Record Linkage mit kryptografierten Identitätsdaten in einem bevölkerungsbezogenen Krebsregister

V. Krieg; H.-W. Hense; M. Lehnert; V. Mattauch

doi:10.1055/s-2001-15686

Gesundheitswesen 2001; 63(6): 376-382
DOI: 10.1055/s-2001-15686

Record Linkage mit kryptografierten Identitätsdaten in einem bevölkerungsbezogenen Krebsregister

Entwicklung, Umsetzung und FehlerratenCryptographic Record Linkage in Population-based Cancer RegistriesV. Krieg¹ , H.-W Hense² , M. Lehnert¹ , V. Mattauch¹

Epidemiologisches Krebsregister für den Regierungsbezirk Münster
, Institut für Epidemiologie und Sozialmedizin der Universität Münster

Abstract

Zusammenfassung

Bei Daten aus bevölkerungsbezogenen Krebsregistern muss gewährleistet sein, dass möglichst alle an einer bösartigen Neubildung erkrankten Personen der beobachteten Bevölkerung registriert werden. Nach den gesetzlichen Vorschriften in Nordrhein-Westfalen ist die schriftliche Einwilligung jedes betroffenen Patienten in die Übermittlung seiner Identitäts- und Krankheitsdaten an das Krebsregister erforderlich. Dadurch war bisher die wichtige Gruppe der Pathologen von einer Kooperation ausgeschlossen. Die registerinterne Patientenidentifikation mit kryptografierten Identitätsdaten, so genannten Kontrollnummern, ist die Basis eines Verfahrens, mit dem das epidemiologische Krebsregister für den Regierungsbezirk Münster (EKR-MS) einen speziellen, mit wenig Aufwand gangbaren Meldeweg für Pathologische Institute entwickeln will. Dieses Verfahren wurde durch die Landesbeauftragte für den Datenschutz für geeignet und gesetzeskonform befunden.

Ziel der Studie: Die hier vorgelegte Untersuchung beschäftigt sich mit der Praktikabilität der geplanten Vorgehensweise. Sie beschreibt, wie die Kontrollnummern erzeugt werden, wie ein Record Linkage mit diesen kryptografierten Identitätsdaten praktisch realisiert werden kann, und untersucht anhand einer Simulationsstudie, wie groß die Zuordnungsfehler sind.

Methodik: Bei Kontrollnummern handelt es sich um Chiffrate, die durch die konsekutive Ausführung zweier Verschlüsselungsverfahren entstehen, der die Identitätsdaten einer Person unterworfen werden. Sie bestehen jeweils aus genau 23 alphanumerischen Zeichen und werden für 19 namensbezogene identifizierende Merkmale erzeugt. Für die Zusammenführung von Meldungen einer Person wurde eine halbautomatische Vorgehensweise gewählt, die für alle Paare von möglicherweise zusammengehörenden Personen ein Wahrscheinlichkeitsmaß für die Identität berechnet. In Abhängigkeit von diesem Wahrscheinlichkeitsmaß wird die Identität der beiden Personen automatisch entweder angenommen oder verworfen. Lässt das errechnete Wahrscheinlichkeitsmaß keine automatische Entscheidung zu, muss sie manuell erfolgen. Durch die Einführung plausibilitätsbasierter Regeln konnte der Anteil der manuellen Entscheidungen wesentlich reduziert werden. In der Simulationsstudie standen zur Identifikation von Personen neben den Klartextangaben für Geschlecht, Geburtsmonat und -jahr sowie Wohnort ausschließlich Kontrollnummern zur Verfügung.

Ergebnisse und Schlussfolgerung: Beim Vergleich des Record Linkage mit kryptografierten Identitätsdaten mit dem konventionellen klartextbasierten Verfahren wurden alle im Laufe des Jahres 1998 an das EKR-MS ergangenen Meldungen (n = 27 262) in die Registerdatenbank mit n = 101 880 bekannten Personen eingefügt. Hierbei wurden in weniger als 2 % aller Fälle ein Synonymfehler und in weniger als 0,5 % aller Fälle ein Homonymfehler beobachtet. Die geschätzte Größenordnung der Zuordnungsfehler in einem größeren Krebsregister weist auf ein akzeptables bis gutes Record Linkage hin. Da das Wahrscheinlichkeitsmaß in der halbautomatischen Zuordnung von der Anzahl der zu vergleichenden Personen abhängt, kann dieses Resultat nicht ohne weiteres auf andere bevölkerungsbezogene Krebsregister übertragen werden. Durch die Verwendung von kryptografierten Identitätsdaten ist eine leichte Überschätzung der Inzidenzraten zu erwarten, die durch erheblichen Zugewinn an Vollzähligkeit und Vollständigkeit der Registrierung durch Einbindung neuer Meldequellen kompensiert wird. Die Ergebnisse dieser Studie sollten allerdings nicht vergessen lassen, dass durch die Kryptografierung eine faktische Anonymisierung erfolgt, die eine weitere Nutzung der Daten für viele epidemiologische Forschungsansätze weitgehend unmöglich macht.

Cryptographic Record Linkage in Population-based Cancer Registries

Background: Population-based cancer registries depend on the completeness of their case notification. At present, restrictive legal regulations in Germany requesting written informed consent of cancer patients hinder some health professionals, for example pathologists, from reporting to cancer registries. New cryptographic methods may be used to obtain record linkage based on anonymised data.

Objectives: To assess the feasibility of a record linkage in the Münster Cancer Registry (EKR-MS) using cryptographic methods as compared to traditional methods based on personal identifiers.

Methods: We generated so called control numbers - a sequence of 23 alphanumeric signs - for 19 name related characteristics employing consecutively two different chiffrations. Record linkage was carried out using a semi-automatic computer program (AUTOMATCH^TM) that generates probabilities of identity for pairs of case notifiation based on the information of control numbers only. Probabilities exceeding preset limits lead to automatic decisions whereas the remaining linkage has to be decided manually. Plausibility-based rules helped to considerably reduce the amount of manual decisions.

Results: We compared traditional and cryptographic record linkage for all new reports received in the EKR-MS during 1998 (n = 27 262) against the background of n = 101 880 known cases in the registry data base. Setting traditional, text-based record linkage results to be the reference the cryptographic method resulted in a synonomous error (false creation of a new case) of almost 2 % and a homonymous error (false link to a known case) of less than 0.5 %.

Conclusion: Cryptographic methods may be feasible procedures of record linkage in cancer registries. The size of the database of the EKR-MS prohibits extrapolation of findings to smaller registries. The error rates resulting in slight overestimation of disease rates that may seem acceptable. It should be noted though that cryptographic data are in many situations prohibitive for further epidemiologic research limiting the usefulness of the method exclusively to cancer registration under the given legal coercion.

Key words

Cancer Registry - Record Linkage - Cryptosystem - Data Protection

Full Text

References

Literatur

1 Parkin D M, Chen V W, Ferlay J, Galceran J, Storm H H, Whelan S L. Comparability and Quality Control in Cancer Registration. International Agency for Research on Cancer, World Health Organization and International Association of Cancer Registries (IACR). IARC Technical Report No. 19, Lyon; 1994
2 Gesetz- und Verordnungsblatt für das Land Nordrhein-Westfalen, Nr. 13 vom 17. März 1994. Gesetz zum Schutz personenbezogener Daten im Gesundheitswesen (Gesundheitsdatenschutzgesetz - GDSG NW) vom 22. Februar 1994.
3 Gesetz- und Verordnungsblatt für das Land Nordrhein-Westfalen, Nr. 34 vom 30. Mai 1985. Verordnung zum Krebsregistergesetz des Landes Nordrhein-Westfalen (KR VO) vom 24 April 1985.
4 Lehnert M, Hense H W, Mattauch V, Krieg V. Epidemiologisches Krebsregister für den Regierungsbezirk Münster. Krebserkrankungen im Regierungsbezirk Münster, Band 1, Bericht für die Jahre 1991-1995 Münster; Dezember 1999
5 Bundesgesetzblatt, Jahrgang 1994, Teil 1. Gesetz über Krebsregister (Krebsregistergesetz - KRG) vom 4. November 1994.
6 Appelrath H J, Michaelis J, Schmidtmann I, Thoben W. Empfehlungen an die Bundesländer zur technischen Umsetzung der Verfahrensweisen gemäß Gesetz über Krebsregister (KRG). http://www.krebsregister-niedersachsen.de,. November 1999;
7 Rivest R L, Shamir A, Adleman L. A Method for Obtaining Digital Signatures and Public-Key Cryptosystems. Communications of the ACM. 1978; 21, No. 2 120-126
8 Fumy W, Rieß H P. Kryptographie - Entwurf und Analyse symmetrischer Kryptosysteme. München; Oldenbourg-Verlag 1988
9 Matchware Technologies Inc. AUTOMATCH, Generalized Record Linkage System, Version 4.2. User’s Manual. 1997; 1 und 2
10 Schmidtmann I, Michaelis J. Untersuchungen zum Record Linkage für das Krebsregister Rheinland-Pfalz. Technischer Bericht Mainz; Tumorzentrum Rheinland-Pfalz 1994
11 Cancer Incidence and Survival in the Southeast of the Netherlands. Coebergh JWW, van der Heijden LH, Janssen-Heijnen MLG A Report from the Eindhoven Cancer Registry Eindhoven; 1995
12 Schouten L J. Cancer registration: data quality and prospects for use. Promotionsschrift Universität Nijmegen. Dezember 1996;
13 Pompe-Kirn V, Golouh R, Lindtner J, Primic-Zakelj M, Ravnihar B, Rudolf Z, Zakotnik B. Cancer Registry of Slovenia. Ljubljana; Cancer Incidence in Slovenia 2000 Report No. 39
14 Storm H, Clemmensen I, Black R. Survey of Cancer Registries in the European Union. IARC Technical Report No. 28 Lyon; 1998

Dr. rer. medic. Volker Krieg, Diplom-Informatiker der Medizin
Geschäftsführer

Epidemiologisches Krebsregister für den Regierungsbezirk Münster

Universität Münster

Domagkstraße 3

48149 Münster

Email: krebsregister@uni-muenster.de