Anonymisierung und Datenschutz

Transkript

1 Anonymisierung und Datenschutz Fabian Prasser, Klaus A. Kuhn Lehrstuhl für Medizinische Informatik Institut für Medizinische Statistik und Epidemiologie Klinikum rechts der Isar der TU München

2 Motivation und Hintergrund Wesentliche Anwendungsfälle Sekundärdatennutzung: Insbesondere Routinedaten für die Forschung Kollaborative Forschung: Data Sharing Rolle von Anonymisierung und Datenschutz Einhaltung rechtlicher Vorgaben Stärkung von Vertrauen Dichotomie zwischen anonymen und personenbezogenen Daten Personenbezogene Daten Anonyme Daten Wobei alle Mittel "die [...] wahrscheinlich genutzt werden" unter Bezug auf objektive Faktoren, wie "Kosten [...] Zeitaufwand, [...] verfügbare Technologie und technologische Entwicklungen" berücksichtigt werden müssen [1] Gesundheitsdaten gelten als besonders schützenswert [1] Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) [1] 2

3 Nützlichkeit Herausforderung Grenze zwischen personenbezogenen und anonymen Daten ist fließend Datenschutz ist ein Abwägungsprozess Zentrale Herausforderung: Reidentifikationsrisiko vs. Nützlichkeit Nützlichkeit: Qualität der Daten vs. Flexibilität bei der Verarbeitung Sinnvolle Maßnahmen Typisches Beispiel: Herausgabe von Daten Originaldaten Größtes Risiko Veränderung der Daten Risiko Keine Daten Kein Risiko Anonymisierung und Datenschutz 3

4 Entfernen direkt identifizierender Merkmale Das Entfernen direkt identifizierender Merkmale bietet im Regelfall keinen ausreichenden Schutz Direkte Identifikatoren: Namen, Bezeichner, Nummern Beispiel: Schwärzen von Informationen in Dokumenten Bekanntes Beispiel: Re-Identifikation von Gouverneur William Weld 1996 Veröffentlichung eines Datensatzes über Krankenversicherte aus Massachusetts Direkt identifizierende Merkmale wurden vorher entfernt Re-Identifikation der Daten des Gouverneurs durch Abgleich mit Wählerverzeichnis Dennoch ist eine Re-Identifikation in der Praxis oft aufwendig Neben einem indirekten Identifikator muss man für eine sichere Re-Identifikation bspw. auch wissen, ob Daten zu einer Person überhaupt im Datensatz enthalten sind William Weld hatte einen Kreislaufzusammenbruch vor laufenden Fernsehkameras Deshalb war das Aufnahmedatum allgemein bekannt [2] [2] Barth-Jones DC., The 'Re-Identification' of Governor William Weld's Medical Information: A Critical Re-Examination of Health Data Identification Risks and Privacy Protections, Then and Now (July 2012). Available at SSRN: 4

5 Re-Identifikation mit demographischen Merkmalen Bereits wenige Merkmale ergeben häufig einen eindeutigen Identifikator Beispiel: Eindeutigkeit von Geschlecht, Postleitzahl, Geburtsdatum [3] 5 Personen Anteil der Bevölkerung [%] 2 Personen Eindeutig Alter [Jahren] [3] Golle P. Revisiting the uniqueness of simple demographics in the US population. In: Proc 5th ACM Workshop on Privacy in the Electronic Society, 2006 (pp ), ACM. 5

6 Re-Identifikation mit demographischen Merkmalen Bereits wenige Merkmale ergeben häufig einen eindeutigen Identifikator Beispiel: Eindeutigkeit von Geschlecht, Postleitzahl, Geburtsdatum [3] Anteil der Bevölkerung [%] 5 Personen 2 Personen Eindeutig Häufige Schutzmaßnahmen Entfernen demographischer Merkmale Separate Speicherung demographischer Merkmale und medizinischer Daten (Pseudonymisierung) Alter [Jahren] [3] Golle P. Revisiting the uniqueness of simple demographics in the US population. In: Proc 5th ACM Workshop on Privacy in the Electronic Society, 2006 (pp ), ACM. 6

7 Weitere Beispiele Diagnosecodes: Studie der Vanderbilt University mit 2762 Patienten Bis zu 5% der Patienten identifizierbar durch zwei ICD Codes Bis zu 55% der Patienten identifizierbar durch vier ICD Codes Bis zu 85% der Patienten identifizierbar durch 10 ICD Codes Jedes Merkmal ist potentiell indirekt identifizierend Dies betrifft auch besonders schützenswerte Daten selbst Separate Speicherung bietet nur begrenzten Schutz Auch aggregierte Analyseergebnisse können angreifbar sein Typisches Beispiel: Häufigkeit von Merkmalsausprägungen Insbesondere für große, hochdimensionale Datensätze gibt es robuste Algorithmen zur Deanonymisierung Mögliches Hintergrundwissen potentieller Angreifer ist schwer vorhersagbar [4] [4] Gkoulalas-Divanis A. Loukides G. Medical Data Sharing: Privacy Challenges and Solutions. ECML/PKDD, Athens, September Online: 7

8 Grenzen einfacher Anonymisierungsverfahren Re-Identifikationsrisiko vs. Datenqualität Beispiel: Anonymisierung von Diagnosecodes durch Entfernen [5] Anteil identifizierbarer Patienten [%] Kein Schutz 5% seltenste Diagnosen entfernt 15% seltenste Diagnosen entfernt 25% seltenste Diagnosen entfernt Eindeutigkeit der Diagnosen [5] Loukides G, Denny JC, Malin B. The disclosure of diagnosis codes can breach research participants' privacy. J Am Med Inform Assoc May 1;17(3):

9 Grenzen einfacher Anonymisierungsverfahren Re-Identifikationsrisiko vs. Datenqualität Beispiel: Anonymisierung von Diagnosecodes durch Entfernen [5] Anteil identifizierbarer Patienten [%] Kein Schutz 5% seltenste Diagnosen entfernt 15% seltenste Diagnosen entfernt 25% seltenste Diagnosen entfernt Anwendungsspezifische Verfahren sind notwendig Ausserdem: Kombination von Primärmaßnahmen und Sekundärmaßnahmen Eindeutigkeit der Diagnosen [5] Loukides G, Denny JC, Malin B. The disclosure of diagnosis codes can breach research participants' privacy. J Am Med Inform Assoc May 1;17(3):

10 Kombination von Primär- & Sekundärmaßnahmen Primärmaßnahmen Anonymisierungsverfahren die an den Anwendungsfall angepasst werden müssen um ausreichende Datenqualität zu erreichen Zunehmender Schutz, abnehmende Datenqualität Originaldaten Pseudonymisierung (Bsp: Entfernen direkter Identifikatoren) Schwache Anonymisierung (Bsp: Generalisierung, k-anonymität) Starke Anonymisierung (Bsp: Starke Aggregation, Differential Privacy) Sekundärmaßnahmen Begleitende weitere Maßnahmen zum Schutz vor Restrisiken Zunehmende Flexibilität bei der Verarbeitung Austausch von Methoden (Bsp: Remote Analyse) Eingeschränkter Zugang (Bsp: On-Site Analyse) Keine weiteren Maßnahmen nötig (Public Use) 10

11 Danke für Ihre Aufmerksamkeit! 11