[Zurück]

D. Abouakil:
"Pseudonymization of medical images";
Betreuer/in(nen): A. Tjoa, T. Neubauer; Institut für Softwaretechnik und Interaktive Systeme, 2009; Abschlussprüfung: 05/2009.

In den vergangenen Jahren nahmen einige Regierungen Umstrukturierungen im medizinischen Bereich vor. Sie führten digitale Systeme ein (z.B. ELGA), um die Effizienz von Gesundheitssystemen zu steigern. Neue digitale Standards, wie die elektronische Gesundheitsakte wurden eingeführt und lösten die Papierakten ab. Behandelnde Ärzte können nun unkompliziert den Krankheitsverlauf eines Patienten nachvollziehen und Fehlbehandlungen werden durch dieses Wissen geringer.
Medizinische Institutionen sind untereinander verbunden, wie zum Beispiel die amerikanische "Regional Health Information Organization (RHIO)".
Diese Digitalisierung löste in der Bevölkerung Ängste bezüglich der Privatsphäre und Sicherheit von Patientendaten aus. Regierungen verabschiedeten Gesetze und Richtlinien für mehr Sicherheit. Beispiele dafür sind das österreichische Telematikgesetz und der Health Insurance Portability and Accountability Act (HIPAA) in den Vereinigten Staaten. Der Bereich der digitalen, medizinischen Bildverarbeitung ist, wegen der hohen Dateigröße von Aufnahmen, herausfordernd. DICOM Dateien beinhalten die Bilddaten und zusätzliche Metadaten wie Patientenname, Geburtstag und den behandelnden Arzt. Wenn jetzt diese Dateien zur besseren Sicherheit komplett verschlüsselt im Archiv abgelegt werden, würde das die Performance verschlechtern. Bei jeder Transaktion müsste die komplette Datei verschlüsselt und anschließend wieder entschlüsselt werden. Werden die Archivdaten verschlüsselt, kann nicht mehr darin gesucht werden. Weiters bietet DICOM keinen vernünftigen Autorisierungs- und Authentifizierungsmechanismus an. Jedoch darf ein Arzt nur Zugriff auf jene Daten haben, die von dem jeweiligen Patienten für ihn freigegeben werden. Diese Diplomarbeit stellt eine Lösung zur Sicherung der Privatsphäre von Patienten in medizinischen Anwendungen vor. Nachdem eine ausführliche Analyse der Sicherheitsmechanismen des DICOM Standards vorgenommen wurde, werden alternative Technologien (wie z.B. Kryptographie, Anonymisierung und Pseudonymisierung) vorgestellt. Aus einer vorgenommenen Gegenüberstellung dieser Technologien resultiert, dass die Pseudonymisierung ein passendes Mittel ist, um Eigenschaften wie das Freigeben von Daten, ein gutes Laufzeitverhalten, Datenzugriff für die Forschung und einen hohen Grad an Privatsphäre, zu erreichen. Der Fokus dieser Diplomarbeit liegt auf der Entwicklung eines DICOM konformen Prototypen, welcher die Privatsphäre von Patientendaten wahrt.
Dieser Prototyp basiert auf dem PIPE Konzept. Der Prototyp pseudonymisiert medizinische Aufnahmen und ist unabhängig von der jeweiligen DICOM Client/Server Implementierung. Ein höherer Grad an Flexibilität wird erreicht. Der entwickelte Prototyp ermöglicht eine Suche nach Daten im Archiv und Forscher können auf medizinische Einträge zugreifen, ohne die Privatsphäre von den Patienten zu verletzen. Weiters definieren die Benutzer des Systems ihre individuellen Zugriffsrechte.
Durch die Verwendung von eigenen, privaten Schlüsseln wird das Risiko eines Angriffs auf die Patientendaten minimiert und ein hoher Sicherheitsgrad erreicht.

In the last years several governments started initiatives (e.g.
ELGA) to digitize medical data in order to improve the efficiency of their health care systems. Standards like the electronic medical record (EMR) have been introduced to substitute hard copy records. Doctors can read their patient's medical history and therefore medical malpractice is reduced. Institutions are interconnected like for example in the American Regional Health Information Organization (RHIO) approach.
Through this digitalization process, privacy concerns arose and governments enacted laws for privacy protection improvement such as the Austrian Health Telematics Law and the Health Insurance Portability and Accountability Act.
The area of digital imaging is exceptionally challenging because of the high data amount. DICOM records contain raw image data and metadata attributes (like patient ID, study date, referring physician). The encryption of the PACS records has a performance issue, because the PACS has to encrypted/decrypted the image file on each request. Additionally the user cannot execute DICOM search queries on the encrypted PACS records. DICOM does not provide a sophisticated authorization and authentication mechanism. However medical systems have to provide a policy based access mechanism to ensure the patient's right on privacy. Doctors should not have access to all patient data without patient's agreement. This thesis presents a solution for enhancing privacy for images in medical healthcare. After a security evaluation of the DICOM imaging standard, security enhancing technologies (cryptography, anonymization, pseudonymization) are presented. It will be shown that pseudonymization is a good mean to reach features like sharing data sets, high performance, research access and full privacy. The focus of this thesis is on the development of a DICOM conform prototype, which ensures patient privacy in medical healthcare. This so called proxy prototype is based on the PIPE pseudonymization approach.
The proxy pseudonymizes medical images and is independent from the DICOM client/server implementation, which increases flexibility. The user can search for records in the archive and researchers read the depersonificated records. Furthermore the users define access rights for their records.
Altogether this thesis will provide the reader a detailed overview in medical imaging. Alternative technologies for security enhancements are presented in detail and using the content of this thesis the reader is able to construct a secure medical imaging system.