Verschlüsselung und Datensatzabgleich in einem epidemiologischen Krebsregister am Beispiel von CARLOS #

Transkript

1 Verschlüsselung und Datensatzabgleich in einem epidemiologischen Krebsregister am Beispiel von CARLOS # 1. Einleitung W. Thoben, H.-J. Appelrath Institut OFFIS, Westerstr , Oldenburg Das Projekt CARLOS (Cancer Registry Lower-Saxony) untersucht in der Pilotphase 1993/ 94 in der Modellregion Weser-Ems die grundsätzliche Anwendbarkeit des zum in Kraft tretenden Bundeskrebsregistergesetzes [1] für ein bevölkerungsbezogenes, epidemiologisches Krebsregister in Niedersachsen. Das Projekt ([2], [3]) gliedert sich in vier Teilprojekte, in denen die Integration krebsregistrierender Einrichtungen (I), die Chiffrierung/ Dechiffrierung von Krebsmeldungen (II), der Abgleich anonymisierter Meldungen in der Registerstelle (III) und die Entwicklung eines epidemiologischen Informationssystems (IV) betrachtet werden. Im folgenden werden lediglich die Arbeiten der Teilprojekte II und III dargestellt, da diese sich mit der Umsetzung des dem Bundeskrebsregistergesetz zugrundeliegenden sogenannten "Michaelis-Modell" ([4], [5]) befassen. Um in einem epidemiologischen Krebsregister den datenschutzrechtlichen Aspekten bei der Verarbeitung personenbezogener Datensätze gerecht zu werden, findet in diesem eine Anonymisierung der Meldungen mit Hilfe eines asymmetrischen Verschlüsselungsverfahrens statt. Da jedoch häufig zu einem Patienten im Laufe der Jahre mehrere Meldungen an ein Krebsregister erfolgen, muß ein Abgleich von neuen mit bereits vorliegenden Meldungen realisiert werden. Der im Rahmen der Pilotphase untersuchte Ansatz für einen solchen Abgleich von Datensätzen (Record Linkage) basiert auf der Verwendung von Kontrollnummern, das sind deterministische Einwegverschlüsselungen von Zeichenkombinationen aus den personenbezogenen Datenfeldern (z.b. Name, Vorname, Geburtsdatum etc.) einer Meldung. Empirische Untersuchungen bzgl. verschiedener Datenquellen (Nachsorgeleitstelle Oldenburg, Totenscheine aus dem Gesundheitsamt Oldenburg) dienen dazu, solche Kontrollnummern bzw. Kombinationen von Kontrollnummern zu finden, die eine möglichst fehlerfreie Zusammenführung der Datensätze gewährleisten. # Erschienen in: J. Dudeck, U. Altmann, U. Dalbert, W. Wächter (Hrsg.): Qualitätssicherung in der Onkologie - Konzepte - Kontroversen - Konsequenzen, S , Neu-Ulm, November 1994, Verlag der Ferberschen Universitätsbuchhandlung.

2 Abschließend wird ein bundesweit kompatibles Vorgehen für den Einsatz eines solchen Modells für epidemiologische Krebsregister vorgeschlagen. 2. Verschlüsselung personenidentifizierender Daten In der Kryptographie werden symmetrische und asymmetrische Verschlüsselungsverfahren unterschieden, wobei in einem symmetrischen System genau ein Schlüssel und in einem asymmetrischen System ein Schlüsselpaar (öffentlicher und geheimer Schlüssel) für die Verund Entschlüsselung verwendet wird. Der öffentliche Schlüssel dient dabei zur Verschlüsselung der Klartextmeldungen, und mittels des geheimen Schlüssels wird der entstandene Schlüsseltext wieder auf den Klartext abgebildet ([6], [7]). In der Pilotphase zum Aufbau eines Niedersächsischen Krebsregisters wird für die Anonymisierung der personenbezogenen Daten einer Krebsmeldung ein hybrides Verschlüsselungssystem benutzt. Diese Variante basiert auf einer Kombination eines symmetrischen und eines asymmetrischen Verfahrens, wobei die personenidentifizierenden Daten unter Verwendung eines temporär erzeugten zufälligen Sitzungsschlüssels (random session key) durch das symmetrische Verschlüsselungssystem anonymisiert und lediglich der Sitzungsschlüssel in einem asymmetrischen Verfahren (RSA-Verfahren) verschlüsselt wird. Dieses Vorgehen bietet auf der einen Seite die Möglichkeit einer verteilten Schlüsselverwaltung (öffentlicher und geheimer Schlüssel des asymmetrischen Chiffriersystems), auf der anderen Seite wird das Laufzeitverhalten eines Chiffriervorganges deutlich verbessert, da lediglich der temporäre Sitzungsschlüssel durch das asymmetrische Chiffrierverfahren, das im Vergleich zum symmetrischen Verfahren deutlich langsamer ist, verschlüsselt wird. Laufzeitmessungen auf einer SUN SPARCstation 10 zeigen, daß eine Chiffrierung von personenidentifizierenden Daten bzw. Dechiffrierung von Schlüsseltexten bei heute bereits verfügbaren, modernen Rechnersystemen zeitunkritisch "im Hintergrund" bearbeitet werden kann und den parallelen Arbeitsablauf einer Dokumentation nicht behindert. 3. Abgleich anonymisierter Daten Der Abgleich von Neu-/ Mehrfachmeldungen mit bereits vorhandenen Krebsfällen des Krebsregisters wird mittels Kontrollnummern realisiert. Hierbei sind neben den Synonymfehlern, d.h. verschiedene Meldungen zu einer Person werden unterschiedlichen Personen zugeordnet, noch die Homonymfehler, d.h. Meldungen unterschiedlicher Personen werden auf die gleiche Person abgebildet, zu berücksichtigen. Während Synonymfehler

3 ausschließlich durch Erfassungsfehler entstehen, können Homonyme auch durch die Kontrollnummern (bei zu starker Reduktion der Information, z.b. nur Verwendung von Namensinitialen) selbst erzeugt werden. Ziel ist es, Kontrollnummern bzw. Kombinationen von Kontrollnummern zu ermitteln, die minimale Synonym- und Homonymraten erzeugen und somit einen Abgleich mit akzeptablen Fehlerraten realisieren. Untersuchungen an drei unterschiedlichen Datenquellen (Nachsorgeleitstelle Oldenburg, Totenscheine des Gesundheitsamtes Oldenburg, Ma.-Ca.-Fälle der Stadt Oldenburg und des Kreises Ammerland) haben gezeigt, daß Kontrollnummern nicht isoliert verwendet werden können, da ihre Synonymraten keine akzeptablen Ergebnisse liefern, während die Homonymraten durchgängig unter 1 % liegen [8]. Daher sind auch disjunktive Verknüpfungen von Kontrollnummern untersucht worden, mit denen eine erhöhte Fehlertoleranz beim Abgleich erreicht werden kann. Die Ergebnisse dieser Untersuchungen bieten Kombinationen von Kontrollnummern an, deren Synonymraten um 2,5 % und deren Homonymraten um 0,2 % liegen und somit akzeptabel sind. Die Ergebnisse der empirischen Untersuchungen zeigen, daß ein Abgleich anonymisierter Krebsmeldungen mit Hilfe von kombinierten Kontrollnummern realisierbar ist. Die Laufzeitmessungen für die Generierung der Kontrollnummern liegen bei ca. 1 sec/ Meldung (exkl. Einwegverschlüsselung), und die Verwendung moderner DB-Systeme mit Vergleichen/ sec gewährleistet, daß auch der Abgleich anonymisierter Datensätze mittels Kontrollnummern keine entscheidende Zeitbelastung für ein epidemiologisches Krebsregister darstellt. 4. Vorschlag für ein einheitliches Vorgehen Im Rahmen der GMDS-Projektgruppe Krebsregister haben die Arbeitsgruppen in Mainz (Michaelis und Mitarbeiter) und Oldenburg (Appelrath und Mitarbeiter) ihre Untersuchungen zum Aufbau eines epidemiologischen Krebsregisters miteinander verglichen und ein gemeinsames Vorgehen für die Einrichtung zukünftiger epidemiologischer Krebsregister vorgeschlagen. Im Bereich der Verschlüsselung der personenidentifizierenden Daten sollte eine asymmetrische Verschlüsselung (RSA-Verfahren) eingesetzt werden, wobei keine

4 bundesweite Standardisierung notwendig ist, jedoch jedes Bundesland genau ein Schlüsselpaar verwenden sollte. Entscheidend für eine spätere Vergleichbarkeit der Daten auch mit denen anderer Bundesländer ist die Verwendung eines bundeseinheitlichen Verfahrens zur Einwegverschlüsselung der Kontrollnummern, welches durch das Bundesamt für Sicherheit in der Informationstechnik geliefert werden könnte. Zur Steigerung der Sicherheit der Vertrauensstelle(n) wird eine weitere symmetrische Verschlüsselung der einzelnen Kontrollnummern mit länderspezifischen Schlüsseln (in jedem Bundesland ein einheitlicher Schlüssel für die Vertrauensstelle(n)) eingeführt. Hierbei ist zu beachten, daß auf Landesebene ein einheitliches Verfahren verwendet werden muß (auf Bundesebene wünschenswert, aber nicht zwingend). Nachdem der Abgleich in der Registerstelle durchgeführt wurde, sollten die Kontrollnummern vor der permanenten Abspeicherung in der Datenbank nochmals symmetrisch verschlüsselt werden, wobei der dabei verwendete Schlüssel unabhängig von dem der Vertraunensstelle(n) ist. Um dem potentiellen Angriff durch Probeverschlüsselungen der Kontrollnummern entgegenzuwirken, wird dabei eine Zufallszahl den Kontrollnummern hinzugefügt. Auch dieses Verfahren muß nicht bundeseinheitlich standardisiert sein, jedoch wäre auch dies hier wünschenswert. Das Schlüsselpaar für die asymmetrische Verschlüsselung in einem Bundesland kann durch das Bundesamt für Sicherheit in der Informationstechnik generiert werden, jedoch ist dies auch durch eine eigene Landesbehörde möglich. Für die Schlüsselerzeugung der symmetrischen Schlüssel muß eine Vertrauensstelle für das gesamte Bundesland bzw. die Registerstelle selbst zuständig sein. Während der geheime Schlüssel für die asymmetrische Verschlüsselung außerhalb des Krebsregisters verwaltet werden muß, sind Vertrauensstelle(n) bzw. die Registerstelle für die Verwaltung der Schlüssel für die symmetrische Verschlüsselungen und die Vertrauensstelle(n) außerdem für den öffentlichen Schlüssel der asymmetrischen Verschlüsselung selbst verantwortlich. Als Abgleichsystem wird voraussichtlich das kommerzielle Werkzeug AUTOMATCH, Version 2.7 (MatchWare Technologies, Inc.) verwendet. Entscheidend ist eine bundesweite Standardisierung der für den Abgleich verwendeten Attribute und eine einheitliche Notation zur Erfassung der Meldungen. Um eine einfache Benutzung des

5 Systems zu gewährleisten, wird eine gemeinsame Weiterentwicklung durch die Arbeitsgruppen Appelrath/ Michaelis angestrebt. Die Bereitstellung und Betreuung des Gesamtsystems soll dann einheitlich durch das Institut OFFIS erfolgen. Literatur 1. Gesetz über Krebsregister (Krebsregistergesetz KRG). Drucksachen 12/6478, 12/7726, 12/8287. Bonn Appelrath, H.-J.; Thoben, W.; Rettig, J.; Sauer, S.: CARLOS (Cancer Registry Lower- Saxony) - Tätigkeitsbericht für den Zeitraum Oldenburg Brand, H.; Reichling, I.; Appelrath, H.-J.,; Illiger, H.-J.; Unger, I.; Windus, G.: CARLOS (Cancer Registry Lower-Saxony) - Pilotstudie für ein bevölkerungsbezogenes Krebsregister in Niedersachsen. In: Pöppl, S.J.; Lipinsky, H.-G.; Mansky, T. (Hrsg.): Medizinische Informatik - Ein integrierender Teil arztunterstützender Technologien. S MMV Medizin Verlag. München Michaelis, J.; Krtschil, A.: Aufbau des bevölkerungsbezogenen Krebsregisters für Rheinland-Pfalz. In: Ärzteblatt Rheinland-Pfalz, 45. S Schmidtmann, I.; Pommerening, K.; Michaelis, J.: Pilotstudie zum Aufbau eines bevölkerungsbezogenen Krebsregisters für Rheinland-Pfalz. In: Pöppl, S.J.; Lipinski, H.-G.; Mansky, T. (Hrsg.): Medizinische Informatik - Ein integrierender Teil arztunterstützender Technologien. S MMV Medizin Verlag. München Rivest, R. L.; Shamir, A.; Adleman, L.: A Method for Obtaining Digital Signatures and Public-Key Cryptosystems. In: Communications of the ACM, Vol. 21, No. 2. S Fumy, W.; Rieß, H. P.: Kryptographie - Entwurf und Analyse symmetrischer Kryptosysteme. Oldenbourg-Verlag. München Thoben, W.; Appelrath, H.-J.; Sauer, S.: Record linkage of anonymous data by control numbers. In: Tagungsband GfKl-Jahrestagung Oldenburg 1994.