Mondriaan: Pseudonimiseren, Koppelen en Kansen voor onderzoek
Willem de Bruijn
[email protected] www.mondriaanfoundation.org 06-50124824 Mondriaanfoundation.org
Stichting Mondriaan Health Research Data
Doel: een nationaal toegangsloket tot bestaande en nieuwe bronnen van gezondheids(zorg)gegevens voor wetenschappelijk (pharmaco-) epidemiologisch onderzoek. Meer speciek: • Nationale infrastructuure en toegangspunt • Koppelen, poolen, verrijken van bestaande en nieuwe gezondheids(zorg)data
Mondriaanfoundation.org
Mondriaan: van project naar zelfstandige organisatie
Mondriaanfoundation.org
Mondriaan at a glance: • Data-broker researcher
• Partnership with major
Dutch data suppliers • Record linkage Mondriaan
• Privacy/Information
security • Knowledge platform:
data-’esperanto’ Claims
Cohort Mondriaanfoundation.org
HDR concept
Information products
Authorities: RIVM, etc. HIS
KIS
ZIS
Local review of requests for data
Universities
City/region AIS Organise the collection of data and reports close to the data source
Other research organisations in and 5 Mondriaanfoundation.org outside NL
Health Data Repository Uitgangspunten HDR concept
! één keer goed verzamelen, vaak gebruiken ! informatieproducten ! HDR: voor en door zorgverlener: ! HDR: zorgverlener bepaald wat er gebeurt met de data: toetsing! ! HDR: regionale focus ! zelfvoorzienend ! privacy! ! goede afspraken tussen HDR en Mondriaan Stichting over gebruik data en infrastructuur
Mondriaanfoundation.org
Record Linkage and data flow to user TTP
Record linkage Subject index
Encryp;on &Pseudo‐ nymisa;on
DB
Source 1 Source 2
Data
Mondriaan Client
Info on linkages
Data+ pseudonym
Mondriaan catalogue Mondriaan
user
Biolink • Aim: valida;on of linkage and pa;ent reported outcomes • Who: Maastricht University, Vucm, UU, Mondriaan • Data: Biobank (Koala) & SFK SFK 5,3 M
Koala 1729
325
Proces: data pseudonimisatie/ anonimisatie & data-upload naar Mondriaan De TTP verzorgt de pseudonimisaDe en koppeling van data
Pseudonimisatie & Record Linkage
TTP 1) NAW‐gegevens worden versleuteld bij de bron en naar TTP gestuurd. De medische data worden niet naar de TTP gestuurd.
Bronpseudoniem Versleutelde NAW
2) De TTP stuurt bronpseudoniemen naar de client. Koppelingen zijn nog niet mogelijk met deze pseudoniemen. Dit i.v.m. privacy.
.
DB
zorgverlener
Mondriaan Client
Gepseudonimiseerde (medische) data 3) De client stuurt alleen de bronpseudoniemen + Medische data naar Mondriaan
DWH
HDR Utrecht Mondriaanfoundation.org
Identifying individuals at risk for familial cancer • QuesAon: GP data usable in management of familiary cancer? • Who: UMCU • Data: JHN (GP) & Dutch Cancer Registra;on
Cancer Reg. 1,7M fp: 1,0%
13.633
JHN 0,61M
IADB 1,4M
38.345
LifeLines 162.621 vp: 0,6%
MedicaAon
# subjects in overlap
Diabetes (A10A/B)
777 (2%)
An;‐depressives (N06A)
4924 (13%)
An;‐hypertensives (C02/3/7/8)
6120 (16%)
Ace‐inhibitors (C09)
3046 (8%)
Claims/GP/Psychiatry
25.513 16.859 49.965
N M R C P 8M 6 , 0 / M 0,72
66.429
Information security Mondriaan • Primary principles – Privacy & ethics – Access – Data integrity • Secundary principles – – – –
Accountability Awareness Assessment Integra;on
PEP = Privacy Enhancing Procedure (…or Technique)
Privacy • Aim: Maximisa;on of anonymity • Purpose: default proces + data processing without any level of subject consent PEP’s: 1. Data anonymisa;on 2. Preven;on of de‐anonymisa;on
Anonymisation PEPs
• 4 eyes principle on design data processing • Encryp;on at the source • Seperate processing of iden;fying and research data • Pseudonimisa;on by TTP: • Use of 3 types of pseudonyms downstream • PIA upfront • Controlled access to research data
PEPs prevention de-anonymisation
1. 2. 3. 4. 5. 6.
Separa;on of different users in the data chain Controlled data linkages Controlled data access Controlled depseudonimisa;on Data minimilisa;on Upfront, independent risk assessment on loss of anonymity
CBP Geen persoonsgegevens als: 1. vakkundige pseudonimisering, eerste encryp;e bij de bron 2. Technische en organisatorische maatregelen om herleidbaarheid te voorkomen (replay back) 3. Overige gegevens zijn niet indirect iden;ficerend 4. Audit op eerste 3 punten 5. Pseudonimiseringproces is gedocumenteerd en openbaar
Inbedding Custodix binnen Mondriaan
Privacy Beheer encryptiesleutel
Mondriaan
Custodix
x
Opslag, beheer en toegang tot geёncrypteerde gegevens
x
Pseudonimisering
x
Beheer en toegang tot onderzoeksgeg.
x
Toegang tot koppelingen tussen verschillende typen pseudonymen Record Linkage Beheer linkage algoritme
x
Mondriaan
Custodix
x
Uitvoering record linkage
x
Opslag & beheer gekoppelde pseudonymen
x Mondriaanfoundation.org
Stelling Voor het bereiken van het doel (een nationaal toegangsloket tot bestaande en nieuwe bronnen van gezondheids(zorg)gegevens voor wetenschappelijk (pharmaco-) epidemiologisch onderzoek) is één, uitwisselbare TTP constructie noodzakelijk.
De TTP behoort een nutsvoorziening te zijn!
Mondriaanfoundation.org
Stelling • •
De inhoudelijke data (= klinische/research data) en biomaterialen worden steeds identificerender. Anonimiteit is context afhankelijk
Herdefinieer anonimiteit! …of misschien: vergeet anonimiteit… focus op bescherming van de (privacy) belangen van subjecten Mondriaanfoundation.org
Dank u!
Willem de Bruijn
[email protected] www.mondriaanfoundation.org 06-50124824
Mondriaanfoundation.org
Proces: koppelen op persoonsniveau via de TTP De TTP verzorgt de eigenlijke Koppeling door het verglijken en koppelen van de versleutelde NAW‐gegevens die het ontvangt van de verschillende bronnen
Koppelverzoeken voor een selecDe van bronpseudoniemen uit een of meerdere bronnen bij de TTP resulteren in koppelinformaDe in de vorm van koppelpseudoniemen. Dezelfde persoon in verschillende krijgt over alle bronnen heen hetzelfde koppelpseudoniem.
Koppelpseudoniem
Pseudonimisatie & Record Linkage
Bronpseudoniem
Magement module
TTP DWH HDR Utrecht
Mondriaanfoundation.org
Proces: feedback informatie richting bron
Gepseudonimiseerde Feedback informatie
Mondriaan Client
Depseudo‐ nimisa;e
Feedback report
Bron
Geautoriseerd e toegang derden
DWH Gepseudonimiseerde Feedback informatie
Genereren feedback Info HDR Utrecht Mondriaanfoundation.org
