Care.data: Wie Big Data und Open Government scheitern können
Kommentare

Ein britisches Big-Data- und Open-Government-Projekt namens care.data zeigt, was bei der massenhaften Speicherung sensibler Daten schiefgehen kann.

 

Care.data 

Eigentlich sollte care.data schon im Frühjahr 2014 in die Praxis übergehen. Der neue Termin ist für den Herbst 2014 festgesetzt worden, denn es ist zu viel schief gegangen. Der britische National Health Service (NHS) speichert im Rahmen des Projekts (schon jetzt) Datensätze von Millionen Patienten. Ärzte sind verpflichtet, an dem Programm teilzunehmen. Doch weder sie noch die Patienten wissen genau, welche Daten in welchem Umfang verarbeitet, verwertet, gespeichert und weitergegeben werden. 

Zwar ist der Datenschutz im englischen Gesetz fest verankert, jedoch gibt es immer Hintertürchen. Im Fall von care.data wurden Datensätze mit sensiblen Informationen unter anderem an Pharmaunternehmen übermittelt/verkauft. Auch die Polizei habe unter Umständen die Möglichkeit, Datensätze für Ermittlungen heranzuziehen, sagt der englische Allgemeinmediziner und IT-Spezialist Dr. Neil Bhatia. Er hat eine Website zum Thema care.data erstellt, wo er umfassend über das Big-Data-Projekt informiert. Betroffene Patienten, die ihre Privatsphäre schützen wollen, müssen einen sogenannten „Opt-out“ durchführen, sprich sie müssen die Speicherung ihrer Daten technisch blockieren.

Big Data im medizinischen Sektor 

Für den medizinischen Sektor macht Big Data ohne Frage Sinn. Vorgänge in der Diagnostik, Therapie und Rehabilitation sollen durch die Speicherung und intelligente Verwertung von personenbezogenen Daten signifikant verbessert werden. Beispielsweise kann Diabetes mithilfe von aufgezeichneten Symptomen und Essgewohnheiten eines Patienten unter Abgleich mit einer Datenbank frühzeitig erkannt werden. Wer seine Essgewohnheiten und den Lebensstil rechtzeitig ändert, hat eine Chance, einer irreparablen Zerstörung der Zellen und damit dem Diabetes zu entgehen. Der NHS, eine Regierungsorganisation, schreibt sich edle Maxime auf die Flagge: Mit care.data soll die medizinische Versorgung englischer Patienten verbessert, die Forschung vorangetrieben und Ressourcen besser verteilt werden. Allerdings dürfen Daten auch kommerziell weitergegeben werden, zum Beispiel an Pharmakonzerne. Und ab hier wird es heikel. 

Pseudonymisierte Daten sind keine anonymen Daten

Die im Rahmen von care.data aufgezeichneten Datensätze werden an das Health and Social Care Information Centre (HSCIC) übermittelt. Dort werden sie verarbeitet, um primär zur „Planung von medizinischen Dienstleistungen“ und für die Forschung herangezogen zu werden. Ärzte und Ärztinnen haben keinen Zugang zu den Datenbanken von care.data – sie dienen ausschließlich dem Austausch von Informationen unter Vertretern des Gesundheitswesens. Bei den Datensätzen, die an das HSCIC übermittelt werden, handelt es sich nicht ausschließlich um anonymisierte Daten, sondern auch um „pseudonymisierte“. Selbst „anonymisiert“ heißt in diesem Fall, dass zwar kein Name, kein Geburtsdatum und keine Adresse im Datensatz auftauchen und dass selbst die Postleitzahl unkenntlich gemacht wird. Dennoch können auch anonymisierte Daten laut Bhatia relativ einfach auf einen Patienten zurückgeführt werden, vor allem wenn ein Unternehmen oder eine Behörde über mehrere Datensätze eines Patienten verfügt.

Die pseudonymisierten Daten versehen sensible Informationen mit Pseudonymen, um sie schwerer zugänglich zu machen. Die Quelle der Daten kann hierbei trotzdem relativ einfach ausgemacht werden. Wirklich anonym ist nur „aggregated Data“, also Daten, welche nur prozentuale Ergebniswerte enthalten. All diese Daten gehören zum sogenannten „Primary Care Dataset“. Sie werden an die HSCIC übermittelt und können vom Patienten weder eingesehen noch gesperrt noch gelöscht werden. Das Primary Dataset enthält sensible persönliche Daten: Die Versichertennummer, das Geburtsdatum, die Postleitzahl, das Geschlecht, die ethnische Zugehörigkeit, gestellte Diagnosen, die Familiengeschichte, Testergebnisse von Blutuntersuchungen, den Body-Mass-Index und Rauch- und Trinkgewohnheiten, um hier nur die wichtigsten zu nennen. Zwar speichern auch Ärzte Daten und geben diese auch weiter, jedoch in weitaus geringerem Umfang und weitaus diskreter. Ferner dienen diese Informationen wirklich der Behandlung von Patienten. 

Was passiert mit den übermittelten Daten

Ärzte wie Bharia stört an care.data am meisten, dass identifizierbare Daten ohne eindeutigen Zweck hochgeladen werden. Der Patient hat keinen Zugriff auf seine Daten. Er kann der Speicherung nur per Opt-Out widersprechen. Beim NHS gespeicherte Daten können nicht gelöscht werden. Ihre Bestimmung kann nicht festgelegt werden. Man kann nicht sagen, dass sie etwa nur für Forschungszwecke verwendet werden dürfen. Jede Organisation, die sich in ihrer Anfrage auf das Gesundheitswesen bezieht, bekommt Zugang zu den Daten. So einfach ist das. Dabei handelt es sich um Open Data. Konkrete Informationen zum jeweiligen Patienten dürfen daraus zwar nicht ersichtlich werden, jedoch ist es kein Hexenwerk, eine konkrete Verbindung durch anonymisierte und pseudonymisierte Daten herzustellen. Hier geht’s zur Preisliste

Care.data in Deutschland?

Ein ähnliches Modell verfolgt auch die deutsche Elektronische Gesundheitsakte (eGA). Allerdings ist die Teilnahme für alle Akteure zunächst freiwillig. Patienten sollen über die Verfügung und Weitergabe ihrer Daten entscheiden können. Sie können je nach Modell zentral oder dezentral gespeichert werden und sollen vor allem der Forschung und der medizinischen Versorgung dienen. Unter anderem erforschen auch das Fraunhofer Institut und das Bundesministerium für Bildung und Forschung (BMBF) Big Data im medizinischen Sektor. 

 Aufmacherbild: Stethoscope On Keyboard on Big Close Up via Shutterstock / Urheber: Michal Nowosielski

 

 

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -