Evaluating the Risk of Re-identification of Patients from Hospital Prescription Records

Khaled El Emam, Fida K Dankar, Régis Vaillancourt, Tyson Roffey, Mark Lysyk

Abstract


ABSTRACT

Background: Pharmacies often provide prescription records to private research firms, on the assumption that these records are de-identified (i.e., identifying information has been removed). However, concerns have been expressed about the potential that patients can be re-identified from such records. Recently, a large private research firm requested prescription records from the Children’s Hospital of Eastern Ontario (CHEO), as part of a larger effort to develop a database of hospital prescription records across Canada.

Objective: To evaluate the ability to re-identify patients from CHEO’S prescription records and to determine ways to appropriately de-identify the data if the risk was too high.

Methods: The risk of re-identification was assessed for 18 months’ worth of prescription data. De-identification algorithms were developed to reduce the risk to an acceptable level while maintaining the quality of the data.

Results: The probability of patients being re-identified from the original variables and data set requested by the private research firm was deemed quite high. A new de-identified record layout was developed, which had an acceptable level of re-identification risk. The new approach involved replacing the admission and discharge dates with the quarter and year of admission and the length of stay in days, reporting the patient’s age in weeks, and including only the first character of the patient’s postal code. Additional requirements were included in the data-sharing agreement with the private research firm (e.g., audit requirements and a protocol for notification of a breach of privacy).

Conclusions: Without a formal analysis of the risk of re-identification, assurances of data anonymity may not be accurate. A formal risk analysis at one hospital produced a clinically relevant data set that also protects patient privacy and allows the hospital pharmacy to explicitly manage the risks of breach of patient privacy.

RÉSUMÉ

Contexte : Les pharmacies fournissent souvent des dossiers d’ordonnance aux firmes de recherche indépendantes, en supposant qu’ils sont dépersonnalisés (c.-à-d., que l’information pouvant identifier les patients a été retirée). Cependant, des inquiétudes ont été soulevées quant à la possibilité que l’on puisse reconstituer l’identité des patients à partir de ces dossiers. Récemment, une importante firme de recherche indépendante a demandé au Centre hospitalier pour enfants de l’est de l’Ontario (CHEO) d’obtenir les dossiers d’ordonnance, dans le cadre d’un projet plus vaste visant à développer une base de données pancanadienne des dossiers d’ordonnance hospitaliers.

Objectif : Évaluer la possibilité de reconstituer l’identité des patients à partir des dossiers d’ordonnance du CHEO afin de déterminer les moyens appropriés de dépersonnaliser les données si le risque de reconstitution est trop élevé.

Méthodes : Le risque de reconstitution de l’identité a été évalué à partir de données sur les ordonnances couvrant une période de 18 mois. Des algorithmes de dépersonnalisation ont été conçus pour réduire le risque à un niveau acceptable, tout en maintenant la qualité des données.

Résultats : La probabilité de reconstitution de l’identité des patients à partir des variables et des données originales demandées par la firme de recherche indépendante a été jugée assez élevée. Une nouvelle méthode de dépersonnalisation des dossiers comportant un niveau de risque de reconstitution de l’identité acceptable a été développée. La nouvelle méthode impliquait le remplacement des dates d’admission et de sortie par le trimestre et l’année d’admission et la durée du séjour en jours, l’expression de l’âge du patient en semaines, et l’insertion uniquement du premier caractère du code postal du patient. D’autres exigences ont été incluses dans l’entente de transmission de données avec la firme de recherche indépendante (p. ex., des exigences de vérification et un protocole de déclaration de violation de la vie privée).

Conclusion : En l’absence d’analyse structurée du risque de reconstitution de l’identité, il est difficile d’assurer la dépersonnalisation des données. Une analyse structurée du risque effectuée dans un hôpital a généré un ensemble de données pertinent sur le plan clinique qui protège également la confidentialité des renseignements personnels des patients et permet à la pharmacie de l’hôpital de gérer explicitement les risques de violation de la vie privée.


Keywords


privavy; de-identification; re-identification risk; data anonymity; secondary use of data; vie privée; dépersonnalisation; risque de reconstitution de l’identité; anonymat des données; utilisation secondaire des données

Full Text:

PDF


DOI: http://dx.doi.org/10.4212/cjhp.v62i4.812

ISSN 1920-2903 (Online)
Copyright © 2015 Canadian Society of Hospital Pharmacists