Übermittlung genetischer Patientendaten in die Cloud: 5 Mythen
Posted on March 02, 2020
Uns erreicht oft die Frage: Wie sicher ist es, die genomischen Daten von Patienten in die Cloud zu übertragen? Damit meinen die meisten Leute die Übertragung ihrer NGS-basierten Patientendaten an externe webbasierte Dienste (z.B. Illumina Basespace), die in einer öffentlichen Cloud anderer Drittanbieter (z.B. Amazon AWS) laufen.
Natürlich sollte die Sicherheit der genetischen Daten von Patienten höchste Priorität haben. Neue Sequenziertechnologien erzeugen riesige Datenmengen pro Patient und oft gehen kleine Labors oder Krankenhäuser davon aus, dass sie den erforderlichen Anstieg der Rechenressourcen nicht bewältigen können, womit die Cloud die vermeintlich einzige Option bleibt. Schließlich sind Cloud-basierte Lösungen gut für Fälle, in denen unterschiedliche Datenmengen flexibel verarbeitet werden müssen. Aber es stimmt auch, dass die Gentestdaten eines Patienten einen anderen Stellenwert in Bezug auf Privatsphäre haben, als beispielsweise Videos, Musik, Bilder oder andere große Daten. Daten genetischer Tests enthalten höchstpersönliche Informationen, einschliesslich Gesundheits-, Verhaltens- und biometrische Informationen und sind ein einzigartigerer Marker, wie z.B. ein Fingerabdruck. Ein Verlust der DNA-Daten ist viel schlimmer als ein Datenleck bei Kreditkarten.
In diesem Sinne sollten wir uns mit den folgenden Missverständnissen und Mythen befassen, die wir oft hören.
Mythos 1: "Aber ich benutze anonyme IDs anstelle von Patientennamen"
Eine gute Praxis in der klinischen Diagnostik ist die Verwendung von anonymisierten Patientenkennungen anstelle von echten Namen. Im Zeitalter der Genomik ist dies jedoch nicht mehr ausreichend. Jeder, der in der Genetik arbeitet, sollte dies verinnerlichen: Es gibt keine wirksame Möglichkeit, genetische Daten zu anonymisieren! Es ist durchaus möglich aus ausreichend großen genetischen Daten auf die Person zu schließen, denn die Daten sind an sich schon identifizierend.
Gerade deshalb gelten genetische Daten nach dem europäischen Datenschutzgesetz GDPR als personenbezogene Daten (Personally Identifiable Information, PII). Andere PII umfassen Fingerabdrücke, Klarnamen, Identifikationsnummern, Standortdaten und Online-Identifikatoren (z.B. IP-Adressen). Da genetische Daten darüber hinaus zusätzliche Informationen über eine Person, wie z.B. die ethnische Zugehörigkeit, offenbaren können, sind sie ausdrücklich Teil der "besonderen Kategorien personenbezogener Daten" gemäß Artikel 9 des GDPR. Das bedeutet, dass das GDPR selbst strenge Vorschriften für den Umgang mit genetischen Daten vorsieht. Dazu gehören hohe Sicherheitsanforderungen, begrenzte Richtlinien für den Datenzugriff und die nicht triviale Einholung einer rechtlich einwandfreien Einwilligung. Jede Nachlässigkeit oder gar das Durchsickern von genetischen Daten ist daher nicht nur mit einem Reputationsverlust, sondern auch mit potenziell hohen Entschädigungen im Zusammenhang mit dem GDPR verbunden.
Mythos 2: "Aber die IT-Sicherheit von Anbieter X ist sicherlich besser als unsere".
Es mag wahr sein, dass einige Anbieter ein großes IT-Sicherheitsteam haben und daher in der Lage sind ihre Server sehr gut zu sichern. Dennoch sind Ihre Daten wahrscheinlich immer noch unsicherer. Bedenken Sie, dass das Gesamtrisiko für Datenlecks nicht das Risiko des schwächsten Teils ist; es ist das kombinierte Risiko aller beteiligten Parteien. Einige IT-Spezialisten beschreiben die Cloud als "den Computer eines anderen". In der Praxis haben mehrere Parteien (z.B. der Web-Service-Anbieter, der Infrastruktur-Anbieter, Drittanbieter von Dienstleistungen) potenziell Zugang zu den Rechen- und Speichergeräten, die Patientendaten enthalten. Je mehr Parteien Zugang zu den Daten haben, desto höher ist natürlich die "Angriffsfläche", die das Potenzial für Datenlecks beschreibt. Dieses Gesamtrisiko sollte minimiert werden.
Ein Leck kann bei jeder beteiligten Partei auftreten, sei es Ihr Labor, ein Serviceanbieter, zusätzliche Cloud-Anbieter usw. Daher sollten Sie sich der Sicherheit aller Beteiligten bewusst sein und diese überprüfen. Es gibt Anbieter, die Ihnen vielleicht gar nicht in den Sinn kommen, wie z.B. ein Anbieter für die Zahlungsabwicklung, welcher 2019 bei einem Datenleck die Patientenaufzeichnungen von mehr als 19 Millionen amerikanischen Patienten verloren hat.
Wenn ein Datenleck auftritt, ist es in der Regel schwierig zu bestimmen, wer wirklich schuldig ist, wie man an dem Fall von AWS und Capital One erkennen kann. Die juristischen Konsequenzen in einem solchen Fall sind schwer abzuschätzen, und eine Versicherung wird nur dann entschädigen, wenn eindeutig feststeht, wer einen Fehler begangen hat. Aber egal, wer schuldig ist, die Reputation der beteiligten diagnostischen Labore wird ruiniert sein.
Als letzter Punkt ist zu erwähnen, dass, wenn ein böswilliger Akteur Zugang zur Computerinfrastruktur Ihres Labors erhalten könnte, dann wird dieser wahrscheinlich in der Lage sein auf Informationen zuzugreifen, die tatsächlich über externe Anbieter oder Dienste verfügbar sind. Das Gesamtrisiko sollte also immer die Sicherheit des lokalen Labors einschließen.
Mythos 3: "Aber die Daten werden verschlüsselt übertragen, z.B. über ein VPN"
Damit die Daten bei externen Anbietern analysiert werden können, müssen diese vollständigen Zugang zu den unverschlüsselten Rohdaten haben. Niemand kann mit verschlüsselten Daten aussagekräftige Datenanalysen durchführen. Um Ihnen Patientenberichte anzeigen zu können, müssen diese Berichte in der Datenbank des Anbieters gespeichert werden. Wenn Sie einen VPN verwenden, um mit dem externen Dienst über das Internet zu arbeiten, werden die Daten nur auf dem Weg von Ihrem Computer zum Dienstanbieter verschlüsselt. Tatsächlich ist eine ähnliche Art der Daten-"Transportverschlüsselung" auf fast jeder Website, die Sie besuchen, standardmäßig über SSL aktiviert (siehe das Schlosssymbol in Ihrer Browserleiste). Das bedeutet, dass jede zusätzliche Kommunikationssicherheit zwischen Ihrem Webbrowser und dem Dienstanbieter hauptsächlich eine Augenwischerei ist, ohne dass ein wirklicher Sicherheitsvorteil entsteht.
Mythos 4: "Aber unser Anbieter ist zertifiziert (z.B. HIPAA oder medizinisches Gerät)".
Es gibt viele Zertifizierungen, die im Bereich der genetischen Datenverarbeitung angewendet werden können. Viele von ihnen befassen sich nicht speziell mit der IT-Sicherheit oder nur auf einem sehr grundlegenden Niveau. Die Zertifizierungsrichtlinien sind oft nicht in der Lage, mit der Geschwindigkeit der Entwicklung Schritt zu halten, z.B. mit der massiven Zunahme genomischer Daten, die mit der neuesten Generation von Sequenziermaschinen möglich ist. So ist z.B. bekannt, dass in "HIPAA Genomsequenzen nicht als identifizierende Informationen betrachtet werden, die nach der Safe Harbor-Methode zur Deidentifizierung entfernt werden müssen". Mit den neuen Datenmengen können genomische Daten nicht mehr als deidentifizierbar angesehen werden. Sie sind dafür verantwortlich, angemessene Sicherheitsniveaus festzulegen und die erforderliche Sorgfaltspflicht zu erfüllen, anstatt sich auf vielleicht nicht zusammenhängende oder veraltete Zertifizierungen zu verlassen.
Mythos 5: "Aber ich brauche die Skalierbarkeit der Cloud für NGS-Analysen".
Der Hauptvorteil von Public Clouds besteht darin, dass Sie in wenigen Minuten Dutzende von Computern nutzen können, die sie für sich arbeiten lassen können. Dies ist ein großer Vorteil, insbesondere für die Forschung, die große Datenmengen über kurze Analyse-"Spitzen" verwendet. Unserer Erfahrung nach sind die meisten Routinelabors in der Lage, große Datenmengen und Sequenzierungen in ihrer Gesamtheit zu bewältigen. Wir haben Labore mit Dutzenden von Sequenziergeräten gesehen, die ihre Daten problemlos intern verarbeiten und wahrscheinlich erhebliche Kosteneinsparungen im Hinblick auf Cloud-Computing haben. Häufig wird die interne Computerinfrastruktur für Workstations, LIMS und Server für medizinische Aufzeichnungen ohnehin beibehalten. Außerdem wären Sie vielleicht überrascht, was ein einziger Server mit optimierter Software berechnen kann: 30 Exome an einem Tag sind realistisch machbar.
Die Fingerabdruck-Analogie
Fingerabdrücke sind, wie genetische Daten, persönlich identifizierende Informationen. Heutzutage sind viele Telefone mit einem Fingerabdrucksensor ausgestattet, der den Zugang zu Ihrem Mobiltelefon sowohl sicher als auch bequem macht. Für diese Funktion muss Ihr Telefon in der Lage sein, Fingerabdrücke zu speichern und zu analysieren. Wie schützt es Ihren Fingerabdruck vor potenziell bösartigen Anwendungen, die auf Ihrem Telefon installiert sind? Sendet es Ihnen vielleicht sogar einen Fingerabdruck zur Sicherung in die Cloud?
Es stellt sich heraus, dass die Telefonentwickler diese Bedenken ernst genommen haben und einen sicheren Weg für den Umgang mit Fingerabdrücken ausgearbeitet haben. Android-Telefone müssen einen speziellen isolierten Bereich am Telefon, den TEE, nutzen, um Fingerabdruckdaten zu speichern und zu analysieren. Dabei handelt es sich oft um eine separate CPU mit eigenem Speicher und eigenem Betriebssystem, die vollständig vom restlichen System des Telefons isoliert ist. Wenn Sie einen Fingerabdruck auf Ihrem Telefon registrieren, wird der Scan vom Sensor an das TEE gesendet, das Validierungsdaten und verschlüsselte Fingerabdruckdaten erstellt. Mit dieser Verschlüsselung ist es nicht möglich, aus diesen Daten einen Sinn zu machen, selbst wenn es irgendeiner Anwendung gelingen würde, an sie heranzukommen. Daher gibt es keine Möglichkeit, dass der Fingerabdruck jemals das Telefon verlässt. Alle Validierungen werden im TEE durchgeführt, und es werden nur kryptographische Beweise der Validierung geliefert.
Zusammenfassung
Im Bereich der genomischen Datensicherheit, insbesondere im Bereich der Cloud-Dienste, grassieren viele Mythen. Cloud Computing bringt Komfort: Kunden müssen keine Software installieren und können IT-Dienste und Infrastruktur auslagern. Aber es kann Fälle geben, in denen Risiken, Datenschutzbestimmungen und praktische Erwägungen diesen Komfort überwiegen. Die sensiblen Informationen, die den genetischen Daten im Genomzeitalter innewohnen, werden oft übersehen. Wenn Sie zögern würden, Fingerabdrücke von Kunden, Patientennamen und medizinische Berichte in die Cloud zu übertragen, dann sollten Sie keine Ausnahme von modernen Gentestdaten machen.