Institut für Medizinische Biometrie, Epidemiologie und Informatik Datenschutz-unterstützende Techniken Klaus Pommerening Workshop „Impact der Medizinischen.

Präsentation zum Thema: "Institut für Medizinische Biometrie, Epidemiologie und Informatik Datenschutz-unterstützende Techniken Klaus Pommerening Workshop „Impact der Medizinischen."—  Präsentation transkript:

1 Institut für Medizinische Biometrie, Epidemiologie und Informatik Datenschutz-unterstützende Techniken Klaus Pommerening Workshop „Impact der Medizinischen Informatik“ GMDS-Jahrestagung 2009 Essen, 9. September 2009

2 Institut für Medizinische Biometrie, Epidemiologie und Informatik 2 Datenschutz in der MI  Hoher Stellenwert wegen der besonderen Sensibilität von Gesundheitsdaten.  Z. B. wichtiges Thema der Gesundheitstelematik.  Innovative Lösungen in den Bereichen  Identitätsmanagement für Betroffene: (passive) Pseudonyme, Datentreuhänderschaft,  Zugriffskontrolle: rollenbasiert, dynamisch.

3 Institut für Medizinische Biometrie, Epidemiologie und Informatik 3 Identitätsmanagement in MI  Record Linkage –  die korrekte Zuordnung von Daten aus verschiedenen Quellen, auch wenn sie Fehler enthalten.  Pseudonymisierung –  die Zuordnung der Daten zu einer bestimmten Person soll vor Unbefugten verborgen werden, aber im Prinzip erhalten bleiben a) zur weiteren Kontaktierung durch Befugte, b) zur weiteren korrekten Datenzuordnung. Zwei widerstreitende Ziele – zwei komplementäre Techniken.

4 Institut für Medizinische Biometrie, Epidemiologie und Informatik 4 Record Linkage Beschreiben zwei Datensätze den gleichen Fall, wenn man von fehlerhaften Daten ausgehen muss? Müller-Lüdenscheidt Irene 12.9.1952 Müller Irene Magdalena 9.12.1952

5 Institut für Medizinische Biometrie, Epidemiologie und Informatik 5 Record Linkage (Forts.)  Ursprung in der Gesundheitsstatistik  Dunn (1946): Record Linkage. Amer J Public Health.  Newcombe et al. (1959): Automatic Linkage of Vital Records. Science.  Anwendung in  Bevölkerungsstatistik (auch außerhalb Gesundheitswesen),  epidemiologischen Studien,  Krebsregistern,  aktuell: Data-Mining (seit Ende 90-er).  Formale mathematische Begründung Fellegi/Sunter 1969  Software AutoMatch (Jaro 1985)  Data-Mining-Paket Integrity.

6 Institut für Medizinische Biometrie, Epidemiologie und Informatik 6 Pseudonymisierungsverfahren  Wesentlicher Beitrag zur Vertrauenswürdigkeit der IT  Über medizinische Anwendungen (Krebsregister) Eingang in juristische Diskussion und in die Datenschutzgesetze.  Pseudonyme bieten faktische Anonymität ohne wesentliche Behinderung der Datenverwertung.  Rechte- und Datenverwaltung ohne Preisgabe der Identität von (handelnden oder betroffenen) Personen.  „Aktive“ (vom Inhaber generierte und verwaltete) vs. „passive“ (vom Treuhänder generierte und verwaltete) Pseudonyme

7 Institut für Medizinische Biometrie, Epidemiologie und Informatik 7 Inhabergenerierte Pseudonyme  Erfunden außerhalb der medizinischen Anwendung  D. Chaum ca. 1980  Zweck: Transaktionen im Netz faktisch anonym und trotzdem rechtssicher –  z. B. für elektronische Zahlungssysteme,  oder online-Wahlen.  Aufdeckung (nur) im Betrugsfall möglich.  Weiterentwicklung in MI zu  elektronischem Rezept (Struif ca. 1990),  pseudonymer Krankenkassenabrechung (AG DGI ca. 1995).  In der Praxis bisher nicht durchgesetzt.  Neue Ansätze im Datenschutzkonzept der Gematik.

8 Institut für Medizinische Biometrie, Epidemiologie und Informatik 8 Treuhändergenerierte Pseudonyme  Aufbau von Krebsregistern  Michaelis/Pomm. in RLP seit 1990.  Bundeskrebsregistergesetz 1995.  Aufbau medizinischer Forschungsnetze  Forderung der Datenschutzbeauftragten.  Zentral im TMF-Datenschutzkonzept:  Identitätsmanagement mit Record Linkage und Pseudonymisierungsdienst,  geschützt durch informationelle Gewaltenteilung (Datentreuhänderdienste als TTP-Services im Netz). Dieser Typ von Pseudonymen ist leichter zu verstehen und wird zunehmend auch außerhalb der MI eingesetzt.

9 Institut für Medizinische Biometrie, Epidemiologie und Informatik 9 Das Referenzmodell der TMF (TTP 1) (TTP 2) Verteilung des Identitätsmanagements auf zwei TTPs.

10 Institut für Medizinische Biometrie, Epidemiologie und Informatik 10 Ansätze zur Zugriffskontrolle  DAC = Discretionary Access Control  Der Dateibesitzer entscheidet über Freigabe für andere Nutzer  oder Nutzergruppen.  MAC = Mandatory Access Control  Zugriffsberechtigungen auf Dateien (oder Datenbankinhalte) werden durch systemweite Zugriffsregeln (Policies) definiert und vom Systemverwalter eingerichtet.  Oft mit Sensibilitätseinstufung von Daten verbunden.  RBAC = Role Based Access Control  Rechte werden aufgrund von Rollen gewährt oder verwehrt.  Nutzer werden einer oder mehreren Rollen zugewiesen.  Differenziertere Rechtevergabe möglich,  aber höhere Komplexität von Policies und Umsetzung.

11 Institut für Medizinische Biometrie, Epidemiologie und Informatik 11 Rollenbasierte Zugriffsregelung Ferraiolo/Kuhn 1992.  Im Gesundheitswesen (Krankenhäuser, eGA) seit 1996. dabei Weiterentwicklung zu dynamischen Rollenkonzepten, zunächst im KIS:  Poole et al. 1996  Blobel/Pomm. 1997  Sergl 2002  Zuordnung zu institutionellen Untereinheiten und Funktion können wechseln:  Behandlungskontext, Rotation, Dienstpläne, Versorgung/Forschung.  Komplexes IAM-System erforderlich (Identity and Access Management).  Kommerzielle und Open-Source-Angebote im Kommen.  Umsetzung in gängigen KIS noch unvollkommen.

12 Institut für Medizinische Biometrie, Epidemiologie und Informatik 12 Netzarchitektur  Insgesamt viele neue Impulse durch Gesundheitstelematik zu erwarten (?).  Starker Einfluss der Datenschutz-Anforderungen.  Z. B. Zugriffsentscheidungen durch vertrauenswürdige Netzdienste statt Zugriffskontrolllisten (ACL).  CorbaMed als Standard schon wieder vergessen, aber Ideen werden langsam real.  (U. a.) dadurch Impact auf die Architektur hochkomplexer verteilter Informationssysteme.