![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Der Europ\u00e4ische Datenschutzausschuss hat vor einigen Tagen neue Leitlinien zur Pseudonymisierung von Daten verabschiedet. D\u00fcrfte bei Gesundheitsdaten relevant werden. Parallel ist mir die Tage noch ein Grundsatzartikel zur Pseudonymisierung untergekommen. Ich stelle die Infos mal in einem Kurzbeitrag f\u00fcr interessierte Leser zur Verf\u00fcgung.<\/p>\n
<\/p>\n
Speziell im Gesundheitswesen will man ja Patientendaten aus der elektronischen Patientenakte pseudonymisiert f\u00fcr die Forschung bereitstellen. Es wurde von diversen Sicherheitsforschern und Personen mehrfach nachgewiesen, dass die Personen an Hand pseudonymisierter Daten doch identifiziert werden k\u00f6nnen. Das Verfahren funktioniert in den meisten F\u00e4llen schlicht nicht.<\/p>\n
Im Beitrag\u00a0Elektronische Patientenakte (ePA): Chaos vor dem Start zum 15.1.2025<\/a> hatte ich letztmalig darauf hingewiesen, dass die vollmundigen Versprechen hinsichtlich einer Pseudonymisierung der Daten Schall und Rauch sein d\u00fcrften. Im gigantischen Datenpool mit deinen Versichertendaten ist nichts pseudonymisiert, sondern alles fein s\u00e4uberlich auf die Person bezogen.<\/p>\n Zudem scheint die Pseudonymisierung mit den Daten der elektronischen Patientenakte noch in den Startl\u00f6chern zu stehen.\u00a0Zitat aus meinem Artikel Elektronische Patientenakte (ePA): Hebt Lauterbach mit Meta, OpenAI und Google den \"Datenschatz\"<\/a>:<\/p>\n Eine neu gegr\u00fcndete \"Arbeitsgruppe Pseudonymisierung\" soll zuverl\u00e4ssige Pseudonymisierungsverfahren f\u00fcr Dokumente und Datens\u00e4tze in den Patientenakten festlegen, die Organisation liegt bei der Gematik. Die AG Pseudonymisierung soll unter anderem aus Vertretern der Gesellschaft f\u00fcr Telematik, des Spitzenverbands der gesetzlichen Krankenkassen, der Kassen\u00e4rztlichen Bundesvereinigung und Patientenvertretern bestehen.<\/p><\/blockquote>\n Was soll da schon schief gehen, bei einer so hochkar\u00e4tig besetzten AG Pseudonymisierung unter Organisation der gematik?<\/p>\n Eine sehr interessante Anmerkung kam von einem heise-Leser in diesem Kommentar<\/a>. Momentan ist die ePA 3.0 nicht mehr als ein gigantischer zentral gehosteter PDF-Speicher. Wie will man da Daten herausziehen und pseudonymisieren? Interessant fand ich auch den Shortcut zur ePA<\/a> vom Spiegel – in dem ein Mediziner zu Wort kommt.<\/p>\n Der zweite Einsprengsel, den ich hier mal einstelle, ist der k\u00fcrzlich bei heise erschienene Artikel\u00a0Wenn der Staat die elektronische Patientenakte lesen will<\/a>. Es scheint juristisch ungekl\u00e4rt oder nicht pr\u00e4zisiert, dass Strafverfolger nicht per Beschluss auf die Daten der Patientenakte zugreifen d\u00fcrfen. Da tun sich Abgr\u00fcnde auf.<\/p><\/blockquote>\n Der Europ\u00e4ische Datenschutzausschuss (EDSA) hat auf seiner Plenarsitzung vom 16. Januar 2025 neue Leitlinien zur Pseudonymisierung<\/a> angenommen. Der EDSA ist die Dachorganisation der nationalen europ\u00e4ischen Datenschutzbeh\u00f6rden und des Europ\u00e4ischen Datenschutzbeauftragten.<\/p>\n In den Leitlinien zur Pseudonymisierung, die bis zum 28. 1. 2025 noch \u00f6ffentlich kommentiert werden k\u00f6nnen, geht der EDSA auf die Definition von Pseudonymisierung und pseudonymisierten Daten ein und beschriebt, wie sie angewandt werden k\u00f6nnen. Ziel ist es, vorhandene pers\u00f6nliche Daten durch Pseudonymisierung zu ver\u00e4ndern, um den Datenschutz zu gew\u00e4hrleisten. heise hat vor einigen Tagen in diesem Artikel<\/a> auf die Ver\u00f6ffentlichung der Leitlinien hingewiesen.<\/p>\n Die Tage bin ich auf BlueSky auf einen Post von Lukasz Olejnik gesto\u00dfen (der Mann ist auf dem Gebiet der Datensicherheit auf akademischem Niveau unterwegs).<\/p>\n Er hat die obige Stellungnahme EU-Datenschutzausschusses zum Anlass genommen, den\u00a0Beitrag\u00a0Pseudonymisation – the critical and the most exciting thing in data protection<\/a> zu verfassen.<\/p>\n Seine Einordnung lautet: Die Pseudonymisierung ist eine technische und organisatorische Ma\u00dfnahme und eine Datenschutzma\u00dfnahme im Sinne der DSGVO. Sie ist eine Ma\u00dfnahme zur Risikoreduzierung, die die Wahrscheinlichkeit und die Auswirkungen von Datenschutzverletzungen minimiert.\u00a0Diese Technik wird in vielen Bereichen ben\u00f6tigt, u. a. im Gesundheitswesen, im Finanzwesen und bei der Bearbeitung von Beh\u00f6rden.<\/p>\n Aber: Die Pseudonymisierung erm\u00f6glicht eine kontrollierte Re-Identifizierung durch gespeicherte Zusatzinformationen (geheime Informationen). Im Gegensatz zur Anonymisierung, bei der die F\u00e4higkeit, Daten mit einer Person zu verkn\u00fcpfen, unwiderruflich aufgehoben wird, bleibt bei der Pseudonymisierung die M\u00f6glichkeit der Re-Identifizierung erhalten. Klingt nicht gut f\u00fcr die ePA-Daten.<\/p>\n","protected":false},"excerpt":{"rendered":" Der Europ\u00e4ische Datenschutzausschuss hat vor einigen Tagen neue Leitlinien zur Pseudonymisierung von Daten verabschiedet. D\u00fcrfte bei Gesundheitsdaten relevant werden. Parallel ist mir die Tage noch ein Grundsatzartikel zur Pseudonymisierung untergekommen. Ich stelle die Infos mal in einem Kurzbeitrag f\u00fcr interessierte … Weiterlesen Leitlinien zur Pseudonymisierung<\/h2>\n
Pseudonymisierung versus DSGVO<\/h2>\n
![\"Pseudonymisierung](\"https:\/\/i.postimg.cc\/4d9cJ7br\/image.png\")
<\/p>\n