Datenschutz durch Pseudonymisierung

Insbesondere im Gesundheitswesen und im Sozialbereich ist die Sammlung und Auswertung sensibler, oft personenbezogener Daten notwendig, um Qualitätssicherung und Forschung zu ermöglichen. Allerdings müssen bei der Arbeit mit solchen Daten strenge deutsche und europäische Datenschutzvorgaben beachtet werden.

Durch die EU-Datenschutz-Grundverordnung, die im Mai 2018 in Kraft tritt, wird der Umgang mit personenbezogenen Daten weiter geschärft

Alle Akteure, die solche Daten sammeln oder auswerten wollen, müssen zukünftig technologische Verfahren zur Sicherstellung des Datenschutzes einsetzen. Die Pseudonymisierung und der Aufbau von neutralen Vertrauensstellen bieten optimale Möglichkeiten, um Auswertungsinteressen und Datenschutz in ein gesetzeskonformes und datenschutzorientiertes Verfahren zu überführen.

In den letzten hundert Jahren hat sich die Lebenserwartung der Menschen in den Industriestaaten annähernd verdoppelt. Neben dem gewachsenen Wohlstand sind hierfür vor allem die enormen Fortschritte im Bereich der medizinischen Versorgung verantwortlich, deren qualitative Grundlage in der Forschung liegt.

Dazu ist das Sammeln, Speichern und Auswerten von Daten über Krankheits- und Genesungsverläufe unerlässlich. Anhand statistischer Verfahren können Prognosen über Krankheitsverläufe oder die Qualität von Verfahren und Behandlungsmitteln ermittelt werden. In manchen Verfahren, zum Beispiel bei Herzschrittmachern, der Dialyse oder der Geburtshilfe, ist es notwendig und sinnvoll, Daten von Patienten über mehrere Jahrzehnte zu sammeln.

Um zu verlässlichen Aussagen zu gelangen, steht die Forschung vor der Aufgabe, über lange Zeit ein möglichst umfassendes Bild des Patienten zu erhalten. Diese Anforderung stellt eine in mehrfacher Hinsicht komplexe Aufgabenstellung dar, die durch die in Europa geltenden Datenschutzbestimmungen noch verschärft wird.

Komplexität der Datensammlung

Um die medizinische Qualitätssicherung zu gewährleisten, müssen Behandlungsverläufe verfolgt und unterschiedliche Datensätze im Ganzen, das heißt über verschiedene Leistungserbringer/Einrichtungen, diverse Standorte und größere Zeiträume hinweg, zusammengeführt werden.

Bei der Analyse von Krankheitsverläufen ergibt sich zunächst, dass eine Krankheit zumeist durch den Hausarzt festgestellt wird. Oft folgt dieser Erstdiagnose eine Überweisung zu einem oder mehreren Spezialisten. Erfordert die Genesung einen Eingriff oder eine spezielle Therapie, findet diese in ambulanten Einrichtungen oder Krankenhäusern statt. Im Anschluss kann eine Rehabilitationsmaßnahme durchgeführt werden, die am Ende wieder durch den Hausarzt begleitet wird. Die Daten, die innerhalb dieses Ablaufs entstehen, müssen überregional erhoben und dem Patienten eindeutig zugeordnet werden können.

In der Praxis hieße das: Herr X aus Brandenburg besucht im Jahr 2012 seinen Hausarzt, weil er Hüftschmerzen hat. Der Hausarzt überweist Herrn X an einen Orthopäden. Nach zahlreichen weiteren Untersuchungen bei verschiedenen Spezialisten wird festgestellt, dass Herr X eine Hüftprothese benötigt. Nach der Operation im Krankenhaus in Berlin und der Rehabilitation in einer Einrichtung in Bayern zieht Herr X nach Thüringen und muss dort bei neuen Ärzten zu Nachsorgeuntersuchungen. Zehn Jahre später wird bei einer Untersuchung festgestellt, dass die Hüftprothese ausgewechselt werden muss. Alle diese Schritte, über die verschiedenen Einrichtungssektoren und Standorte hinweg und über einen Zeitraum von mehr als zehn Jahren, müssen zusammenführbar sein, um Aussagen über die Versorgungsqualität treffen zu können, ohne den Datenschutz zu verletzen.

Sensibilität der Daten

Die zu erhebenden Daten enthalten neben den personenidentifizierenden Merkmalen (Name, Vorname, Geburtsdatum, Versicherungsnummer) immer auch sensible medizinische Daten. Dies können Laborwerte, Daten zu Implantaten, Anamnesen oder Berichte über Therapieverläufe sein. Um die Verläufe von Krankheiten korrekt zu beurteilen, sind jedoch oft auch Kontextinformationen notwendig, wie die Lebens- und Arbeitssituation oder die geografische Verortung.

Um ein vollständiges Bild der medizinischen Versorgungsqualität zu erhalten, werden außerdem Informationen über die behandelnden Institutionen/Einrichtungen und Ärzte benötigt. Auch hier spielt der Datenschutz eine Rolle, da diese Informationen unter anderem aus den Namen, Adressen, Betriebsstättennummern (BSNR) und der lebenslangen Arztnummer (LANR) von behandelnden Ärzten bestehen können.

Die Sensibilität des entstehenden Datensets kann gerade bei ansteckenden oder chronischen Erkrankungen extrem hoch sein. Aus diesem Grund sieht sowohl die europäische als auch die deutsche Gesetzgebung einen hohen Schutz dieser Daten vor. Mit der im Mai 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung (EU-DSGVO) [EUD16] und der neuen Fassung des Bundesdatenschutzgesetzes (BDSG) [BDSG18] wird sich dieser Schutzbedarf noch erhöhen. Patienten werden in Zukunft das Recht erhalten, alle über sie gespeicherten Daten in elektronischer Form ausgehändigt zu bekommen und auf Wunsch nachweislich löschen zu lassen. Die hierbei einzuhaltenden Fristen wurden deutlich verkürzt. Institutionen oder Studien, die Daten sammeln, müssen sich aus diesem Grund an weitreichende Auflagen halten. Bei einem Verstoß gegen die neuen Datenschutzregeln drohen für Unternehmen neben dem Image-Verlust hohe Geldstrafen. Die maximale Geldbuße nach der neuen DSGVO beträgt bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes, je nachdem welcher Wert der höhere ist.

Anonymisierung versus Pseudonymisierung

Im Rahmen einer Aufbereitung können die Daten hinsichtlich ihrer Sensibilität entschärft werden. Dies kann zum einen durch eine Anonymisierung personenbezogener Daten geschehen. Hierbei werden personenbezogene Daten derart verändert, dass die Einzelangaben über persönliche und sachliche Verhältnisse nicht mehr oder nur mit unverhältnismäßig großem Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können (nach BDSG § 3 Abs. 6). So wird beispielsweise „Martin“ einmal zu „Jonas“ oder ein anderes Mal zu „Robin“. Bei der Anonymisierung sind Datensätze aus unterschiedlichen Datenquellen und Zeiten nicht mehr zusammenführbar. Es gehen wichtige Langzeitbezüge zu den einzelnen Patienten verloren.

Zum anderen ist das Pseudonymisieren das Ersetzen der personenbezogenen Daten durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren (nach BDSG § 3 Abs. 6a). Die Besonderheit der Pseudonymisierung besteht in der beständigen und wiederholbaren Überführung von Daten in Pseudonyme. So kann beispielweise mit Hilfe des Pseudonymisierungsalgorithmus aus dem Namen „Martin“ immer das Merkmal „X00676NHn“ entstehen. Dabei gibt das verschlüsselte Merkmal keine Informationen über den Namen preis. Durch die stabile Abbildung des Namens (Martin) in immer das gleiche Pseudonym (X00676NHn) kann jedoch der Personenbezug in Kombination mit den Pseudonymen anderer personenidentifizierbarer Merkmale hergestellt werden.

Sicherheit der Pseudonyme

Um einen ethischen Umgang mit sensiblen Daten sicherzustellen, sind besondere Anforderungen an den Datenschutz zu beachten. So muss stets ein Pseudonymisierungsverfahren eingesetzt werden, das den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) entspricht und auf aktuellen und sicheren kryptografischen Verfahren oder Hash-Verfahren basiert [BSI17].

Die Generierung aller notwendigen Schlüssel bzw. Geheimnisse oder Salt-Werte sollte durch einen nichtdeterministischen Zufallszahlengenerator (Hardwaregerät) erfolgen. Dabei muss auf die Länge bzw. den Informationsgehalt in den Schlüsseln geachtet werden.

Grundsätzlich müssen die Rechner, die eingesetzt werden, um die Pseudonyme zu berechnen, alle üblichen Sicherheitsmaßnahmen erfüllen. Sie dürfen beispielsweise ausschließlich in sicheren Netzwerken betrieben werden. Zusätzlich sollten lediglich autorisierte Personen Zugang zu den Rechnern erhalten. Dies kann erreicht werden, indem die Rechner an besonders gesicherten Arbeitsplätzen zur Verfügung gestellt werden. Außerdem sollten die Rechner mit großer Sorgfalt gewartet und regelmäßige Software-Updates bzw. Patches vorgenommen werden.

Um technisch versierten Angreifern keine Möglichkeiten zu bieten, die Pseudonyme mit Klardaten zu vergleichen, sollte die Erstellung der Pseudonyme mit In-Memory-Methoden erfolgen. Dieses Vorgehen gewährleistet, dass lediglich für eine extrem kurze Zeit Klartext und Pseudonym gleichzeitig im Arbeitsspeicher des Rechners vorliegen. Eine Speicherung von Klartext und Pseudonym sollte zu jeder Zeit vermieden werden. Das bedeutet, es werden keine Mapping-Tabellen aufgebaut, sondern die Berechnung des Pseudonyms wird jedes Mal aufs Neue durchgeführt.

Beim Einsatz eines deterministischen Verschlüsselungsverfahrens wird immer ein Restrisiko bestehen, dass die Daten aus einer Auswertungsstelle für einen Angriff auf die Pseudonymisierung verwendet werden. Deshalb sind auch die Pseudonyme nach ihrer Erstellung schützenswerte Daten und sollten verschlüsselt übertragen werden. Es gilt auf jeden Fall zu vermeiden, dass die Pseudonyme von den Auswertungsstellen an andere Organisationen weitergegeben oder Unbefugten bekannt werden. Sollten die Pseudonyme auf irgendeine Weise bekannt werden, muss unverzüglich reagiert werden und die Pseudonyme müssen sofort ausgetauscht werden.

Austausch der Pseudonyme

Für einen Austausch der Pseudonyme muss ein Prozess vorliegen, der im Falle einer Kompromittierung jederzeit angewendet werden kann. Sofern Hinweise des Bundesamtes für Sicherheit in der Informationstechnik (BSI) oder von anderer Stelle bekannt werden, dass das gewählte Pseudonymisierungsverfahren oder das Geheimnis unsicher werden könnte, wird der Prozess zum Austausch der Pseudonyme eingeleitet. Ein Austausch der Pseudonyme ist erforderlich, sofern das Geheimnis oder der Algorithmus zum Erstellen der Pseudonyme ausgetauscht werden muss.

Um einen Austausch der Pseudonyme zu vereinfachen und auch während des laufenden Betriebs durchführen zu können, wird empfohlen, jedes produzierte Pseudonym mit einer Algorithmus-ID der zur Erzeugung verwendeten Kombination aus Geheimnis und Algorithmus zu versehen. Die Auswertungsstellen müssen diese Algorithmus-ID dauerhaft als Metadaten mit jedem Pseudonym speichern.

Beim Austausch wird zunächst eine Liste aller betroffenen Pseudonyme und entsprechender Metadaten (unter anderem die ID in der Auswertungsstelle, Algorithmus-ID) erstellt. Jeder Eintrag in der Austauschliste wird mit dem „alten“ Geheimnis/Algorithmus depseudonymisiert und anschließend mit dem „neuen“ Geheimnis/Algorithmus pseudonymisiert. Das neue Pseudonym wird mit den Metadaten (unter anderem ID in der Auswertungsstelle und neue Algorithmus-ID) in einer Austauschergebnisliste gespeichert. Die Austauschergebnisliste kann anschließend von den Auswertungsstellen verwendet werden, um die alten Pseudonyme durch die neuen zu ersetzen.

Sollte das Pseudonymisierungsverfahren eine Hash-Funktion einsetzen, muss zur Depseudonymisierung ein interner Brute-Force-Angriff durchgeführt werden. Dieser Prozess wird umso aufwendiger, je umfangreicher die Klardaten sind.

Auflösbarkeit von Pseudonymen und Algorithmen

In einigen Verfahren wie bei der „Unabhängigen Vertrauensstelle nach § 299 SGB V“ [VST17], die für den Gemeinsamen Bundesausschuss [GBA17] entwickelt wurde, ist eine Rückauflösung der Pseudonyme strikt verboten. In diesem Fall finden Hash-Funktionen (RIPEMD oder SHA) in Kombination mit einer Zufallszahl aus einem physikalischen und nichtdeterministischen Zufallszahlengenerator, bei dem die Mindest-Entropie von 100 Bit für den Seed erzielt wird, Verwendung.

In anderen Verfahren, zum Beispiel beim Endoprothesenregister Deutschland [EPRD17] oder beim Transplantationsregister [TPG17], ist eine Auflösung des Pseudonyms unter bestimmten Umständen rechtlich vorgesehen. In diesem Fall kann keine Hash-Funktion eingesetzt werden, sondern es muss eine Verschlüsselungsfunktion zur Erstellung des Pseudonyms verwendet werden. Dabei muss strikt darauf geachtet werden, dass ein deterministisches Verschlüsselungsverfahren eingesetzt wird.

Dieses Vorgehen gewährleistet, dass

• bei gleichem Klartext immer dasselbe Chiffrat (Pseudonym) erhalten UND
  aus einem Chiffrat immer schnell der Klartext erhalten werden kann (Depseudonymisierung).

Dabei kommen

• symmetrische Verschlüsselungsverfahren, zum Beispiel AES, die die Betriebsart Cipherblock Chaining Mode mit einem nur intern bekannten und gleichbleibenden Initialisierungsvektor einsetzen, und
• asymmetrische Verschlüsselungsverfahren, zum Beispiel RSA ohne Padding, bei denen sowohl die privaten als auch die öffentlichen Schlüssel nur intern bekannt sind,
  in Frage.

Bei der Wahl zwischen deterministischen asymmetrischen und symmetrischen Verfahren, bei denen die Ver- und Entschlüsselung immer nur von einer Stelle durchgeführt wird, empfiehlt sich eine symmetrische Verschlüsselung. Diese erzeugt weniger Last und ist schneller als eine asymmetrische Verschlüsselung. Eine asymmetrische Verschlüsselung bietet in diesem Kontext auch keinerlei Sicherheitsvorteile, da Ver- und Entschlüsselungen nur von einer Stelle durchgeführt werden.

Konkret sollten die Empfehlungen des BSI befolgt werden [BSI17]. Diese besagen, dass AES-256 aktuell und für die nahe Zukunft als sicher angesehen wird. Deshalb kann diese Verschlüsselung problemlos für die Pseudonymisierung eingesetzt werden.

Um die Sicherheit zu erhöhen und Angriffe per Chosen-Chiphertext- oder Chosen-Plaintext- Attacke sowie durch Rainbow Tables zu erschweren, können folgende Maßnahmen ergriffen werden:
Die Generierung des AES-Schlüssels erfolgt durch einen nichtdeterministischen Zufallszahlengenerator (Hardwaregerät).Ein gleichbleibender, aber nur der erstellenden Stelle bekannter Salt-Wert, der ebenfalls mit Hilfe des nichtdeterministischen Zufallszahlengenerators erzeugt wurde, wird mit dem Klartext vor der Verschlüsselung konkateniert. Der Salt-Wert muss einen hohen Informationsgehalt (zum Beispiel 40 Zeichen aus dem UTF-8-Zeichenraum) haben.Der Initialisierungsvektor wird ebenfalls mit Hilfe des nichtdeterministischen Zufallszahlengenerators erzeugt.

Einbeziehung einer Vertrauensstelle

Um Qualitätssicherung und Forschungsinteresse mit dem Datenschutz zu vereinbaren, stellt die Einbeziehung einer unabhängigen Vertrauensstelle einen geeigneten Weg dar. Hierbei werden direkte Kommunikationsbeziehungen zwischen Datenlieferanten und Datenempfängern entkoppelt. Eine unabhängige Stelle nimmt die Daten von allen autorisierten Lieferanten an und gibt diese aufbereitet an eine oder mehrere verarbeitende Stellen weiter. Als Zwischenstelle verantwortet die Vertrauensstelle die sichere Überführung personenbezogener Daten in Pseudonyme. Diese gewährleistet auch, dass die Daten immer gültig sind und zwischen Absender und Auswertungsstelle kompatibel bleiben.

Abbildung 2 zeigt die Platzierung der „Unabhängigen Vertrauensstelle nach § 299 SGB V“ im Datenfluss. Diese Vertrauensstelle wurde zur sektorenübergreifenden Qualitätssicherung im Auftrag des Gemeinsamen Bundesausschusses entwickelt. In der Grafik ist nachvollziehbar veranschaulicht, dass Daten aus diversen Sektoren (Krankenkassen, Krankenhäusern und unterschiedlichen Arztpraxen/Einrichtungen) und für unterschiedliche Richtlinien (Qualitätssicherung Dialyse, Qualitätssicherung im Krankenhaus und einrichtungs- und sektorenübergreifende Qualitätssicherung) an eine Vielzahl von Auswertungsstellen übertragen werden.

Der Aufbau von neutralen Vertrauensstellen ist der optimale Weg, um Auswertungsinteressen und Datenschutz in ein gesetzeskonformes und datenschutzorientiertes Verfahren zu überführen. Im Zuge der Digitalisierung gewinnt dieses Lösungsmuster im Gesundheitsbereich an Bedeutung und wird in vielen neuen Verfahren der medizinischen Qualitätssicherung bzw. in Registerstellen eingesetzt, beispielsweise im deutschen Transplantations- und Endoprothesenregister.

Weitere Einsatzszenarien – Testdatenerzeugung

Die Pseudonymisierung von Daten bietet eine hervorragende Möglichkeit, große Mengen von validen Testdaten zu erstellen, sodass vollständige Systemtests und Auswertungen auf echten Datenmengen mit echten Datenmustern durchgeführt werden können. Der entscheidende Vorteil des vorgestellten Pseudonymisierungsverfahrens besteht darin, dass die Ergebnisse der Pseudonymisierung personenbezogener Daten deterministisch sind. Das bedeutet, dass nach jedem Lauf mit gleichen Ursprungsdaten dieselben pseudonymisierten Ergebnisse ermittelt werden. Dieses Vorgehen ermöglicht es, auch die nachgelagerten Systeme in pseudonymisierten Umgebungen korrekt anzuschließen und die Daten auswertbar zu machen. Durch die deterministischen, gleichbleibenden Daten kann vor allem ein Data Warehouse vorteilhafter an die Abnahmeumgebung angeschlossen werden.

Im Folgenden wird anhand eines Praxisbeispiels aus einem großen IT-Fachverfahren der Berliner Verwaltung dargestellt, wie es möglich ist, unter Einhaltung strenger Datenschutzbestimmungen Test- und Abnahmeumgebungen mit sinnvollen Daten bereitzustellen. Das Pseudonymisierungsverfahren umfasst die in Abbildung 2 dargestellten Prozessschritte. Die Schritte 1 und 2 werden nicht direkt durch das Pseudonymisierungsverfahren umgesetzt.

Mit dem Pseudonymisierungsverfahren werden folgende Ziele erreicht:

• Gewährleistung eines hohen Datenschutzstandards (keine Echtdaten auf Testsystemen)
• Deterministische Pseudonymisierung der Ursprungsdaten
• Effiziente Pseudonymisierung mit geringer Laufzeit
• Befüllung mehrerer Zieldatenbanken mit den pseudonymisierten Daten

Da diverse Merkmale aus den nicht personenbezogenen Daten gegebenenfalls auch zu einer Reidentifikation der Personen führen könnten, müssen Schritte in der Pseudonymisierung durchgeführt werden, um dies zu vermeiden. Hierzu wird ein mathematischer Algorithmus eingesetzt, der einen Hash aus den Eingangsdaten bildet und damit einen Index aus einer festgelegten Anzahl von Werten ermittelt (siehe Abbildung 3). Die Menge der möglichen Ausgabewerte ist begrenzt und wird einmalig festgelegt. Die Anzahl der Eingabewerte ist um eine Vielzahl größer als die der Ausgabewerte. Hierdurch werden mehrere verschiedene Eingabewerte den gleichen Ausgabewert erhalten. Dies verhindert, dass ein direkter Rückschluss auf den Eingabewert gezogen werden kann.

Die Mengen der Daten in den Ausgangslisten müssen so gestaltet werden, dass diese möglichst wenig Einfluss auf Indizierung, Suchzeiten und weitere Anwendungs- bzw. Datenbankprozesse entfalten. Die genaue Datenmenge für bestimmte Felder muss während einer Konfigurationsphase austariert werden.

Zur Vorbereitung des Pseudonymisierungsverfahrens wird einmalig eine Liste pro pseudonymisiertem Element (beispielsweise Vorname) mit möglichen Ausgabewerten in gewünschter Größe angefertigt (beispielsweise 2.000 Vornamen und 2.000 Straßen). Der Eingabewert wird während des Prozesses mathematisch so aufbereitet, dass ein Index innerhalb der Liste dieser Ausgabewerte ermittelt wird. Bei der Ermittlung des Index wird eine Gleichverteilung über die Ausgabewerte angestrebt. Die mathematische Berechnung eines bestimmten Eingabewerts liefert immer das gleiche Ergebnis. Solange sich die Liste der möglichen Ausgabewerte nicht ändert, wird deshalb immer das gleiche pseudonymisierte Ergebnis errechnet.

Es wird keine kontextbezogene Pseudonymisierung vorgenommen, sondern lediglich die Werte in definierten Spalten nach dem angegebenen Verfahren pseudonymisiert.

Das bedeutet: Wenn Spalten innerhalb einer Tabelle untereinander Abhängigkeiten besitzen, wird dies nicht beachtet. Beispielsweise ist der Vorname abhängig vom Geschlecht. Da aber lediglich der Vorname ohne Beachtung eines Kontextes pseudonymisiert wird, ist es möglich, dass dieser Zusammenhang nach der Pseudonymisierung nicht mehr vorhanden ist. Hierzu empfiehlt es sich, die Liste von Vornamen geschlechtsneutral zu gestalten.

Ein ideales Ergebnis der Pseudonymisierung kann mit einem Datenmodell in reiner 3. Normalform erreicht werden. Darin liegen die Daten atomar an nur einer einzigen Stelle vor. Wenn das Datenmodell nicht in reiner 3. Normalform existiert, muss genau analysiert werden, welche Abhängigkeiten bestehen und welche Tabellen pseudonymisiert werden müssen.

Fazit

Im Zeitalter von Big Data und Analytics wird die Sammlung, Speicherung und Auswertung von massenhaften Datenmengen über lange Zeiträume hinweg immer routinierter und führt zu deutlichen Vorteilen bei der Prozessoptimierung und beim Informationsgewinn sowohl in der Wirtschaft als auch in der Wissenschaft. Dabei darf der Schutz sensibler Daten jedoch nicht außer Acht gelassen werden. Mit der neuen EU-Datenschutz-Grundverordnung und der neuen Fassung des Bundesdatenschutzgesetzes steigen die Anforderungen an den Datenschutz signifikant. Mit aktuellen Verfahren und Standards wie der Pseudonymisierung und dem Einsatz von Vertrauensstellen in verschiedenen Bereichen ist die Sammlung, Speicherung und Auswertung großer Datenmengen unter Einhaltung des Datenschutzes möglich. Neben den normalen Sicherheitsvorkehrungen auf den Systemen bedarf es allerdings einer regelmäßigen Überprüfung der eingesetzten Verschlüsselungsalgorithmen. Werden diese Aspekte beachtet, können wir alle Vorteile von „Data Lakes“ genießen, ohne uns wegen des Datenschutzes in unruhige Gewässer zu begeben.

Quellen:

• [BDSG18] Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), das zuletzt durch Art. 10 Abs. 2 des Gesetzes vom 31. Oktober 2017 (BGBl. I S. 3618) geändert worden ist in der Fassung vom 25. Mai 2018
• [BSI17] Bundesamt für Sicherheit in der Informationstechnik: Kryptographische Verfahren: Empfehlungen und Schlüssellängen. BSI TR-02102-1, 2017, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen.pdf, abgerufen am 4.9.2018
• [EPRD17] Vertrauensstelle des EPRD Deutsche Endoprothesenregister gGmbH: „Höherer Datenschutz durch Pseudonymisierung der Patientendaten über eine Vertrauensstelle“, 2017
• [EUD16] Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
• [GBA17] Gemeinsamer Bundesausschuss: „Aufgabe, Arbeitsweise und Finanzierung“, 2017, https://www.g-ba.de/institution/aufgabe/, abgerufen am 4.9.2018
• [TPG17] TPG 2017, „Transplantationsgesetz in der Fassung der Bekanntmachung vom 4. September 2007 (BGBl. I S. 2206), das durch Artikel 2 des Gesetzes vom 18. Juli 2017 (BGBl. I S. 2757) geändert worden ist“, § 15c Vertrauensstelle
• [VST17] Unabhängige Vertrauensstelle nach § 299 SGB V: „Allgemeine Informationen über die Vertrauensstelle nach § 299 SGB V“, 2017, www.vertrauensstelle-gba.de/infoAllg.html, abgerufen am 4.9.2018