Die Welt wird immer mehr digitalisiert. Große Datensätze mit persönlichen Informationen werden zunehmend zur Entscheidungsfindung in praktisch allen Branchen genutzt, auch im Gesundheitswesen. In diesem Zusammenhang verbessern klinische Datensätze die Planung klinischer Studien und letztlich die Ergebnisse für die Patienten. Die Transparenz klinischer Studiendaten darf jedoch nicht auf Kosten der Privatsphäre der Patienten gehen. De-Identifizierungsverfahren zielen darauf ab, Informationen zu entfernen, die potenziell zur Identifizierung von Patienten führen könnten. Außerdem muss sichergestellt werden, dass genügend Daten für die Entscheidungsfindung zur Verfügung stehen. Die De-Identifizierung ist ein schwieriger Prozess, und Fehler können zur Verletzung der Privatsphäre, zu rechtlichen Konsequenzen, zum Verlust des öffentlichen Vertrauens und zu einem suboptimalen Studiendesign führen. Die rasche Vergrößerung und Diversifizierung von Datensätzen bedeutet, dass selbst wohlmeinende und erfahrene Forscher etwas falsch machen können.
Spezielle Tools wie Blur von Instem helfen Forschern, die Herausforderungen bei der De-Identifizierung zu meistern und häufige Fallstricke zu vermeiden, die zu Risiken führen. Im Folgenden erörtern wir fünf häufige Fehler, die Forscher bei der De-Identifizierung machen, und wie sie diese vermeiden können.
1: Die Annahme, dass das Entfernen von direkten Identifikatoren ausreicht
Unerfahrene Forscher können davon ausgehen, dass die Entfernung der Patientennamen eine ausreichende De-Identifizierung darstellt. Quasi-Identifikatoren wie die Adresse, das Geburtsdatum, das Geschlecht oder die Krankheit eines Patienten können jedoch, insbesondere wenn sie selten vorkommen, seine Identifizierung ermöglichen1. Dies ist besonders riskant in Situationen, in denen der Patient dem Angreifer bereits bekannt ist. Linkage-Angriffe treten auf, wenn ein externer Datensatz identifizierende Informationen enthält. In Verbindung mit sich überschneidenden Quasi-Identifikatoren ermöglicht dies den Angreifern, Informationen aus einem de-identifizierten Datensatz mit der Identität eines Patienten abzugleichen2.
Um eine ausreichende De-Identifizierung zu gewährleisten, müssen mehr Daten maskiert oder entfernt werden, als viele Forscher annehmen. Daher müssen die Teams den Unterschied zwischen direkten und indirekten (Quasi-)Identifikatoren verstehen. Es ist auch wichtig, sich der Risiken von verbleibenden Quasi-Identifikatoren in Datensätzen bewusst zu sein. Tools zur Identifizierung und Entfernung von Quasi-Identifikatoren ermöglichen eine proaktive Risikominderung, während Tools, die eine Risikobewertung nach der Datenverarbeitung ermöglichen, den Forschern helfen können, festzustellen, ob ihre derzeitigen Methoden ausreichend sind.
2: Übermäßige Identifizierung der Daten
Da sich die Forscher der Risiken der Re-Identifizierung immer stärker bewusst werden, wenden sie häufig zu viele De-Identifizierungsverfahren an. Dies kann zum Verlust wichtiger Informationen führen, die weniger wahrscheinlich zu einer Identifizierung führen, aber für die Verwendbarkeit der Daten in der Forschung unerlässlich sind3. So benötigen beispielsweise Forscher, die die Ausbreitung einer Infektionskrankheit untersuchen, Postleitzahldaten, um geografische Muster zu erkennen. Werden diese Informationen zum Schutz der Privatsphäre entfernt, könnte dies die Verwendbarkeit der Daten beeinträchtigen und potenziell lebensrettende Erkenntnisse verhindern.
Ein weiteres Beispiel für den Verlust des Nutzens von Daten aufgrund einer zu starken De-Identifizierung ist die Schwärzung von AGE in Dokumenten. Dadurch können wertvolle Daten verloren gehen, die für andere Zwecke hätten wiederverwendet werden können. Der beste Weg, mit Identifikatoren wie AGE umzugehen, besteht darin, sie in einen Altersbereich zu ändern, anstatt sie vollständig zu entfernen
Um dieses Problem zu lösen, müssen die Forscher fortschrittliche statistische Instrumente einsetzen und ein differenziertes Verständnis der Datenverwendungsfälle entwickeln. Verschiedene Methoden zur Überwindung dieses Problems können sein4:
- Verallgemeinerung: Zusammenfassen und Erweitern von Daten, um die Identität einer kleinen Anzahl von Personen mit einem gemeinsamen Datenpunkt zu schützen, z. B. Postleitzahl, Art einer seltenen Krankheit.
- Differenzieller Datenschutz: Ein mathematischer Ansatz, der einem Datensatz statistisches Rauschen hinzufügt, so dass Muster über mehrere Personen hinweg beschrieben werden können, aber das Risiko der Identifizierung einzelner Personen verringert wird.
- Pseudonymisierung: Eine De-Identifizierungsmethode, bei der private Identifikatoren durch gefälschte Identifikatoren oder Pseudonyme ersetzt werden.
3: Ignorieren kontextbezogener Risiken
Forscher könnten in die Falle tappen und annehmen, dass ein klinischer Datensatz isoliert existiert und sich nicht mit leichter zugänglichen Datensätzen überschneidet. Beispielsweise können böswillige Akteure in der Lage sein, Genomsequenzierungsdaten aus klinischen Versuchsdatensätzen mit öffentlichen Genomdatenbanken oder kommerziellen Gentestplattformen zu verknüpfen. Dazu gehören oft geografische Informationen und sogar direkte Identifikatoren. Das Risiko der Identifizierung ist höher, wenn bestimmte Identifikatoren in einem Datensatz selten sind, wie etwa die Zugehörigkeit zu einer ethnischen Minderheit oder einer seltenen Krankheitsgruppe.
Diese Risiken machen es erforderlich, dass die Forscher ein besseres Verständnis der Datenumgebungen, der Empfänger und der Anwendungsfälle entwickeln. Die Entwicklung von Angreifermodellen mit Worst-Case-Szenarien, d. h. der böse Akteur hat maximalen Datenzugriff und maximale Rechenleistung, kann helfen, Risiken vorherzusehen und zu mindern. Blur von Instem nutzt die Verarbeitung natürlicher Sprache, um Forschern dabei zu helfen, den Umfang der in ihrem Datensatz verfügbaren Daten zu bewerten und das kontextbezogene Risiko entsprechend festzulegen.
4: Verlassen auf statische De-Identifizierung
Die Verfügbarkeit von Daten ist nicht statisch, ebenso wenig wie die Technologie, die es Angreifern ermöglicht, Datenbanken abzufragen. Im Allgemeinen nimmt die Menge der über eine Person verfügbaren Informationen mit der Zeit zu, da Daten über Arztbesuche, Einkäufe, Reisen, Bildungsaufzeichnungen und Aktivitäten in sozialen Medien gesammelt werden. Mit der Zunahme dieser Daten steigt auch das Risiko einer Verknüpfung mit klinischen Datensätzen.
Strategien zur De-Identifizierung müssen dynamisch sein und kontinuierlich bewertet werden, um wirksam zu bleiben. Die kontinuierliche Überwachung des Datenumfelds ist entscheidend für die Identifizierung neuer Risiken für einzelne Patienten. Die Forscher sollten auch die Datenbankversionen genau im Auge behalten, um die Privatsphäre zu wahren. Wenn beide Versionen vorhanden sind, ist die De-Identifizierung von Version B überflüssig und die Privatsphäre der Patienten ist gefährdet.
5: Keine Prüfung oder Validierung von De-Identifizierungstechniken
Forscher vertrauen oft zu sehr auf Techniken zur De-Identifizierung, weil sie glauben, dass diese robust und in verschiedenen Situationen und Datensätzen anwendbar sind. Sie müssen jedoch die Eignung ihrer Strategien für die verschiedenen Umstände bewerten, anstatt sich auf einen Einheitsansatz zu verlassen. Gründliche Tests von De-Identifizierungsmethoden sind vor der Implementierung von entscheidender Bedeutung, und laufende Risikobewertungen neuer oder aktualisierter Datensätze sind für die Gewährleistung eines kontinuierlichen Schutzes der Privatsphäre unerlässlich. Von zentraler Bedeutung ist dabei die Erstellung und Pflege von Protokollen und Prüfpfaden, die detaillierte Informationen über die De-Identifizierungsverfahren liefern. Eine sorgfältige Dokumentation mindert sowohl das Risiko der Patientenidentifizierung als auch das Risiko der Einhaltung von Vorschriften.1.
Wie Blur Forschern hilft, Fehler bei der Identifizierung zu vermeiden
Das SoftwarepaketBlur von Instem macht es den Forschern mit drei Kernmodulen leicht, diese häufigen Fehler zu vermeiden:
- DatenBlur : Ermöglicht eine effiziente und umfassende De-Identifizierung von Patientendaten und gewährleistet die Einhaltung von HIPAA, GDPR und globalen Regulierungsbehörden.
- Blur : Ein simulationsbasiertes Bewertungssystem, mit dem Forscher die für die jeweilige Aufgabe am besten geeignete De-Identifizierungsstrategie bewerten und auswählen können.
- Blur CSR: Verwendet die Verarbeitung natürlicher Sprache, um Berichte über klinische Studien zu anonymisieren und sicherzustellen, dass alle potenziellen Identifikatoren in Texten, Tabellen und eingebetteten Bildern berücksichtigt werden.
Schlussfolgerung
Die De-Identifizierung von Patientendaten ist ein komplexer und arbeitsintensiver Prozess, der ein Verständnis von Datenbankumgebungen und sich entwickelnden Trends erfordert, wobei ein Gleichgewicht zwischen Datenschutz und Transparenz gefunden werden muss. Fehler können zum Verlust der Privatsphäre von Patienten, zu behördlichen Versäumnissen, zur Untergrabung des öffentlichen Vertrauens und zur Verringerung der Glaubwürdigkeit der Forschung führen. Tools wie Blur von Instem bieten Forschern effiziente und intelligente Möglichkeiten, um häufige Fehler zu vermeiden und das Risiko bei ihren De-Identifizierungsprozessen deutlich zu reduzieren. Robuste Risikosimulationen und die Verarbeitung natürlicher Sprache geben Forschern Sicherheit, so dass sie die Einreichung klinischer Studien mit Zuversicht angehen und gleichzeitig die Verwendbarkeit der Daten maximieren können.
Setzen Sie sich noch heute mit einem Mitglied des Instem in Verbindung, um zu erfahren, wie Blur Ihre De-Identifizierungsstrategien verbessern und Risiken aus Ihrer klinischen Berichterstattung entfernen kann.
Folgen Sie uns auf LinkedIn, um über die neuesten Entwicklungen und Branchentrends auf dem Laufenden zu bleiben.
Referenzen
1. Rights (OCR) O for C. Guidance Regarding Methods for De-identification of Protected Health Information in Accord with the Health Insurance Portability and Accountability Act (HIPAA) Privacy Rule. September 7, 2012. Abgerufen am 18. Juni 2025. https://www.hhs.gov/hipaa/for-professionals/special-topics/de-identification/index.html
2. Borrero-Foncubierta A, Rodriguez-Garcia M, Muñoz A, Dodero JM. Schutz der Privatsphäre im Zeitalter von Big Data: Erforschung von Datenverknüpfungsmethoden für die Auswahl von Quasi-Identifikatoren. Int J Inf Secur. 2025;24(1). doi:10.1007/s10207-024-00944-7
3. Kommissar O von der. Die Bedeutung der Transparenz von klinischen Studien und der FDA-Aufsicht. FDA. Online veröffentlicht am 12. April 2023. Abgerufen am 18. Juni 2025. https://www.fda.gov/news-events/fda-voices/importance-clinical-trial-transparency-and-fda-oversight
4. Dyda A, Purcell M, Curtis S, et al. Differential Privacy for Public Health Data: Ein innovatives Instrument zur Optimierung des Informationsaustauschs bei gleichzeitigem Schutz der Datenvertraulichkeit. Patterns (N Y). 2021;2(12):100366. doi:10.1016/j.patter.2021.100366
