Ärzte Zeitung online, 30.08.2016

Gesundheitsdaten

Wie klappt der sichere Austausch?

Die bloße Anonymisierung schützt Patientendaten nicht, mahnt ein Experte. Es sind schon mehrstufige Schutzverfahren nötig.

MÜNCHEN. Deutschland ist im internationalen Vergleich ein Land mit hohen Datenschutzstandards. Diese seien auf gleich drei Ebenen verankert – über nationales und EU-Recht, aber eben auch auf der Ebene der einzelnen Bundesländer, machte Dr. Fabian Praßer vom Lehrstuhl für Medizinische Informatik der TU München vor Kurzem bei der Münchener-Tagung "Digitalisierung der Medizin in Bayern" deutlich.

Das macht es der medizinischen Forschung nicht immer leicht: Auswertungs- und Anwendungsziele erforderten in diesem Kontext pragmatische Lösungen, so Praßer. Ähnlich sieht es beim Datenaustausch zwischen medizinischen Einrichtungen aus. Doch wie weit darf dieser Pragmatismus gehen?

Vorsicht bei Sekundärnutzung

Insbesondere bei der Sekundärnutzung von Gesundheitsdaten, die ursprünglich für andere Zwecke erhoben wurden, ist Vorsicht geboten. Der erste Schritt ist laut Praßer das Entfernen direkter Identifikatoren wie Name oder Versicherungsnummer, die eine unmittelbare Zuordnung von Daten zu einer Person ermöglichen.

Jedoch ermögliche schon das Verknüpfen weniger Merkmale in anonymisierten Datensätzen das nachträgliche Herausfiltern von einzelnen Personen. So ließen sich in einer US-Studie zwischen 60 bis 100 Prozent aller Personen anhand von Geburtsdatum, Geschlecht und Postleitzahl erkennen.

Dieser Prozess wird als Reidentifikation bezeichnet, die Merkmale als indirekte Identifikatoren. Daher würden auch diese oft aus Datensätzen entfernt. Sämtliche Identifikatoren werden dabei häufig in einem getrennten Datensatz abgespeichert, sodass sie nur von den Verantwortlichen in Zusammenhang gebracht werden können, etwa über einen Code.

Problemfall: Seltene Diagnosen

Problematisch sind nach den Ausführungen des Experten aber auch seltene Diagnosen: Einer Studie der Universität Vanderbilt zufolge stellen sie ein hohes Reidentifikationsrisiko dar. Die Forscher zeigten zudem, wie viel Diagnosen generell über die Person verraten: Mit zwei ICD-Codes waren bereits fünf Prozent der Personen eines Datensatzes erkennbar, mit vier Codes 55 Prozent.

Praßer verwies darauf, dass große Datensätze durch robuste Algorithmen leicht deanonymisiert werden können.Datenschutz sei, so Praßer, immer "ein Abwägungsprozess zwischen Nützlichkeit und Reidentifikationsrisiko". Ein hohes Datensicherheitsniveau im Sinne der Patienten und entsprechend rechtlicher Vorgaben sei nur mit reduzierten Nutzungsmöglichkeiten zu erhalten.

Er empfahl eine Kombination primärer Schutzmaßnahmen, wie Pseudo- und Anonymisierung, mit Sekundärmaßnahmen wie dem Einsatz spezieller, sicherer Auswertungsmethoden oder Zugangsbeschränkungen zum Datensatz. (cmb)

Topics
Schlagworte
Datenschutz (211)
E-Health (3640)
Organisationen
TU München (473)

Schreiben Sie einen Kommentar

Überschrift

Text

Im Sushi war der Wurm drin

Der Hinweis aufs Sushi brachte die Ärzte auf die richtige Spur. Statt den Patienten wegen Verdachts auf akutes Abdomen zu operieren, führten sie eine Gastroskopie durch. mehr »

Alle wichtigen Videos vom Ärztetag

Digitalisierung, Angst vor Veränderung, Wunschminister: Die Ärztezeitung fasst für Sie die wichtigen Themen des Ärztetags in kurzen Videos zusammen. mehr »

Massive Technik-Pannen behindern Ärztetag

Lahmes Internet, lautstarke Beschwerden: Technik-Probleme machen den Teilnehmern des Ärztetages arg zu schaffen. Auf einen Techniker wartete BKÄ-Präsident Montgomery zunächst vergebens. mehr »