Home
Über uns
Mitglieder
Arbeitsgruppen
Projekte
Produkte
Publikationen
Stellungnahmen
News
Interviews
Newsletter
Infos abonnieren
Presse
Termine
Stellenmarkt
Online-Services
 

 

„k-Anonymität und l-Diversität bieten sicheren Schutz vor dem Ausspionieren personenbezogener Daten“

Interview mit Prof. Dr. Johann Eder über das neue „Anon“-Tool der TMF zur Anonymisierung medizinischer Daten.

März 2013. Wer klinische Daten einrichtungsübergreifend für zentrale Recherchen zusammenführt, muss eine Reidentifizierung von Patienten und Probanden über diese Daten sicher ausschließen können. Werden Rückschlüsse auf bestimmte Personen aufgrund des Zusatzwissens eines Nutzers möglich, gelten die Daten nicht mehr als anonym und für ihre Speicherung und Verarbeitung fehlt – ohne die informierte Einwilligung der Patienten – die Rechtsgrundlage. Eine starke Vergröberung medizinischer Daten mittels k-Anonymisierung  und L-Diversität kann dies verhindern. Im Auftrag der TMF hat Prof. Eder hierfür eine flexibel und einfach einsetzbare Softwarelösung, das „Anon-Tool“ entwickelt, das in Kürze über die TMF-Homepage öffentlich zur Verfügung stehen wird.

 

   
Das Interview führte Beate Achilles. Es erscheint auch in der Zeitschrift E-Health-COM 2 | 2013.

 

Sie haben im Rahmen eines 2012 gestarteten TMF-Projekts ein so genanntes „Anon-Tool“ entwickelt. Wozu dient es und wie können Forscher darauf zugreifen?

Das Anon-Tool erzeugt aus einem Datenbestand mit personenbezogenen Daten eine Datei, in der es nicht mehr möglich ist, Daten einer einzigen Person zuzuordnen. Die Daten werden also anonymisiert und die Privatsphäre wird geschützt. Technisch gesehen erzeugt das Anon-Tool aus einem Datenbestand eine k-anonyme und l-diverse Datei. Die Spezialität dieses Tools ist, dass der Nutzwert der anonymisierten Daten spezifisch für die geplante Verwendung optimiert wird. Das Tool stellt die TMF den Forschern demnächst über eine Open-Source Plattform zur Verfügung.

 

Warum reicht eine einfache De-Identifizierung – also die Entfernung potentiell identifizierender Daten aus den Datenbeständen beispielsweise von Biobanken – nicht aus, um eine dauerhafte Vertraulichkeit zu gewährleisten?

Das Streichen der üblichen Schlüssel wie Name, Versicherungsnummer, etc. reicht nicht aus, weil es mit Attributen wie Postleitzahl, Beruf, Körpergröße, Geburtsdatum, etc. sehr rasch möglich ist, einzelne Personen zu identifizieren. Würde man alle diese potenziell identifizierenden Daten streichen, würde man viel mehr an Information verlieren als mit k-Anonymisierung.

 

Welche Arten von Datenbeständen sind von diesem Problem neben den Biobanken noch betroffen?

Eigentlich sind alle Datenbestände betroffen, die personenbezogene Daten enthalten, die weitergeben oder von Dritten abgefragt werden sollen.

 

Wie funktioniert k-Anonymisierung und für welche Anwendungszwecke ist sie sinnvoll?

Das "k" steht für eine Zahl. Je höher das "k" ist, desto stärker die Anonymisierung. Zuerst identifizieren wir im Datenbestand die Quasi-Identifier: Das sind all jene Felder, deren Inhalt ein  potentieller  Angreifer kennen kann. Typische Kandidaten sind Geburtsdatum, Alter, Beruf, Wohnort, Geburtsort,  etc. Die Inhalte dieser Felder werden verallgemeinert, indem etwa der Geburtsort durch den  Landkreis ersetzt wird, das Alter durch eine Altersgruppe in 5-er oder 10-er Schritten, usw. Die Daten werden so weit verallgemeinert, dass es zu jedem Datensatz "k-1" Datenzwillinge gibt. Wird beispielsweise "k" mit 7 festgelegt, müssen also sieben Datensätze dieselbe  Kombination von Werten in den quasi-identifizierenden Feldern haben. Ein Angreifer kann damit keinen einzelnen Datensatz mehr identifizieren, sondern nur mehr eine Gruppe von "k" Datensätzen. Dabei geht natürlich Information verloren. Aber unser Verfahren stellt sicher, dass der Informationsverlust minimal ist.

 

Welche weiteren Anonymisierungsmöglichkeiten gibt es neben der k-Anonymisierung und wie sind diese Methoden im Anon-Tool berücksichtigt?

Im Anon-Tool haben wir zusätzlich l-Diversivität implementiert.  Das löst folgendes Problem: Wenn in einem Feld, das nicht Quasi-Identifier ist - zum Beispiel Diagnose - alle Sätze einer Gruppe denselben Wert haben und ein Angreifer weiß, dass die Daten der gesuchten Person sich in diesem Datensatz befinden, dann kennt er damit  die genaue Diagnose der Person. Die Forderung ist nun, dass in einer k-Gruppe in den  Feldern, die nicht verallgemeinert wurden, mindestens "l" – zum Beispiel fünf – verschiedene Werte vorkommen. Das heißt in unserem Beispiel, dass ein Angreifer die Diagnose einer Person nur auf fünf verschiedene Möglichkeiten einschränken kann. So kann er die genaue Diagnose nicht herausfinden. Wenn zudem in einen Datenbestand Kontrollgruppen mit der Diagnose "gesund" aufgenommen werden, dann kann ein Angreifer nicht einmal mehr herausfinden, ob die Person überhaupt erkrankt ist. Zusammen ergeben k-Anonymität und l-Diversität einen sehr sicheren Schutz vor dem Ausspionieren personenbezogener Daten.

 

Herr Prof. Dr. Eder, wir danken für das Gespräch!

 

  1. TMF-Projekt V086-01 Anon-Tool - Werkzeug zur Anonymisierung von Datenexporten
  2. Vortrag von Prof. Eder über das Anon-Tool beim TMF-Jahreskongress 2013


Univ. Prof. Dipl.-Ing. Dr. Johann Eder ist Vorstand des Instituts für Informatik-Systeme der Alpen Adria Universität Klagenfurt. Seine Forschungsschwerpunkte sind Interoperabilität, Workflow Systeme und Informationssysteme für Biobanken.

News Archiv

Juli 2018 (2)

Juni 2018 (7)

Mai 2018 (1)

April 2018 (1)

März 2018 (7)

Februar 2018 (2)

Januar 2018 (7)

Dezember 2017 (6)

November 2017 (2)

Oktober 2017 (3)

September 2017 (4)

August 2017 (1)

Juli 2017 (8)

Juni 2017 (9)

Mai 2017 (4)

April 2017 (2)

März 2017 (5)

Februar 2017 (2)

Januar 2017 (4)

Dezember 2016 (8)

November 2016 (5)

Oktober 2016 (4)

September 2016 (7)

August 2016 (5)

Juli 2016 (8)

Juni 2016 (5)

Mai 2016 (3)

April 2016 (11)

März 2016 (5)

Februar 2016 (3)

Januar 2016 (8)

Dezember 2015 (6)

November 2015 (3)

Oktober 2015 (8)

September 2015 (5)

August 2015 (4)

Juli 2015 (7)

Juni 2015 (7)

Mai 2015 (5)

April 2015 (2)

März 2015 (6)

Februar 2015 (7)

Januar 2015 (8)

Dezember 2014 (6)

November 2014 (9)

Oktober 2014 (10)

September 2014 (3)

Juli 2014 (6)

Juni 2014 (5)

Mai 2014 (4)

April 2014 (8)

März 2014 (8)

Februar 2014 (6)

Januar 2014 (7)

Dezember 2013 (8)

November 2013 (6)

Oktober 2013 (5)

September 2013 (10)

August 2013 (4)

Juli 2013 (8)

Juni 2013 (7)

Mai 2013 (4)

April 2013 (9)

März 2013 (9)

Februar 2013 (5)

Januar 2013 (5)

Dezember 2012 (7)

November 2012 (5)

Oktober 2012 (5)

September 2012 (5)

August 2012 (3)

Juli 2012 (4)

Juni 2012 (4)

Mai 2012 (3)

April 2012 (3)

März 2012 (5)

Januar 2012 (7)

Dezember 2011 (2)

November 2011 (8)

Oktober 2011 (10)

September 2011 (2)

August 2011 (5)

Juli 2011 (3)

Juni 2011 (5)

Mai 2011 (8)

April 2011 (4)

März 2011 (5)

Februar 2011 (3)

Januar 2011 (5)

Dezember 2010 (3)

November 2010 (3)

Oktober 2010 (5)

September 2010 (9)

August 2010 (5)

Juli 2010 (6)

Juni 2010 (12)

Mai 2010 (3)

April 2010 (4)

März 2010 (4)

Februar 2010 (4)

Januar 2010 (1)

Dezember 2009 (1)

November 2009 (1)

Oktober 2009 (5)

September 2009 (8)

August 2009 (1)

Juli 2009 (8)

Juni 2009 (6)

Mai 2009 (2)

April 2009 (6)

März 2009 (5)

Februar 2009 (4)

Januar 2009 (2)

Dezember 2008 (3)

November 2008 (6)

Oktober 2008 (3)

September 2008 (5)

August 2008 (3)

Juli 2008 (5)

Juni 2008 (4)

Mai 2008 (3)

April 2008 (6)

März 2008 (3)

Februar 2008 (1)

Januar 2008 (2)

Dezember 2007 (2)

November 2007 (4)

Oktober 2007 (4)

September 2007 (5)

Juni 2007 (2)

Mai 2007 (1)

April 2007 (6)

Januar 2007 (1)

Dezember 2006 (8)

November 2006 (4)

Oktober 2006 (1)

September 2006 (4)

August 2006 (1)

Juli 2006 (1)

Juni 2006 (3)

Mai 2006 (1)

April 2006 (3)

März 2006 (1)

Februar 2006 (1)

Januar 2006 (2)

Dezember 2005 (3)

November 2005 (1)

Oktober 2005 (1)

September 2005 (2)

August 2005 (2)

Juli 2005 (3)

Juni 2005 (2)

April 2005 (4)

November 2004 (1)

Oktober 2004 (1)

September 2004 (1)

August 2004 (1)

Juni 2004 (2)

Mai 2004 (1)

Presseschau

Termine

Arbeitstreffen der DFG-Projekte (Berlin)

27.08.2018



Sitzung der AG IT-Infrastruktur und Qualitätsmanagement (Berlin)

11.09.2018




Interviews

„Wir brauchen dringend einen bundesweit einheitlichen Dokumentations­standard für die gesamte Versorgungskette des Notfallpatienten“

Interview mit Univ.-Prof. Dr. med. Rainer Röhrig (Universität Oldenburg) und Univ.-Prof. Dr. med. Felix Walcher (Universität Magdeburg) zum Aufbau eines nationalen Notaufnahmeregisters


 
© TMF e.V. Glossar     Datenschutzhinweis     Info an den Webmaster     Seite drucken      Seitenanfang