Berücksichtigung von Datenschutzaspekten in einem
bevölkerungsbezogenen Krebsregister

W. Thoben, H.-J. Appelrath, J. Rettig, S. Sauer
Institut OFFIS, Westerstr. 10-12, 26121 Oldenburg

Einleitung

Die Pilotphase 1993/ 94 zum Aufbau eines Niedersächsischen Krebsregister untersucht das im Entwurf des Bundeskrebsregistergesetzes vorgesehene Modell für ein bevölkerungsbezogenes Krebsregister. Darin werden die Krebsmeldungen in einer Vertrauensstelle erfaßt und die personenidentifizierenden Daten vor der Übermittlung an die Registerstelle anonymisiert, wo sie dann zu einem bevölkerungsbezogenen Krebsregister verdichtet und epidemiologischer Forschung zur Verfügung gestellt werden ([1], [2], [3]). Dieses sogenannte "Michaelis"-Modell erlaubt eine bevölkerungsbezogene Registrierung von Krebsfällen unter Berücksichtigung datenschutzrechtlicher Aspekte ("Informationelles Selbstbestimmungsrecht") der einzelnen Betroffenen.

In vier Teilprojekten werden dabei in der Modellregion Weser-Ems die Integration krebsregistrierender Einrichtungen, die Chiffrierung/ Dechiffrierung von Krebsmeldungen, der Abgleich anonymisierter Meldungen in der Registerstelle und die Entwicklung eines epidemiologischen Informationssystem betrachtet ([4], [5]).

Chiffrierung/ Dechiffrierung

Für die Anonymisierung der personenbezogenen Daten einer Krebsmeldungen wird ein hybrides Chiffrier/ Dechiffriersystem eingesetzt. Solch eine hybride Variante basiert auf einer Kombination eines symmetrischen und eines asymmetrischen Verfahrens, wobei die personenidentifizierenden Daten unter Verwendung eines temporär erzeugten zufälligen Sitzungsschlüssels (random session key) durch das symmetrische Chiffrierverfahren (IDEA-Algorithmus) anonymisiert und lediglich der Sitzungsschlüssel in einem asymmetrischen Chiffriersystem (RSA-Verfahren) verschlüsselt wird. Dieses Vorgehen bietet auf der einen Seite die Möglichkeit einer verteilten Schlüsselverwaltung (öffentlicher und geheimer Schlüssel des asymmetrischen Chiffriersystems), auf der anderen Seite wird das Laufzeitverhalten eines Chiffriervorganges deutlich verbessert, da lediglich der temporäre Sitzungsschlüssel durch das asymmetrische Chiffrierverfahren, das im Vergleich zum symmetrischen Verfahren deutlich langsamer ist, verschlüsselt wird.

Die Chiffrierung der personenidentifizierenden Daten einer Krebsmeldung auf einer SUN SPARCstation 10 benötigt ca. 2,5 sec, wobei dabei bereits das Lesen der Daten aus einer Datenbank und das Schreiben des Schlüsseltextes in eine Datenbank mitberücksichtigt sind. Für das Land Niedersachsen würde bei einer Bevölkerung von 7,3 Mio. Einwohnern und einer erwarteten Inzidenzrate von 4,5 Fällen/ 1.000 Einwohner mit ca. 33.000 Neuerkrankungen/ Jahr zu rechnen sein. Betreibt das Krebsregister lediglich eine Vertrauensstelle für das gesamte Land, so entsteht bei einer Erfassungsrate von 100% (ohne Berücksichtigung von Mehrfachmeldungen) für die Chiffrierung der personenbezogenen Daten ein Zeitaufwand von ca. 7 min/ Tag (vorausgesetzt werden mindestens 200 Arbeitstage/ Jahr in der Vertrauensstelle).

Eine Dechiffrierung eines Schlüsseltextes benötigt inkl. der Datenbankzugriffe ca. 4 sec, so daß die Abbildung von 10.000 Schlüsseltexten (z.B. Personen für eine Studie) auf Klartexte ca. 11 h in Anspruch nimmt.

Als ein Ergebnis der Pilotphase darf also festgestellt werden, daß sowohl Chiffrierung als auch Dechiffrierung bei heutigen modernen Rechnersystemen zeitunkritisch "im Hintergrund" bearbeitet werden und den weiteren Arbeitsablauf einer Dokumentation nicht behindern.

Abgleich von Krebsmeldungen

Für den Abgleich von Neumeldungen mit bereits vorhandenen Krebsfällen des Krebsregisters werden sogenannte Kontrollnummern (Einwegverschlüsselungen von Zeichen aus personenbezogenen Datenfeldern wie Name, Geburtsdatum, Anschrift) verwendet. Hier gilt es solche Kontrollnummern bzw. Kontollnummernkombinationen und desweiteren eine flexible Verküpfung von diesen in einem Regelwerk mittels empirischer Untersuchen zu finden, die minimale Synonym- und Homonymraten gewährleisten [6]. Während Synonyme dadurch entstehen, daß verschiedene Meldungen zu einer Person unterschiedlichen Personen zugeordnet werden (z.B. durch Fehler bei der Erfassung), werden Homonyme durch die Abbildung der Meldungen unterschiedlicher Personen (z.B. aufgrund zu geringer Trennschärfe der Kontrollnummern) auf die gleiche Person erzeugt.

Die Laufzeiten für die Generierung einer Kontrollnummer liegen bei ca. 1 sec, wobei der Anteil für eine Einwegverschlüsselung noch hinzugerechnet werden muß. Durch moderne DB-Systeme mit 3.000 Vergleichen/ sec (Messungen am Beispiel des Systems ORACLE) ist gewährleistet, daß auch die Abgleiche der Datensätze über Kontrollnummern keine großen Zeitbelastungen darstellen.

Zusammenfassung und Ausblick

Die bisherigen Untersuchungen in der Pilotphase zeigen:

Die bisherigen Ergebnisse belegen, daß ein Krebsregister nach dem vorgeschlagenen Modell realisierbar ist. Während die Chiffrierung/ Dechiffrierung keine technisch neuen Fragen mehr aufwirft, sind in der Weiterentwicklung der Kontrollnummern für den Abgleich der Krebsmeldungen noch Untersuchungsmöglichkeiten gegeben, die darauf abzielen, die Synonym-und Homonymraten weiter zu senken. So können einerseits noch weitere Datenquellen betrachtet und andererseits neues Wissen in die Spezifikation der Kontrollnummern (z.B. Entwicklung von Heuristiken) eingebracht werden.

Literatur

1. Michaelis, J.; Krtschil, A.: Aufbau eines bevölkerungsbezogenen Krebsregisters für Rheinland-Pfalz. In: Ärzteblatt Rheinland-Pfalz 45, 1992, 434-438.

2. Schmidtmann, I.; Pommerening, K.; Michaelis: Pilotsudie zum Aufbau eines bevölkerungsbezogenen Krebsregisters für Rheinland-Pfalz. In: Pöppl, S.J., Lipinski, H.-G., Mansky, T. (Hrsg.): Medizinische Informatik - Ein integrierender Teil arztunterstützender Technologien. München: MMV 1994, 399-403.

3. Entwurf eines Gesetzes über Krebsregister (Krebsregistergesetz KRG). Stand: 26.5.1994, Drucksache 12/6478. Bonn, 1994.

4. Brand, H.; Reichling, I.; Appelrath, H.-J.; Illiger, I.; Unger, G.; Windus, G.: CARLOS (Cancer Registry Lower Saxony) - Pilotstudie für ein bevölkerungsbezogenes Krebsregister in Niedersachsen. In: Pöppl, S.J., Lipinski, H.-G., Mansky, T. (Hrsg.): Medizinische Informatik - Ein integrierender Teil arztunterstützender Technologien. München: MMV 1994, 404-406.

5. Appelrath, H.-J.; Thoben, W.; Rettig, J.; Sauer, S.: CARLOS (Cancer Registry Lower-Saxony) - Tätigkeitsbericht für den Zeitraum 1.4.-1.11.1993. Oldenburg, 1993.

6. Thoben, W.; Appelrath, H.-J.; Sauer, S.: Record linkage of anonymous data by control numbers. In: Tagungsband GfKl-Jahrestagung 1994. Oldenburg, 1994.