gms | German Medical Science

Einleitung und Zielstellung: Durch die Generierung von Patienten- und medizinischen Daten an mehreren Standorten steht die medizinische Datenanalyse vor Herausforderungen, die mit verteilten Datensätzen einhergehen. Stetig wachsende Anforderungen an den Schutz personenbezogener Daten schränken deren Nutzung ein. Der Ansatz verteilter Analysen rückt somit in den Vordergrund. Eine Plattform, welche solche verteilten Analysen realisiert, ist die PADME-Infrastruktur, welche das Konzept des Personal Health Train (PHT) implementiert [1]. Im PHT werden Orte mit Datenquellen als Stationen bezeichnet, zwischen denen Züge mit Analyseaufgaben verkehren. Gesteuert werden diese über eine Central Station (CS), an der ein Datenanalyst Züge an ausgewählte Stationen entsenden kann.

In Datenanalysen können Dubletten statistische Ergebnisse verzerren. Vor allem in verteilten Analysen sind diese schwer zu identifizieren. Wir präsentieren einen Ansatz zur Datenverknüpfung auf verteilten Datensätzen mit dem PHT, um stationsübergreifend Dubletten zu identifizieren.

Methoden: Für die Identifikation von Dubletten greifen wir auf bewährte Verfahren der Record Linkage zurück. Insbesondere die Methoden der PPRL ermöglichen eine sichere Verknüpfung von Datensätzen in unterschiedlichen Datenbeständen. Um PPRL in den PHT zu integrieren, erweitern wir die PHT-Infrastruktur um eine Reihe webbasierter Dienste. Ein Encoder-Dienst nimmt die Vorverarbeitung und Maskierung von IDATs vor. Für jeden Datensatz liegt anschließend ein Bitvektor vor. Das Verfahren basiert auf der Verwendung von Bloomfiltern, wobei Attribute eines Datensatzes nach ihrer Trennschärfe gewichtet werden [2], [3]. Ein Resolver-Dienst löst Pseudonyme, die in den Patientendaten verwendet werden, mithilfe eines MPIs vor Ort auf und sendet die somit erhaltenen Daten an den Encoder-Dienst. Weiterhin sendet er die maskierten Daten und fragt die Ergebnisse von der zuständigen Trust Unit ab. Resolver- und Encoder-Dienst werden neben der Stations-Software seitens der teilnehmenden Stationen bereitgestellt.

Eine externe Central Linkage Unit ermöglicht PPRL über mehrere Stationen hinweg. Sie umfasst einen Broker-Service, welcher sogenannte Match-Sessions organisiert. Stationen senden ihre Bitvektoren unter der Kennung einer Match-Session zu. Ein Broker-Dienst nimmt diese entgegen und führt im Hintergrund die Datenverknüpfung durch. Die Berechnung der Ähnlichkeit zwischen Bitvektorpaaren wird von einem Match-Dienst übernommen. Übereinstimmungen werden anschließend vom Broker-Dienst gespeichert und den jeweiligen Stationen bereitgestellt.

Die Ausführung eines PPRL-Durchlaufs erfolgt in zwei Phasen. Zuvor erstellt der Datenanalyst am CS einen neuen Zug und wählt die teilnehmenden Stationen aus. Die Parameter für die Datenvorverarbeitung und -maskierung, sowie die Kennung der Match-Session werden bei der Instanziierung übergeben. In der ersten Phase übergeben die jeweiligen Administratoren an der Station Links zu einer Liste von Pseudonymen und zum Aufrufen des Resolver-Dienstes. Nach der ersten Runde haben alle Stationen ihre IDATs in maskierter Form an die Central Linkage Unit übergeben. Nach dem Abschluss der Datenverknüpfung beginnt die zweite Phase. Erneut ruft der Zug den Resolver-Dienst an jeder teilnehmenden Station auf, welcher Ergebnisse von der Central Linkage Unit abfragt und in pseudonymisierter Form an den Zug zurückgibt. Somit kann an jeder Station entschieden werden, ob doppelte Datensätze unter bestimmten Pseudonymen für eine anschließende Datenanalyse zurückgehalten, eingebunden oder anderweitig verarbeitet werden (siehe Abbildung 1[Abb. 1]).

Ergebnisse: Wir haben die Funktion des beschriebenen Verfahrens an zwei Datensätzen evaluiert: einem Beispieldatensatz von CORD zur „Private Set Intersection“ und einem synthetischen Datensatz, welcher Vor- und Nachname, Geburtsdatum, Geschlecht und Wohnort aus öffentlichen deutschen Datenquellen umfasst. Letzterer wurde um typografische Fehler mithilfe des GeCo-Frameworks erweitert, um die Fehlerresistenz unseres Verfahrens zu validieren [4]. Wir stellten einen maximalen F1-Score von je 100% und 99,7% fest. Somit erreichen wir die gleichen Ergebnisse wie bei einer zentralisierten Datenverknüpfung mit den gleichen Techniken.

Diskussion: Wir haben ein Verfahren vorgestellt, um PPRL auf verteilten Datensätzen mit dem PHT inkrementell durchzuführen. Die Verarbeitung der zu verknüpfenden Daten und die Aggregation der Ergebnisse geschieht in zwei voneinander getrennten Phasen. Aufbauend auf die Dublettenerkennung werden wir uns zukünftig mit Strategien der Duplicate Elimination und Entity Consolidation beschäftigen.

In unserem Verfahren gehen wir von einer Central Linkage Unit als zentralen Akteur aus, der von allen Stationen vertraut wird. In diesem Fall ist es dem Datenanalysten, dem Stationsadministrator und dem Betreiber der Central Linkage Unit nicht möglich, auf die IDATs der MPIs zurückzuschließen. Es existieren Angriffe auf Bloomfilter zur Wiedererkennung eingefügter Daten, jedoch sind diese mit unseren Sicherheitsvorkehrungen auch mit hohem rechnerischem Aufwand nur schwer ausführbar [5].