Identitäts-Kryptogramme
Der PSD muss anschließend sowohl die einwegverschlüsselten Identitäts-Kryptogramme, die er von den unterschiedlichen Meldestellen erhalten hat, als auch die Pseudonyme, die er an das EKR NRW übermittelt hat, vollständig löschen.
Zur Pseudonymisierung setzt der PSD an allen Stellen stets das gleiche, mit dem Krebsregister vereinbarte Programm ein, um sicherzustellen, dass alle Meldungen auch über lange Zeiträume mit derselben Methode und mit identischen Schlüsseln verschlüsselt werden (Prinzip der Kontinuität und Kompatibilität der Pseudonymisierung). Nur so kann gewährleistet werden, dass zu jedem Zeitpunkt eine methodisch korrekte Datenbasis für das Record Linkage (Datenverknüpfung) vorliegt.
Der PSD stellt so darüber hinaus sicher, dass Verknüpfungen mit anderen Aufgabenbereichen (z.B. Evaluation des Mammographie-Screenings) stets unter Benutzung identischer Verfahren der Pseudonymisierung und unter Verwendung identischer Schlüssel erfolgen.
Pseudonyme können dadurch, dass die symmetrische Verschlüsselung aufgehoben wird, auf die bundesweit einheitliche Ebene der zurückgeführt werden.
Unter Verwendung eines bundeseinheitlichen anderen Schlüssels können diese wieder in Pseudonyme/ Kontrollnummern umgewandelt werden.
Damit besteht die Möglichkeit zur Teilnahme am länderübergreifenden Datenaustausch der bevölkerungsbezogenen Krebsregister in Deutschland untereinander sowie zur Entgegennahme und Einarbeitung von pseudonymisierten Meldungen aus Krebsregistern anderer Bundesländer (die Pseudonyme/ Kontrollnummern werden zwar nach der gleichen Methode, aber mit einem anderen Schlüssel zur symmetrischen Zweitverschlüsselung erzeugt).
Zurzeit wird bundesweit als Einwegchiffrierverfahren das MD5 Verfahren und als symmetrisches Chiffrierverfahren das IDEA-Verfahren verwendet, wobei der beim IDEAVerfahren verwendete Schlüssel in jedem Bundesland anders festgelegt ist und der Geheimhaltung unterliegt.
Im Gegensatz dazu kann als asymmetrisches Chiffrierverfahren, das zur Erzeugung der o.g. Identitäts-Chiffrate notwendig ist, jedes moderne asymmetrische Chiffrierverfahren verwendet werden, da hier keine Rücksicht auf andere Krebsregister oder andere Datenverknüpfungen genommen werden muss.
Es muss lediglich sichergestellt sein, dass der zur Entschlüsselung der Personenklartextdaten notwendige private key geheim bleibt und nur zu gesetzlich festgelegten Zwecken genutzt werden kann.
Nutzen der unterschiedlichen Verschlüsselungsverfahren Identitäts-Chiffrate:
Rückgewinnung der Personenklartextdaten im Rahmen von Forschungsvorhaben Identitäts-Kryptogramme/Pseudonyme:
Ablage der Daten im Register methodisch korrekte Datenbasis für Record Linkage hohe Kontinuität und Kompatibilität der Pseudonymisierung
Teilnahme am länderübergreifenden Datenaustausch sicherer Abgleich mit anderen Datensätzen Identitäts-Chiffratbildung aus personenidentifizierenden Merkmalen
Die personenidentifizierenden Merkmale (1. Art) werden in standardisierter Form aneinander gehängt.
Durch die asymmetrische Verschlüsselung entsteht dann das folgende Identitäts-Chiffrat, das auf Dauer im Krebsregister gespeichert werden darf:
Nur diejenige Institution, die das asymmetrische Schlüsselpaar erzeugt hat und verwaltet, ist in der Lage, aus diesem Identitäts-Chiffrat wieder den Originalstring mit den Originalmerkmalen zu ermitteln.
Der erste Schritt auf dem Wege zu den Pseudonymen besteht darin, den Namen, den Vornamen, den Geburtsnamen und eventuell bekannte andere frühere Namen jeweils in bis zu drei Bestandteile zu zerlegen.
Um unterschiedliche Schreibweisen eigentlich identischer Vornamen und Namen berücksichtigen zu können (Maier, Mayer, Meier, Meyer, ...), wird für die Teile des Namens, des Vornamens, des Geburtsnamens und eventueller anderer früherer Namen ein so genannter phonetischer Code gebildet, der im Wesentlichen die Aussprache der Namen wiedergeben soll. Im Beispiel ergibt sich für den phonetischen Code des Namens Meler Feseris und für den phonetischen Code des Vornamens Eueme Bele. Einwegverschlüsselung Jeder einzelne Teil des Namens, des Vornamens, des Geburtsnamens oder eines anderen früheren Namens wird anschließend einer Einwegverschlüsselung unterzogen. Die Verschlüsselung der personenidentifizierenden Merkmale mit Hilfe eines Einwegverfahrens könnte eigentlich bereits ausreichen, wenn man die Einwegverschlüsselung nicht durch eine Probeverschlüsselung aushebeln könnte. Um dies auszuschließen, werden alle Einweg-Schlüssel ein zweites Mal verschlüsselt.
Im Krebsregister gespeicherte Pseudonyme
In Unkenntnis des Codes, der bei der zweiten Verschlüsselung verwendet wurde, gibt es keine Möglichkeit mehr, aus diesen Pseudonymen auf die jeweiligen Originalausprägungen zurückzuschließen.
Pseudonymbildung aus personenidentifizierenden Merkmalen
In der folgenden Tabelle werden die verschiedenen Schritte vom Klartext Johanna Paula Müller zu Fischeriß bis zu den Pseudonymen, die im Epidemiologischen Krebsregister NRW gespeichert werden dürfen, zusammenfassend dargestellt.
Epidemiologisches Krebsregister Nordrhein-Westfalen Report 2010
Evaluation des Krebsregisters NRW
Das Epidemiologische Krebsregister Nordrhein-Westfalen hat das Verfahren zur Übermittlung und Speicherung von Tumormeldungen, die Pseudonymisierung und das Chiffrierverfahren einer genauen Evaluation unterzogen.
Diese erfolgte in zwei Stufen: }} Überprüfung durch das Institut für Medizinische Biometrie, Epidemiologie und Informatik der Universitätsmedizin Mainz (IMBEI)
In einem ersten Schritt wurden insbesondere das Record Linkage im Krebsregister NRW vom Institut für Medizinische Biometrie, Epidemiologie und Informatik der Universitätsmedizin Mainz (IMBEI) bewertet und die internen Verfahrensweisen überprüft.
Zum Zweck dieser Evaluation wurde eine Stichprobe von 150.
Meldungen durch die Ärztekammer Westfalen-Lippe entsprechend den Vorgaben des KRG NRW reidentifiziert, so dass das IMBEI in der Lage war, mit den Klartext-Identitätsdaten den für eine Evaluation notwendigen Goldstandard zu entwickeln. Die dort erzielten Zuordnungen von Meldungen zu Personen wurden anschließend mit den im EKR NRW ausschließlich auf der Grundlage von chiffrierten Daten vorgenommenen Zuordnungen verglichen. Dabei zeigte sich, dass die im Fokus stehenden kritischen Raten der bei Datensatzverknüpfungen möglichen Homonymfehler (fälschliche Zusammenführung zweier Meldungen, die von zwei verschiedenen Patienten stammen) und Synonymfehler (fälschliche Trennung zweier Meldungen, die vom gleichen Patienten stammen) sehr gering waren. So betrug die Synonymfehlerrate 0,19% und die Homonymfehlerrate 0,015%. Die Hochrechnung auf größere Datenbestände ergab weiterhin, dass die Homonymfehlerrate erst bei einem Datenbestand von über 5.000.000 in das Record Linkage eingehenden Meldungen auf 1 % steigt. Dies ist ein Wert, der in diesem Maß auch in Verfahren mit Klartextdaten üblich ist und in Fachkreisen als akzeptabel betrachtet wird.
Im Hinblick auf die Synonymfehler kann die Fehlerrate bei einer Zunahme der Mehrfachmeldungen auf durchschnittlich bis zu drei Meldungen pro Person bis auf etwa 2,4% steigen.
Die Überprüfung der Verfahrensweisen durch das IMBEI (mit Unterstützung des Krebsregisters ergab zudem, dass sämtliche Prozessabläufe sinnvoll und durchdacht sind. Der vollständige Aschlussbericht des Mainzer Instituts kann als PDF-Datei auf der Internetseite www.krebsregister.nrw.de abgerufen werden.
Insgesamt wird somit das für die Krebsregistrierung in Nordrhein Westfalen grundlegende Verfahren der pseudonymisierten Erfassung bestätigt und empfohlen.
Das Audit wurde im Hinblick auf Prozessabläufe, Erfüllung von wissenschaftlichen und gesetzlichen Anforderungen, Informationsmanagement, Qualitätsmanagement sowie das Finanz- und Personalwesen des EKR NRW durchgeführt. Der Abschlussbericht der Gutachterkommission des ENCR stellt im Wesentlichen fest:
· Das EKR NRW hat eine sehr solide und belastbare IT-Infrastruktur konzeptioniert und implementiert.
· Die neuen Modalitäten des elektronischen und pseudonymisierten Meldeverfahrens sind innovativ und höchst empfehlenswert.
· Die technologisch innovativen und effizienten Registerstrukturen machen eine zeitnahe Datenverarbeitung und -auswertung möglich.
· Das EKR NRW ist auf Grund der technologisch modernen und automatisierten Registerstrukturen in höchstem Maße kosteneffizient.
Der Gesamttext des englischsprachigen Abschlussberichts ENCR Structured Review of the North Epidemiological Cancer Registry kann auf der Internetseite des EKR NRW eingesehen werden.
Das Krebsregister in NRW