Verfahren zur Pseudonymisierung für Surveillancesysteme mit Verarbeitung von pseudonymisierten Falldaten

In ARS werden ausschließlich pseudonymisierte Falldaten verarbeitet, wobei der Fallbezug vom RKI nicht aufgelöst werden kann.

Um dies zu gewährleisten wurde ein mehrstufiges Konzept mit organisatorischen und technischen Maßnahmen entwickelt. Dieses Pseudonymisierungskonzept ist so aufgesetzt, dass es auch von weiteren Surveillancesystemen des RKI genutzt werden kann, die nach §13 IfSG pseudonymisierte Falldaten verarbeiten dürfen. Ziel ist, eine hohe Sicherheit des Pseudonymisierungsverfahrens zu erreichen und gleichzeitig den Aufwand, insbesondere für die Datensender, zu minimieren.


Beschreibung des Verfahrens

Das Konzept zur Pseudonymisierung in DEMIS sieht einen zweistufigen Prozess vor. Hierbei werden zunächst Surveillancesystem-unabhängige Pseudonyme vom Datensender an das DEMIS-Backend übermittelt, wo ein zweiter Schritt der Surveillancesystem-spezifischen Entfremdung erfolgt.


Pseudonymbildung beim Datensender

Grundlage für die Pseudonymbildung beim Datensender sind bereits vorliegende Klarinformationen die den Patienten konstant und eindeutig beschreiben. Dies kann die Versichertennummer sein, aber auch Informationen wie beispielsweise die Kombination aus Vornamen + Nachnamen + Geburtsdatum. Es obliegt dem Datensender die in seinen Daten verlässlichsten Klarinformationen zu wählen.

Das Konzept sieht vor, dass vom Datensender je Patienten zwei Pseudonyme, also ein Pseudonym-Paar, übermittelt werden. Beide Pseudonyme basieren auf denselben Klartextinformationen, demselben kryptografischen Hash-Verfahren HMAC-SHA256, allerdings auf unterschiedlichen Secrets „Secret-1“ und „Secret-2“.

HMAC-SHA256 enthält im letzten Schritt eine Hashbildung auf Basis des Algorithmus SHA256. Das BSI beschreibt SHA256 in seiner Technische Richtlinie „Kryptographische Verfahren: Empfehlungen und Schlüssellängen“ mit dem Kürzel BSI TR-02102-1 in der Version 2023-01 als kryptografisch starke Hashfunktion.

Für die Wahl und für den Tausch der Secrets ist der Datensender verantwortlich. Dieser Prozess wird vom RKI nicht koordiniert oder gesteuert. Unterschiedliche Datensender verwenden daher stehts unterschiedliche Secrets. In Konsequenz hat das RKI keine Möglichkeit die Daten eines Patienten über verschiedene Datensender hinweg zusammenzuführen. Es müssen stets immer nur zwei Secrets für den gesamten Datenbestand definiert werden, es ist nicht notwendig pro zu pseudonymisierenden Patienten Secrets zu definieren.

Im Zeitverlauf wird alle 5 Jahre alternierend eines der beiden Secrets, Secret-1 und Secret-2, ausgetauscht. Es findet also alle 5 Jahre ein Wechsel EINES Secrets statt, das andere Secret behält seine Gültigkeit für weitere 5 Jahre und wird anschließend erst ausgetauscht.

Dank diesem Verfahren (Stichwort "überlappenden Pseudonyme") können über die Zeit Pseudonyme zum gleichen Patienten trotz Wechsel der Secrets später im DEMIS-Backend zusammengeführt werden. Dabei kann diese Zusammenführung im DEMIS-Backend nicht mehr erfolgen, wenn die Übermittlungen zeitlich hinreichend weit auseinander liegen (Stichwort „klinische Episoden“).

Der Datensender übermittelt zu einem Patienten das gleiche Pseudonympaar für alle Projekte und Systeme des RKI, die sich diesem Pseudonymisierungskonzept bedienen.


Beispiel:

Das folgende Beispiel zeigt schematisch das Zusammenspiel von Klartextinformationen, Secrets und resultierenden Pseudonympaaren im Zeitverlauf beim Datensender.

In diesem Szenario sollen Daten eines fiktiven Patienten "Max Mustermann" mit der Versichertennummer "K004567123" an ARS übermittelt werden. Die Jahresangabe bezieht sich auf den Zeitpunkt der Datenübermittlung.


ARS_Pseudonymisierung_Datensender


2020: Beginnend im ersten Jahr werden vom Datensender zwei Secrets, Secret-1 und Secret-2, gesetzt. Diese werden genutzt, um im Hash-Verfahren HMAC-SHA256 aus der Versichertennummer "K004567123" für den Patienten "Max Mustermann" je ein Pseudonym P1 und P2 zu erzeugen. Beide Pseudonyme treten zusammen als Pseudonympaar auf.

2021-2024: In den nächsten vier folgenden Jahren sind Secret-1 und Secret-2 noch gültig und resultieren in die gleichen Pseudonyme P1 und P2 wie im Jahr zuvor.

2025: Im nächsten Jahr wird Secret-1 ausgetauscht, gegen ein neu zu definierendes Secret-3. Secret-2 ist noch weiterhin gültig. Es werden Pseudonyme P3 (neu) und P2 (alt) erzeugt.

2026-2029: In den nächsten vier folgenden Jahren sind Secret-3 und Secret-2 noch gültig und resultieren in die gleichen Pseudonyme P3 und P2 wie im Jahr zuvor.

2030: Im nächsten Jahr wird Secret-2 ausgetauscht, gegen ein neu zu definierendes Secret-4. Secret-3 ist noch weiterhin gültig. Es werden Pseudonyme P3 (alt) und P4 (neu) erzeugt.


Übertragung der Pseudonyme an das DEMIS-Backend

Zur Übermittlung an das DEMIS-Backend im FHIR-Format werden die Patientenpseudonyme in die Patienten-Ressource eingebettet und zusammen mit den anderen Ressourcen in einem Bundle übertragen.

Patient
<Patient xmlns="http://hl7.org/fhir">
    <id value="43511fe3-aa5f-73fb-7e59-2313ba0ca76c" />
    <meta>
        <profile value="https://demis.rki.de/fhir/ars/StructureDefinition/Patient" />
    </meta>
    <identifier>
        <system value="https://demis.rki.de/fhir/NamingSystem/CommonPatientPseudonym" />
        <value value="urn:uuid:fb28bf26-12ae-8f02-85c4-5c6d8b7f6a05" />
    </identifier>
    <identifier>
        <system value="https://demis.rki.de/fhir/NamingSystem/CommonPatientPseudonym" />
        <value value="urn:uuid:9a05f2d9-02d5-bb7c-3d46-cac3d7e59991" />
    </identifier>
    <gender value="male" />
    <birthDate value="1983-06" />
</Patient>

{
    "resourceType": "Patient",
    "id": "43511fe3-aa5f-73fb-7e59-2313ba0ca76c",
    "meta": {
        "profile":  [
            "https://demis.rki.de/fhir/ars/StructureDefinition/Patient"
        ]
    },
    "identifier":  [
        {
            "system": "https://demis.rki.de/fhir/NamingSystem/CommonPatientPseudonym",
            "value": "urn:uuid:fb28bf26-12ae-8f02-85c4-5c6d8b7f6a05"
        },
        {
            "system": "https://demis.rki.de/fhir/NamingSystem/CommonPatientPseudonym",
            "value": "urn:uuid:9a05f2d9-02d5-bb7c-3d46-cac3d7e59991"
        }
    ],
    "gender": "male",
    "birthDate": "1983-06"
}

Pseudonymverarbeitung und -bildung im DEMIS-Backend

Die Verarbeitung der Pseudonyme im DEMIS-Backend erfolgt ohne weiteres Zutun der Datensender. Die Schritte im DEMIS-Backend seien hier der Vollständigkeit halber erwähnt.

Das Surveillancesystem, für welches Daten übermittelt wurden, wird ermittelt. Die Pseudonyme werden aus der Patienten-Ressource ausgelesen und mit einem Surveillancesystem-spezifischem Secret erneut verschlüsselt. Das Surveillancesystem-spezifische Secret ist dem Surveillancesystem selbst nicht bekannt. Mit diesem Schritt wird sichergestellt, dass unterschiedliche Projekte bzw. Systeme des RKI Surveillancesystem-spezifische Pseudonyme erhalten und die Verbindung der Daten zwischen verschiedenen Surveillance-Systemen des RKI auf Basis des Patientenpseudonyms nicht möglich ist. Gleichzeitig können aber – bei fachlicher Notwendigkeit und initialer Festlegung im Einklang mit datenschutzrechtlichen Vorgaben – unterschiedliche Surveillancesysteme die gleichen Pseudonyme erhalten indem auch im DEMIS-Backend das gleiche Secret genutzt wird. Weiter wird mit diesem Schritt sichergestellt, dass durch die weitere Verschlüsselung das RKI keinen Zugang zu den initial übermittelten Pseudonymen hat. Dies unterstützt zusätzlich, dass das RKI keine Rückschlüsse auf einzelne Patienten ziehen kann.

Anschließend werden die verfremdeten Pseudonympaare (entsprechend der Überlappungseigenschaft) verkettet. Im Beispiel oben könnten die im Zeitverlauf übermittelten Pseudonyme P1,P2,P3,P4 verkettet werden.

Über diese Verkettung wäre es potenziell möglich die Daten eines Patienten zeitlich unbegrenzt zu verknüpfen. Dies kann der Fall sein, wenn hinreichend regelmäßig Daten zu dem Patienten an ein Surveillancesystem übermittelt werden. Um dem Vorzubeugen, wird für jedes Surveillancesystem festgelegt, wie lange eine solche Verknüpfung und Bildung von Pseudonymketten möglich sein darf (für ARS maximal 5 Jahre). Anhand dessen werden für jeden Patienten automatisiert Zeitbereiche berechnet und für jeden dieser Zeitbereiche ein Patientenpseudonym gesetzt.

Nur das abschließend im DEMIS-backend gesetzte Patientenpseudonym wird an das RKI übermittelt.