Treffer: [Anonymization of general practitioners' electronic medical records in two research datasets].

Title:
[Anonymization of general practitioners' electronic medical records in two research datasets].
Transliterated Title:
Anonymisierung von Feldinhalten in hausärztlichen Behandlungsdaten – Exemplarische Untersuchung an zwei Forschungsdatensätzen.
Authors:
Hauswaldt J; Institut für Allgemeinmedizin, Universitatsmedizin Göttingen, Göttingen, Germany., Groh R; AG 'Anwendungs- und Informationssysteme', Gesellschaft für Wissenschaftliche Datenverarbeitung mbH Göttingen, Göttingen, Germany., Kaulke K; Data protection, Technologie- und Methodenplattform für die vernetzte medizinische Forschung (TMF), Berlin, Germany., Schlegelmilch F; Department of General Practice, University Medical Center Göttingen, Göttingen, Germany., Zarei A; AG 'Anwendungs- und Informationssysteme', Gesellschaft für Wissenschaftliche Datenverarbeitung mbH Göttingen, Göttingen, Germany., Hummers E; Institut für Allgemeinmedizin, Universitatsmedizin Göttingen, Göttingen, Germany.
Source:
Gesundheitswesen (Bundesverband der Arzte des Offentlichen Gesundheitsdienstes (Germany)) [Gesundheitswesen] 2025 Nov; Vol. 87 (S 02), pp. S272-S278. Date of Electronic Publication: 2025 Jul 14.
Publication Type:
English Abstract; Journal Article
Language:
German
Journal Info:
Publisher: Thieme Country of Publication: Germany NLM ID: 9204210 Publication Model: Print-Electronic Cited Medium: Internet ISSN: 1439-4421 (Electronic) Linking ISSN: 09413790 NLM ISO Abbreviation: Gesundheitswesen Subsets: MEDLINE
Imprint Name(s):
Original Publication: Stuttgart ; New York : Thieme, c1992-
MeSH Terms:
Electronic Health Records*/statistics & numerical data , Data Anonymization* , General Practitioners*/statistics & numerical data , Confidentiality* , Computer Security*, Germany/epidemiology ; Humans
References:
Gesundheitswesen. 2020 Mar;82(S 02):S108-S116. (PMID: 32193879)
J Transl Med. 2020 Oct 19;18(1):394. (PMID: 33076938)
BMC Med Inform Decis Mak. 2024 May 30;24(1):147. (PMID: 38816848)
Gesundheitswesen. 2021 Nov;83(S 02):S130-S138. (PMID: 34852383)
Bundesgesundheitsblatt Gesundheitsforschung Gesundheitsschutz. 2024 Feb;67(2):180-188. (PMID: 38095666)
Gesundheitswesen. 2018 Nov;80(11):987-993. (PMID: 30273938)
Z Evid Fortbild Qual Gesundhwes. 2019 Dec;149:22-31. (PMID: 32165110)
Contributed Indexing:
Local Abstract: [Publisher, German] Daten eines Datensatzes können nur dann als „anonym“ bezeichnet werden, wenn sie keinesfalls und auch nicht nachträglich, auch nicht durch Verknüpfung mit weiteren Informationen, auf eine Person bezogen werden können. Potentiell identifizierende Feldinhalte (PIF) verhindern die „faktische Anonymisierung“ eines wissenschaftlich genutzten Sekundärdatensatzes. An zwei Quelldatensätzen aus hausärztliche Praxisdaten wurde exemplarisch untersucht, ob und inwieweit schrittweises und systematisches Erkennen von PIF möglich ist.Von 14.285 bzw. 100 Patient*innen wurden aus hausärztlichen Praxisverwaltungssystemen Routinedaten mit 40 Variablen (Parametern, Feldern) in 5.918.321 bzw. 363.084 Datenzeilen exportiert und auf den vier Ebenen ihrer Feldkennungen, deren Kombinationen, ihrer Feldinhalte sowie des gesamten Datensatzes untersucht. Häufigkeiten von Feldkennungen wurden in elf semantischen Gruppen sowie nach Feldtypen geordnet. Die Gefahr einer Re-Identifizierung insbesondere bei Kombination von Feldkennungen wurde aus hausärztlicher Expertise beurteilt. In schrittweise iterativem Vorgehen untersuchten wir auf PIF bei Freitexteinträgen und maskierten Treffer für die nachfolgenden Durchgänge. Der abschließende Quotient aus Anzahl re-identifizierender und Gesamtzahl aller Datenzeilen bildete den Wahrscheinlichkeitsschätzer. Zusätzlich wurden die Daten in Gänze mittels einer Open-Source-Software zur Anonymisierung sensibler personenbezogener Daten beurteilt. Zuletzt erfolgte eine Ergebnisbewertung im Sinne einer Datenschutz-Folgenabschätzung nach Art. 35 der DSGVO bezüglich Schwere eines möglichen Schadens und seiner Eintrittswahrscheinlichkeit.Unter den zur wissenschaftlichen Sekundärnutzung ausgewählten 40 Parametern beurteilten wir insbesondere Freitextfelder wie „Dauerbemerkungen“, „Aktuelle Diagnose“, „Medikament“ und „Befund“ als re-identifizierend. Akribische Vorabauswahl und Datensparsamkeit, privacy by design im Verarbeitungsprozess sowie die hier beschrieben de-identifizierende Maßnahmen verringerten dieses Risiko erheblich, konnten jedoch einen „faktisch anonymen“ Sekundärdatensatz insgesamt nicht erreichen.Erkennen und Bewerten von PIF sind Voraussetzung für de-identifizierende Maßnahmen, sind jedoch mit vertretbarem Aufwand immer nur unvollständig erfolgreich. Eine semantische Strukturierung der Daten ist erstrebenswert, hilft jedoch der Möglichkeit einer Re-Identifizierung durch Fehleingaben nicht ab.
Entry Date(s):
Date Created: 20250714 Date Completed: 20251113 Latest Revision: 20251206
Update Code:
20251206
PubMed Central ID:
PMC12677961
DOI:
10.1055/a-2624-0084
PMID:
40659057
Database:
MEDLINE

Weitere Informationen

A dataset can be called "anonymous" only if its content cannot be related to a person, not by any means and not even ex post or by combination with other information. Free text entries highly impede "factual anonymization" for secondary research. Using two source datasets from GPs' electronic medical records (EMR), we aimed at de-identification in an iterative and systematic search for potentially identifying field content (PIF).EMR data of 14,285 to 100 GP patients with 40 variables (parameters, fields) in 5,918,321 resp. 363,084 data lines were analyzed at four levels: field labels, their combination, field content, dataset as a whole. Field labels were arranged into eleven semantic groups according to field type, their frequencies examined and their combination evaluated by GP experts rating the re-identification risk. Iteratively we searched for free text PIFs and masked them for the subsequent steps. The ratio of PIF data lines' number over total number yielded final probability estimators. In addition, we processed a whole dataset using ARX open source software for anonymizing sensitive personal data. Results were evaluated in a data protection impact assessment according to article 35 GDPR, with respect to the severity of privacy breach and to its estimated probability.We found a high risk of re-identification with free text entries into "history", "current diagnosis", "medication" and "findings" even after repeated algorithmic text-mining and natural language processing. Scrupulous pre-selection of variables, data parsimony, privacy by design in data processing and measures described here may reduce the risk considerably, but will not result in a "factually anonymized" research dataset.To identify and assess re-identifying field content is mandatory for privacy protection but anonymization can be reached only partly by reasonable efforts. Semantic structuring of data is pre-conditional but does not help with erroneous entries.
(The Author(s). This is an open access article published by Thieme under the terms of the Creative Commons Attribution License, permitting unrestricted use, distribution, and reproduction so long as the original work is properly cited. (https://creativecommons.org/licenses/by/4.0/).)

Die Autorinnen/Autoren geben an, dass kein Interessenkonflikt besteht.