Verschlüsselung und Anonymisierung


Die Datenanonymisierung und Verschlüsselung erfolgt im iMAS nach einem bottom-up Ansatz. Nur so kann eine vollständige Anonymisierung der Daten gewährt werden und mit optimalem Aufwand unter entsprechenden Bedingungen und Kredentials zusammengesetzt werden.

Im iMAS werden sämtliche Datenrecords z.B. (Patientendaten, Labordaten) in die einzelnen Datenwerte zerlegt (vertikal und horizontal in Daten-Ur-Suppe), referenziert, indexiert und verschlüsselt (anonymisiert und verhasht). Die Meta-Daten (Verlinkungen) werden ebenfalls nach einem Public und Private Key Verfahren verschlüsselt. Zugriffe, respektive entsprechende Abfragen werden nur mittels berechtigten Kredentials erlaubt. Alle Zugriffe gehen immer über das SearchEngine Gate (Solr - Public API). Für das Einfügen der sicheren Links unterscheidet das iMAS vier Level welche auf jedem Layer (User Interface, Application, Domain, Infrastructure) ebenfalls noch detaillierter austariert und customisiert wird.


Folgende 4 Level sind zu unterscheiden:

  1. Anonyme Personenreferenz
  2. Anonyme Wertereferenz
  3. Anonyme Demografie Referenz
  4. Patienten-Konsent


Beschreibung des Unit-Konzepts


Das System ist einheitlich mit dem Unit-Konzept realisiert. Eine Unit ist ein Objekt, das einen systemweiten, eindeutigen Identifikator (eine grosse ganze Zahl)und eine Menge von Attributen, welche auch während des Betriebs verändert werden können, besitzt. Ein Attribut ist entweder ein elementarer Datentyp, wie z.B. eine Zeichenkette oder eine ganze Zahl, oder es ist ein Verweis auf eine (oder mehrere) Units. Somit entsteht ein Geflecht aus Units und deren Beziehungen untereinander. Beispiel: Im Labor-Umfeld können Units zur Beschreibung von Patienten und deren Messwerte verwendet werden. Ein Patient wird dabei durch eine Unit beschrieben, die dessen Name, Geburtsdatum, Adresse, Geschlecht etc. als elementare Attribute hat. Ein Messwert wird durch eine Unit mit den Attributen Messdatum, Messart und Ergebniswert dargestellt. Zusätzlich hat eine Messwert-Unit noch einen Verweis auf die Unit, die zu dem Patienten gehört, der vermessen wurde.

Das Unit-Konzept hat eine Entsprechung auf jeder der oben genannten Schichten „User-Interface“, „Application“, „Business Domain“ und „Infrastructure“. Zentral ist die „Business Domain“ Schicht. Wie eben beschrieben erlaubt das Unit Konzept, Prozesse und Beziehungen zu beschreiben, wie sie der menschlichen Anschauung der Anwender entsprechen. In der „Infrastructure“ Schicht können Units mit modernen schemalosen Datenbanken (wie z.B. Mongo DB) und Suchdatenstrukturen (wie z.B. Solr) als Ganzes (d.h. ohne weitere Aufteilung) gespeichert werden. (Dies widerspricht der klassischen, starren Perspektive, bei der die Attribute der Geschäftsobjekte einmalig festgelegt werden.) Somit gewinnt das Konzept aufgrund seiner hohen Flexibilität. Auf der „Application“ Schicht haben Units den Vorteil, dass sie sich, aufgrund ihrer einfachen Struktur, in beliebige Ausgabeformate umwandeln lassen.

Daher ist Integration mit gängigen Umsystemen, wie z.B. Excel oder SAP, gut machbar. Insbesondere lassen sich Units leicht über ein Netzwerk versenden, wodurch verteilte, standort-übergreifende Systeme einfach realisierbar sind. Hinzu kommt ein wichtiger Aspekt im Labor-Umfeld: Anonymisierung. Darauf wird weiter unten näher eingegangen. Auf der „User Interface“ Schicht können Units auch zur Interaktion mit Benutzern verwendet werden. Durch die Verwendung von Java Technologien, wie z.B. JSF, können Units ohne weitere Umwandlung dargestellt und durch einen Benutzer verändert werden.


Anonymisierung


In der klassischen Anonymisierung werden Rohdaten verfremdet (z.B. durch Entfernung von Patienten-Namen und Adressen), wobei es jedoch noch eine Kopie des Originals an einer „sicheren“ Stelle geben muss. (Andernfalls gehen Informationen verloren, was sicher nicht gewünscht ist.) Mit dem Unit-Konzept lässt sich ein anderer Ansatz realisieren. Es wurde schon gesagt, dass zwischen den Units eines Systems Beziehungen durch Verweise realisert werden. Diese Verweise lassen sich mit modernen kryptographischen Methoden verschlüsseln. Damit sind die Beziehungen der Units untereinander nur denjenigen zugänglich, die diese Verschlüsselung entschlüsseln können.

Das hat den Vorteil, dass Personen mit unterschiedlichen Einsichtsberechtigungen Zugang zu den gleichen Grunddaten bekommen, aber nur die Beziehungen einsehen können, deren Schlüssel sie besitzen. Beispiel: In obigem Beispiel besteht eine Beziehung zwischen einem Messwert und dem Patienten, zu dem er gehört. Die Beziehung besteht aus dem Identifikator der Patienten-Unit, die auf der Messwert-Unit gespeichert ist. Wenn man diesen Identifikator mittels einer kryptographischen Funktion verändert und in dieser Form auf der Messwert-Unit speichert ist die Beziehung nicht mehr im Klartext vorhanden. Erst mit der Entschlüsselung wird die Beziehung wieder sichtbar.