Empfehlung an die Bundesländer
zur technischen Umsetzung der Verfahrensweisen
gemäß Gesetz über Krebsregister (KRG)

H.-J. Appelrath#, J. Michaelis*, I. Schmidtmann*, W. Thoben#
für die Projektgruppe Krebsregister der GMDS

# OFFIS, Escherweg 2, 26121 Oldenburg
* IMSD, Universität Mainz, 55101 Mainz

Zusammenfassung

Dieses Papier gibt eine Empfehlung für die technische Umsetzung der im KRG vorgesehenen Verfahren zur Chiffrierung und Zusammenführung von Patientendaten. Für die Bundesländer, die das im KRG vorgesehene Meldemodell vollständig installieren, sind alle Kapitel der vorliegenden Empfehlung relevant. Für Bundesländer, die ein davon abweichendes Meldemodell verwenden, sind lediglich das Kapitel 3 und die darin enthaltenen Empfehlungen zur Gewährleistung eines bundesweiten Abgleichs der Landeskrebsregister von Interesse.

Um die künftig erforderliche länderübergreifende Zusammenarbeit zwischen den Registern sicherzustellen, mußte für die Beschreibung einiger technischer Aspekte ein Detaillierungsgrad gewählt werden, der für Fachexperten bei der Realisierung eine eindeutige Grundlage liefert. Dies wird bei vielen, die nicht enger mit Fragen der Informationstechnologie vertraut sind, den Eindruck hoher Komplexität hervorrufen. Daher sei ausdrücklich darauf hingewiesen, daß die praktische Implementierung der vorgeschlagenen Verfahren so erfolgen kann, daß für die tägliche Registerarbeit keine besonderen DV-technischen Kenntnisse erforderlich sind. Die Verfahren laufen vom Anwender praktisch unbemerkt im "Hintergrund" der Rechner, die in den Registern eingesetzt werden. Dies kann auch bereits praktisch von den an der Erprobung beteiligten Arbeitsgruppen in Mainz und Oldenburg demonstriert werden.

1. Registrierungsmodell

Zum 1.1.1995 ist das Gesetz über Krebsregister in Kraft getreten, welches die Bundesländer verpflichtet, bis zum 1.1.1999 bevölkerungsbezogene Krebsregister einzurichten [1].

Im folgenden wird ein von den Arbeitsgruppen in Mainz (Prof. Michaelis und Mitarbeiter) und Oldenburg (Prof. Appelrath und Mitarbeiter) gemeinsam erarbeiteter Vorschlag vorgestellt, der aus den Vorarbeiten der beiden Arbeitsgruppen resultiert ([3], [4], [5], [7]). Dieser Vorschlag beschreibt die technische Umsetzung des Registrierungsmodells gemäß KRG, welches auf zwei unabhängigen, auch institutionell getrennte, Stellen basiert:

Eine Dechiffrierung der personenidentifizierenden Daten zum Durchführen von Studien ist nur nach Erfüllung bestimmter, wohldefinierter Auflagen möglich.

Für den Abgleich der Neumeldungen mit den bereits vorhandenen Meldungen in der Registerstelle werden sogenannte Kontrollnummern als Abgleichinstrument verwendet (siehe Kap. 3). In Zweifelsfällen können auch Unklarheiten durch Nachfragen über die Vertrauensstelle beseitigt werden. Dazu werden die Meldungen eine gewisse Zeit - im KRG sind in § 4, Abs. 1 dafür drei Monate vorgesehen - in der Vertrauensstelle aufbewahrt, jedoch dort spätestens nach dieser Zeitspanne oder nach Abschluß der Bearbeitung in der Registerstelle gelöscht.

2. Chiffrierverfahren

Während für die Chiffrierung der personenidentifizierenden Angaben in der Vertrauensstelle ein Verfahren verwendet werden muß, welches eine Dechiffrierung auf Klartexte erlaubt, wird für die Bildung der Kontrollnummern eine Einwegverschlüsselung genutzt, die keine Rückabbildung auf die Klartexte ermöglicht. Es werden im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) folgende Verfahren empfohlen (vgl. Abb. 1, einzelne Kästen sind durch Buchstaben A bis F gekennzeichnet):

Vertrauensstelle

Kasten A: Die Chiffrierung der personenidentifizierenden Daten wird durch ein asymmetrisches Verfahren [9] realisiert, wobei keine bundesweite Standardisierung notwendig ist. Es wird eine hybride IDEA-RSA-Chiffrierung empfohlen, wobei jedes Bundesland aus Praktikabilitätsgründen nur ein Schlüsselpaar, bestehend aus einem "öffentlichen" Schlüssel PK (Public Key) und einem "geheimen" Schlüssel SK (Secret Key), verwenden sollte. Die Identitätsdaten werden mit IDEA chiffriert. Der dazu jeweils pro Sitzung nach einem Zufallsverfahren erzeugte IDEA-Schlüssel wird mit dem "öffentlichen" Schlüssel RSA-chiffriert und mit den chiffrierten Identitätsdaten abgelegt. Die RSA-Schlüssel sollten eine Länge von mindestens 640 Bit haben.

Kasten B: Entscheidend für den späteren, zwingend notwendigen Abgleich der Daten mit denen anderer Bundesländer ist die Verwendung eines bundeseinheitlichen Verfahrens. Es wird vorgeschlagen, die Kontrollnummern KN1, ..., KN22 aus einzelnen Attributen (A1, ..., A22) (siehe Kap. 3) der personenidentifizierenden Daten zu erzeugen, indem auf jedes Attribut nacheinander ein Einwegverschlüsselungsverfahren und ein symmetrisches Chiffrierverfahren angewendet werden. Als Ergebnis erhält man die Kontrollnummern KNi, deren Format als "Linkage Format" bezeichnet wird, da die Kontrollnummern in diesem Format zur Zusammenführung mehrerer Datensätze einer Person (Record Linkage) in der Registerstelle verwendet werden.

Das Einwegverfahren muß bundeseinheitlich sein. Als Einwegverfahren wird das MD5-Verfahren empfohlen. Als symmetrisches Verfahren wird IDEA [10] empfohlen; dieses Chiffrierverfahren muß auf Landesebene einheitlich sein. Es muß auch landesweit ein einheitlicher IDEA-Schlüssel (IDEA-VST) verwendet werden. Ein einheitliches symmetrisches Chiffrierverfahren auf Bundesebene ist für den Abgleich nicht zwingend.

Registerstelle

Kasten C: Nach dem Abgleich in der Registerstelle werden die Kontrollnummern KNi vor der permanenten Abspeicherung in der Datenbank nochmals, ergänzt um eine Zufallszahl x, zusammen symmetrisch chiffriert (IDEA). Als Ergebnis erhält man den Schlüsseltext RKN, dessen Format als "Storage Format" bezeichnet wird, da die Kontrollnummern in dieser Form in der Registerstelle dauerhaft gespeichert werden. Der dabei verwendete IDEA-Schlüssel (IDEA-RST) ist unabhängig von dem der Vertrauensstelle(n) und nur in der Registerstelle bekannt. Die Zufallszahl dient dem Schutz vor einer Probechiffrierung von Kontrollnummern. Auch dieses Verfahren muß nicht bundeseinheitlich standardisiert sein, dies wäre jedoch aus Praktikabilitätsgründen empfehlenswert.

Kasten D: Zum Record Linkage müssen jeweils die Kontrollnummern der Meldungen, die bereits in der Registerdatenbank gespeichert sind, vom "Storage Format" in das "Linkage Format" überführt werden, indem die in Kasten C beschriebene Chiffrierung für die Dauer des Record Linkage rückgängig gemacht wird.


Abbildung 1: Technische Umsetzung des Meldemodells gemäß KRG

Registerübergreifender Abgleich

Kasten E: Für einen registerübergreifenden Abgleich stellt die Registerstelle durch Dechiffrieren mit dem Schlüssel IDEA-RST aus den Kontrollnummern im "Storage Format" wieder die Kontrollnummern im "Linkage Format" her und übergibt sie an die Vertrauensstelle. Das Vorgehen ist dasselbe wie in Kasten D, nur diesmal für den registerübergreifenden Abgleich.

Kasten F: Die Vertrauensstelle bringt die Kontrollnummern in das "Austauschformat", indem sie die IDEA-Chiffrierung mit dem Schlüssel IDEA-VST rückgängig macht und eine erneute Chiffrierung mit IDEA vornimmt. Für diese Chiffrierung wird ein IDEA-Schlüssel (IDEA-ABG) verwendet, der nur für diesen Abgleich eingesetzt wird. Das "Austauschformat" ist ein "Linkage Format". Es unterscheidet sich vom lokal verwendeten nur durch den eingesetzten IDEA-Schlüssel.

 

 

Ort

Dauer

Form

Klartextattribute

Vertrauensstelle

temporär, solange der Fall in der Vertrauensstelle vorliegt (< 3 Monate)

(A1,...,A22)

"Linkage Format"

Registerstelle

jeweils temporär während eines Record Linkage-Laufs (< 1 Stunde)

KNi= IDEA (MD5(Ai), IDEA-VST),

i = 1, ..., 22

"Storage Format"

Registerstelle

permanent

RKN = IDEA ({KN1 ,..., KN22, Zufallszahl}, IDEA-RST)

"Austauschformat"

Vertrauensstelle

temporär, zur Weitergabe an die Vertrauensstelle des kooperierenden Registers

KN'i = IDEA (MD5(Ai), IDEA-ABG),

i = 1, ..., 22

Tabelle 1: Kontrollnummernformate

Vorschläge zum Schlüsselmanagment

3. Record Linkage

Anonymisierte Meldungen werden in der Registerstelle anhand von Kontrollnummern abgeglichen, wobei folgende Empfehlungen für eine bundesweite Standardisierung des Record Linkage in epidemiologischen Krebsregistern gegeben werden:

Erläuterungen zu den Attributen

Zusätzlich zu den Kontrollnummern sollten folgende epidemiologischen Merkmale zum Record Linkage verwendet werden: Geschlecht, Geburtsmonat und -jahr sowie die Gemeindekennziffer.

Im Krebsregister Rheinland-Pfalz stehen einige Programme zur Unterstützung des Record Linkage, auch für externe Interessenten, zur Verfügung:

Die Namenszerlegung ist im Krebsregister Rheinland-Pfalz in die Datenerfassung integriert. Eine Kurzbeschreibung der Namenszerlegung ist auf Anfrage erhältlich.

4. Sicherheitsaspekte

Im folgenden werden ausschließlich Maßnahmen zur Gewährleistung der Vertraulichkeit skizziert. Diese sind Bestandteile eines umfassenden Konzeptes zur Gewährleistung der Datensicherheit, das jedes Register erarbeiten muß. Es ist vorgesehen, zu einem solchen umfassenden Datensicherheitskonzept ebenfalls einheitliche Empfehlungen zu erarbeiten. In diesen Empfehlungen werden alle Aspekte der IT-Sicherheit (Verfügbarkeit, Integrität, Vertraulichkeit) analysiert. Vorarbeiten wurden gemeinsam mit dem BSI bereits begonnen.

Die in Kapitel 2 und 3 beschriebenen Verfahren gewährleisten folgende Sicherheitsaspekte:

Das BSI empfiehlt für den Versand der Daten die Chiffrierung des gesamten Datenbestandes mit einem Blockchiffrierverfahren (z.B. IDEA) im CBC- oder CFB-Modus [2].

Nach Angaben des BSI sind Angriffe von außen als Risiko viel seltener und damit unwahrscheinlicher als technisches Versagen, Fehlbedienung durch Irrtum oder Nachlässigkeit oder mangelndes Sicherheitsbewußtsein der Mitarbeiter. Das BSI ist der Auffassung, daß die hier dargestellte Erzeugung der Kontrollnummern und Überverschlüsselung in Verbindung mit sorgfältiger Einhaltung der organisatorischen Maßnahmen gewährleistet, daß die Identitätsdaten der Patienten nicht von Unbefugten zurückgewonnen werden können [2].

5. Ausblick

In diesem Papier sind die zentralen Konzepte und Empfehlungen zur technischen Umsetzung für den Aufbau eines epidemiologischen Krebsregisters nach dem KRG vorgestellt worden.

Zusätzlich zu diesen empfohlenen Maßnahmen muß ein damit verträgliches Gesamtsicherheitskonzept für ein epidemiologisches Krebsregister definiert werden, welches in Abstimmung mit dem BSI zu überprüfen ist. Ein solches Sicherheitskonzept ist erforderlich, damit nicht die weitgehenden Datenschutzmaßnahmen des Registrierungsmodells durch möglicherweise unzureichende Rahmenbedingungen gefährdet werden. Das Gesamtsicherheitskonzept des einzelnen Registers ergibt sich aus dem Zusammenwirken organisatorischer, baulicher, software- und hardwaretechnischer Maßnahmen.

Die benötigte Hardwareausstattung richtet sich nach den Aufgaben, die von den einzelnen Stellen zu leisten sind. Die Aufgaben der Vertrauensstelle können mit heutigen Personal Computern wahrgenommen werden, wenn nicht aufgrund spezieller zusätzlicher Aufgaben einzelner Vertrauensstellen eine weitergehende Ausstattung nötig ist.

Um die Aufgaben der Registerstelle adäquat ausführen zu können, werden große Datenmengen (Registermeldungen, "Umweltdaten", digitalisierter Raumbezug) zu verwalten sein, die entsprechende Anforderungen an die Verarbeitungskapazität und -geschwindigkeit der Hardware stellen. Hier müssen mehrplatzfähige Unix-Workstations mit einem modernen Datenbanksystem eingesetzt werden.

Inzwischen haben alle Bundesländer die Absicht, bald mit dem Aufbau epidemiologischer Krebsregister zu beginnen. Dafür zeigen die hier gegebenen Empfehlungen die technischen Voraussetzungen auf. Zusammenfassend kann man feststellen, daß diese Empfehlungen die Machbarkeit eines Meldemodells nach dem KRG gewährleisten und mit heutigen technischen Systemen umsetzbar sind. Im laufenden Betrieb einer Vertrauens- und Registerstelle werden sie kaum mehr wahrgenommen werden.

Damit treten die eigentlichen Entwicklungsaufgaben für den Aufbau eines epidemiologischen Krebsregisters in den Vordergrund. Dies betrifft vor allem die Funktion der Registerstelle, in der geeignete Auswertungsmethoden und -systeme (u.a. differenzierte statistische Verfahren für Cluster-Analysen, Herstellung eines einheitlichen digitalen Raumbezugs, Visualisierungstechniken) entwickelt und eingesetzt werden müssen. Auch hier sind länderübergreifende Kooperationen denkbar und sinnvoll.

Literatur

[1] Gesetz über Krebsregister (Krebsregistergesetz KRG). Drucksachen 12/6478, 12/7726, 12/8287, Bonn 1994.

[2] Verschlüsselung von Identitätsdaten in Landeskrebsregistern und für Kontrollnummernbildung für einen registerübergreifenden Datenabgleich. Bundesamt für Sicherheit in der Informationstechnik (BSI), Abteilung III - Kryptographische Sicherheit, Vorläufige Fassung, Bonn 3.5.95.

[3] Appelrath, H.-J.; Thoben, W.; Rettig, J.; Sauer, S.: CARLOS (Cancer Registry Lower Saxony) - Tätigkeitsbericht für den Zeitraum 1.4.-1.11.1993. Technischer Bericht, OFFIS, Oldenburg 1993.

[4] Appelrath, H.-J.; Thoben, W.; Kamp, V.; Wietek, F.: CARLOS (Cancer Registry Lower Saxony) - Tätigkeitsbericht für den Zeitraum 1.1-31.12.1994. Technischer Bericht, OFFIS, Oldenburg 1994.

[5] Schmidtmann, I.; Michaelis, J.: Untersuchungen zum Record-Linkage für das Krebsregister Rheinland-Pfalz. Technischer Bericht, Tumorzentrum Rheinland-Pfalz, Mainz 1994.

[6] Koller, S.; Wagner, G. (Hrsg.): Handbuch der medizinischen Dokumentation und Datenverarbeitung. Stuttgart 1975.

[7] Krtschil, A.; Schmidtmann, I.; Schüz, J.; Michaelis, J.: Bericht über die Pilotstudie zum Krebsregister Rheinland-Pfalz. Technischer Bericht, Tumorzentrum Rheinland-Pfalz, Mainz 1994.

[8] Miller, M.: Verfahren zur Anonymisierung und Registrierung in Krebsregistern. Bericht Nr. 11, Musikinformatik & Medientechnik, Musikwissenschaftliches Institut der Johannes Gutenberg-Universität, Mainz 1993.

[9] Rivest, R. L.; Shamir, A.; Adleman, L.: A Method for Obtaining Digital Signatures and Public-Key Cryptosystems. In: Communications of the ACM, Vol. 21, No. 2, S.120-126, 1978.

[10] Fumy, W.; Rieß, H. P.: Kryptographie - Entwurf und Analyse symmetrischer Kryptosysteme. Oldenbourg-Verlag, München 1988.

[11] Postel, H.-J.: Die Kölner Phonetik - ein Verfahren zur Identifizierung von Personennamen auf Grundlage der Gestaltanalyse, IBM-Nachrichten 19, 925-931, 1969.