[Back]

J. Heurix:
"A framework for the application of pseudonymization for primary and secondary use of health data";
Supervisor, Reviewer: A. Tjoa, G. Quirchmayr; Institut für Softwaretechnik und interaktive Systeme, 2016; oral examination: 2016-05-30.

Today´s world is characterized by the availability of large amounts of data and the technologies to process them. This has been a significant boost to today´s economy, but has also increased the need for data security. Whenever sensitive and personal data is involved, adequate data protection mechanisms must be installed to prevent unauthorized data disclosure which results in adverse consequences for individuals. Personal health data is a particular, usually highly sensitive type of data, which is why its disclosure must be tightly controlled in order to protect the privacy of individuals. The introduction of interconnected systems like electronic health records has made it easier to acquire and process vital information and has thus improved general health care, though the facilitated access to critical data has also increased the fear of data abuse by unauthorized parties. More often than not, unregulated disclosure of personal health data leads to discrimination or harassment of the affected individuals. Thus, existing legal regulations should be supplemented by technical means. However, personal health data is also an important source of information for research purposes, and patients usually agree to this form of beneficial data disclosure to third parties for secondary use, as long as their privacy is preserved. Thus, it is necessary to keep the balance between the patients´ privacy and the usability of their health data for research purposes.
In this thesis, pseudonymization is investigated as a method to keep this balance between privacy and data usability. The security architecture based on pseudonymization ensures that the patients´ health data is stored in a pseudonymized state, which enables privacy-preserving secondary use. Since pseudonymization is a reversible process, access to the original de-pseudonymized data can be granted to trusted health care providers for direct primary care. This form of authorized data access is controlled exclusively by the patients who are acting as owners of their data. Therefore, this pseudonymization architecture supports the concurrent patient-controlled primary use and privacy-preserving secondary use of health data. Furthermore, the thesis also investigates pseudonymization in a scenario purely for secondary use including the necessary steps to convert existing archived health data into a form suitable for privacy-preserving processing for research purposes.

Die heutige Welt ist von der Verfügbarkeit großer Datenmengen und den Technologien, mit Hilfe derer diese Daten verarbeitet werden, geprägt. Diese Entwicklung hat zwar die Wirtschaft merklich angekurbelt, gleichzeitig aber auch die Notwendigkeit für Datensicherheit erhöht. Sobald sensible und persönliche Daten verarbeitet werden, müssen entsprechende Datensicherheitsmechanismen eingesetzt werden, um unbefugte Datenweitergabe zu verhindern, die sich negativ auf Einzelpersonen auswirken könnte. Bei persönlichen Gesundheitsdaten handelt es sich um hochsensible Daten, deren Weitergabe streng kontrolliert werden muss, um die Privatsphäre der betroffenen Personen zu wahren. Die Einführung vernetzter Systeme wie beispielsweise elektronischer Gesundheitsakten hat den Zugriff auf und die Verarbeitung von entscheidenden Informationen erleichtert, was auch zu einer Verbesserung der allgemeinen Gesundheitsversorgung geführt hat. Mit der Vereinfachung des Zugriffs auf kritische Daten ist jedoch auch die Angst vor Datenmissbrauch durch Unbefugte gewachsen. Die unkontrollierte Weitergabe persönlicher Gesundheitsdaten führt in vielen Fällen zu Diskriminierung und Belästigung der betroffenen Personen. Daher sollten die bestehenden Rechtsvorschriften durch technische Maßnahmen ergänzt werden. Da persönliche Gesundheitsdaten aber auch eine wertvolle Informationsquelle für Forschungszwecke sind und Patienten meist mit der Weitergabe ihrer Daten für die Sekundärnutzung durch Dritte einverstanden sind, solange ihre Privatsphäre dabei gewahrt wird, muss das Gleichgewicht zwischen der Wahrung der Privatsphäre der Patienten und der Nutzbarkeit ihrer Daten für die Forschung gefunden werden.
Diese Dissertation untersucht Pseudonymisierung als eine Methode, um dieses Gleichgewicht zwischen Privatsphäre der Patienten und Nutzbarkeit der Daten zu wahren. Die auf Pseudonymisierung basierende Sicherheitsarchitektur gewährleistet, dass die Gesundheitsdaten der Patienten pseudonymisiert gespeichert werden, was die Sekundärnutzung der Daten ermöglicht, während die Privatsphäre der Patienten gewahrt wird. Da Pseudonymisierung ein umkehrbarer Prozess ist, können vertrauenswürdige Gesundheitsdienstleister für die primäre Gesundheitsversorgung Zugang zu den nicht-pseudonymisierten Originaldaten erhalten. Diese Form des autorisierten Datenzugriffs wird ausschließlich von den Patienten als Dateneigentümern gesteuert. Demnach unterstützt die Pseudonymisierungsarchitektur sowohl die vom Patienten gesteuerte Primärdatennutzung sowie die Sekundärdatennutzung unter Wahrung der Privatsphäre der Patienten. Darüber hinaus untersucht die Dissertation auch die Pseudonymisierung für die alleinige Sekundärdatennutzung einschließlich der damit verbundenen notwendigen Schritte für die Umwandlung von bestehenden archivierten Gesundheitsdaten in eine für die Sekundärdatennutzung für Forschungszwecke geeignete Form, während wiederum die Privatsphäre der Patienten gewahrt wird.

privacy, pseudonymization, eHealth, security, health data