines bevölkerungsbezogenen Krebsregisters in Rheinland-Pfalz, in: Pöppl, S.J., Lipinsky, H.-G., Mansky, T. (Hrsg.), Medizinische Informatik - Ein integrierender Teil arztunterstützender Technologien, MMV Medizin Verlag, München, 1993, [18] Schrage, R., Zur Krebsregisterfrage - modifiziertes Melderechtsmodell zur Verbesserung des Datenschutzes, in: Öffentliches Gesundheitswesen, 53, Georg Thieme Verlag, Stuttgart, 1991, [19] Thoben, W., Appelrath, H.-J., Sauer, S., Record linkage of anonymous data by control numbers, Proc. GfKl-Jahrestagung, Oldenburg, [20] Zimmermann, P., A proposed standard format for RSA cryptosystems. in: Advances in Computer System Security, Volume 3, Artech House, 1988,